https://www.opennet.ru/openforum/vsluhforumID6/14957.html Ситуация такая: Есть маршрутизатор Cisco 1760 к одному порту подклучена сеть, другой смотри в инет. Пользователь из инета создаёт VPDN соединение через pptp, тем самым получая доступ ко внутренней сети. Неавторизированный юзер не может вообще ничего сделать. Никакого дополнительного оборудования нет.<br>Обращение к знатокам: Что ещё можно сделать полезного для безопасности соединения? И что из того, что есть лишнее?<br><br>Собственно, конфиг вот:<br><br>version 12.3<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>service sequence-numbers<br>!<br>hostname Router<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>security authentication failure rate 3 log<br>logging buffered 51200 debugging<br>logging console critical<br>enable secret 5 $1$YCRG$K.PDMs/RkkM4lbDoeNmzX/<br>!<br>username user password 7 1543595F<br>mmi polling-interval 60<br>no mmi auto-configure<br>no mmi pvc<br>mmi snmp-timeout 180<br>aaa new-model<br>!<br>!<br>aaa https://www.opennet.ru/openforum/vsluhforumID6/14957.html#6 Fri, 30 Nov 2007 07:33:18 GMT <br>&gt;Используйте аутентификацию по токенам ) <br><br>Дмитрий, сказал же, доп. оборудование исключено. =)<br> https://www.opennet.ru/openforum/vsluhforumID6/14957.html#5 Thu, 29 Nov 2007 13:45:48 GMT &gt;&gt;Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over <br>&gt;&gt;IPSec). <br>&gt;&gt;Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В <br>&gt;&gt;любом случае используйте username user secret вместо username user pass <br>&gt;&gt;Не нашел, где вы используете свой acl 101 (похоже вы его забыли <br>&gt;&gt;применить). <br>&gt;&gt;ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, <br>&gt;&gt;mtu 1460. <br>&gt;<br>&gt;не получиться. работать будет только username password <br><br>Используйте аутентификацию по токенам )<br> https://www.opennet.ru/openforum/vsluhforumID6/14957.html#4 Thu, 29 Nov 2007 12:22:15 GMT &gt;Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over <br>&gt;IPSec). <br>&gt;Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В <br>&gt;любом случае используйте username user secret вместо username user pass <br>&gt;Не нашел, где вы используете свой acl 101 (похоже вы его забыли <br>&gt;применить). <br>&gt;ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, <br>&gt;mtu 1460. <br><br>не получиться. работать будет только username password<br> https://www.opennet.ru/openforum/vsluhforumID6/14957.html#3 Wed, 28 Nov 2007 18:27:10 GMT ACL на Fa0/0 на in.<br> https://www.opennet.ru/openforum/vsluhforumID6/14957.html#2 Wed, 28 Nov 2007 18:24:41 GMT <br>&gt;Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее)<br><br>Не получится, доп. оборудование исключено.<br><br>&gt;В любом случае используйте username user secret вместо username user pass <br><br>Попробуемс.<br><br>&gt;Не нашел, где вы используете свой acl 101 (похоже вы его забыли <br>&gt;применить). <br><br>Не забыл, просто, когда скидывал конфиг, пришлось его вырубить, а потом дописать забыл. =)<br> <br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/14957.html#1 Wed, 28 Nov 2007 18:04:20 GMT Включите mppe, хотя бы с 40 битным шифрованием (лучше, конечно, l2tp over IPSec).<br>Можете поднять радиус и проводит авторизацию им (чаще всего так безопаснее) В любом случае используйте username user secret вместо username user pass<br>Не нашел, где вы используете свой acl 101 (похоже вы его забыли применить).<br>ip mtu 1492 обычно используется для pppoe. В PPTP, если не ошибаюсь, mtu 1460.<br>