PPTP/L2TP и российские провайдеры

Дураки и дороги.

"...или НЕ тра.аться с PPTP?"

Oblivios fix :)

А что за геморрой? У меня netgear, никаких трахов нет. Или это такой завуалированный пост про говнодлинки?

Нет, вы мне скажите, а на.зачем вообще это нужно? Лишняя нагрузка на роутер, который и без того слабенький по определению, лишние накладные расходы в канале, лишний геморрой с доступом в LAN. И всё это ради того, чтобы .баным уродом на стороне провайдера меньше было мороки?! А не пошли бы они на ... и ...?!!!

>У меня netgear, никаких трахов нет.
Ну хорошо, даже если у тебя NetGear и ты не замечаешь, что скорость ниже, чем при прямом соединении, то скажи мне, я что тоже должен теперь netgear покупать? У меня D-Link в пределах квартиры работал идеально, пока на него не навесили ещё и необходимость шифрования трафика за каким-то непонятным лядом, почему я должен его менять только из-за того, что моему прову удобнее использовать технологию VPN не по назначению?

Они неосиливают сделать по-человечески, потому что это требует наличия админа и железки. И то, и другое стоит денег. Зюзероутеры и студенты делают за еду PPTP.

> Но, скажите мне, что проще: поддерживать один MAC-адрес (или звонком в службу техподдержки менять его) или тра.аться с PPTP?
ИМХО, проще VLAN на клиента.

Специально спросил, говорят неудобно толпе клиентов статику настраивать, а pppoe не безопасно. А еще бывает у провайдера биллинг, который сильно хитрый и умеет только особо настроенный pptp (-; Честно говоря еще ни разу не слышал жалобы от клиентов именно на pptp. По моему только линуксойды на это орут.

Как хорошо, что мой провайдер не имеет мозги ни наличием VPN, ни проверкой мака.

Я предполагаю, что у твоего провайдера кроме тебя еще два клиента есть)

Оба, ostin, ты расскажи им там о том, что уже придуман DHCP, а то мужики-то и не знали!

> pppoe не безопасно

а накой ч0рт оно надо «безопасно»? Тем кто надо, и так в туннели все критичное заворачивают, а т.н. «шифрование» в PPTP все равно символичное довольно.

>Честно говоря еще ни разу не слышал жалобы от клиентов именно на pptp.
То, что клиенты хавают то дерьмо, которое им дают и не вякают, ещё не свидетельствует об их уме и проинцаительности, а также не является критерием того, что так и надо. И таки да, как ни странно, пользователи Linux процентов на 0,1 - тупые хомячки, а остальные как ни странно понимают, что можно делать и не через Ж., то есть так, чтобы удобно было клиенту, а не Билайну, Корбине и всем прочим подобным бедным компаниям.

>Я предполагаю

Сильно больше. Провайдер - московский Onlime.

DHCP как раз и сделан что бы организовать L2 и по нему поднять L3 через VPN

проще обсчитывать и включать\выключать клиента, дешевле оборудование инфраструктуры - не обязательно держать управляемый порт на каждого клиента
mac можно подменить

Это либо нужно железки L3 ставить в каждый подъезд или vlan гнать до какого-то жалкого физика

А DHCP с внешними адресами это отсутствие контроля скорости, а если это серая адресация и за ней NAT, то это огромная нагрузка на железо при таких объемах трафика.

Я думаю это legacy просто, выросли из небольшой сети на три компьютера.

legacy - это как раз L2TP/PPTP.

Причем здесь L3 не понял. Да, VLAN на физика. Простое и рабочее решение. У QWERTY уже года 3 так, раньше mac к порту привязывали.

Они б еще по IPSec'у подключали, извращенцы

> legacy - это как раз L2TP/PPTP
+1

>а если это серая адресация и за ней NAT, то это огромная нагрузка на железо при таких объемах трафика
Да вы чо, правда что ли? А L2TP - не нагрузка, да? Ваще ни разу не нагрузка? Главное - скажите, а мне не по барабану вообще, какая там нагрузка у провайдера? А ещё - на.рена мне динамический внешний адрес? Чтобы всякое г-но в мой файерволл стучалось? Или чтобы мне было забавнее прописывать десяток тупых внутренних маршрутов провайдера, о существовании которых я вообще-то по идее ничего знать не обязан?

>Они б еще по IPSec'у подключали, извращенцы
Ну так для того, чтобы настроить IPSec ещё мозги надо иметь и наверное платить админам, располагающим мозгами, чуть больше 20кр в месяц!
А так вообще да, это было бы мощно :D

>У меня например сейчас на роутере D-Link DI-524 и скорость из-за L2TP ниже, чем на нормальном соединении

У меня сейчас древний Asus WL-500gPv2 и он на L2TP спокойно выдаёт 20Мбит при далёкой от 100%-й загрузке. Что я не так делаю? И Wi-Fi не вылетает.

Да, мой пров привязывается в MAC-адресу

Такой пров - идёт в жопу. У меня слишком много девайсов, которые иногда вывожу в сеть напрямую. И что будет, если я подделаю MAC-адрес соседа?

>Я думаю это legacy просто

Ранее - Корвет-телеком с их 30-40 тысячами юзеров. Они как раз палили MAC.
Потом их купил Onlime (они же «Национальные кабельные сети», дочка НМГ) и сразу перестали использовать ненужные костыли.

Так что это далеко не левонеты.

> дешевле оборудование инфраструктуры

Точно дешевле?
Ведь нужен неслабый vpn сервер чтоб держал какое никакое шифрование от десятков тысяч клиентов

+100500

>У меня netgear, никаких трахов нет

Ты не поверишь, эти костыли могут просадить даже кошерные Linksys.

> 20кр в месяц!

За такие деньги максимум удаленный или аутсорсный админ...

Главное - скажите, а мне не по барабану вообще, какая там нагрузка у провайдера?

Ну а ты ничего и не решаешь (-; Наберут по свалкам оборудования, а потом до провайдеров домогаются.

> У меня например сейчас на роутере D-Link DI-524 и скорость из-за L2TP ниже, чем на нормальном соединении, и Wifi к чёрту вылетает периодически, как нефиг делать вообще

Значит ваш D-Link говно, а вы ССЗБ, раз купили такое говно.

Не поверю, ты прав) Какие конкретно? pptp?

> Такой пров - идёт в жопу. У меня слишком много девайсов, которые иногда вывожу в сеть напрямую. И что будет, если я подделаю MAC-адрес соседа?

Получишь бумажку со штрафом?

Любые. Современные SoC на домашних роутерах не вытягивают больше 20-30 мбит по чему-то отличному от прямого ethernet'а.

Ну ты сравнил. Нагрузку маршрутизатора, который натит кучу адресов с большим потоком трафика и нагрузку маршрутизатора в режиме построения таблиц маршрутизации и пересылки трафика.

Ведь нужен неслабый vpn сервер чтоб держал какое никакое шифрование от десятков тысяч клиентов

Этим занимается bras, cisco 7200 например)

Поскольку я сам работал ранее в домашней сети, отвечу:

Всё это - последствие наличия толпы кул-хацкеров, из области «а крутой хакер ваня сломал своего интернет-провайдера, и сидит теперь, как дурак, без интернета».

Народ обожает:
1. ставить себе по глупости в качестве IP 192.168.1.1 (ну или любой другой, по выбору, главное что IP шлюза)
2. менять свой IP на IP соседа, как для поюзания чужого интернета так и для того чтобы насолить.
3. менять маки (см пункт 2)
4. запускать активные снифферы, становящиеся man-in-the-middle (ссылки давать не буду), как результат нюхаются пароли передающиеся по http, https, pop3, imap, smtp и куче других протоколов.

ПРИВЯЗКА К МАК:
Для нормальной привязки к маку требуются управляемые свитчи на каждом доме + софт + специально обученные монтажники. То есть 1 клиент=1 порт управляемого свитча, и никаких возможностей поставить маленький свитч «на этаже», если у тебя 40 клиентов в одном подъезде.

То есть софт должен отслеживать на каком порту кто сидит и корректно зарезать по MAC. Часть дешевых свитчей (опаньки) не может привязывать МАК к порту свитча, если этот мак уже есть в их динамической таблице.

То есть проблема сразу становится нетривиальной.

На самом деле все больше всего упирается в хитрый софт держащий дерево клиентов, человеческий фактор (монтажники) и выгорание железа (что требует переключения клиентов из одного порта в другой и одновременную замену информации в софте), а также в огромное увеличение сложности диагностирования проблем.

VPN (PPTP):
Решает вопросы сниферов и юзания чужого трафика, что сразу делает бессмысленной смену IP и потом тебе не звонят в офис люди честно проплатившие интернет и у которых ничего не работает. Хотя пункт 1) всё равно имеет быть и пункт 2.2) - «поднасрать» тоже.

PPPOE:
Решает то же самое + пункт 1).

Любые. Современные SoC на домашних роутерах не вытягивают больше 20-30 мбит по чему-то отличному от прямого ethernet'а.

Не правда.

> Не правда.

Иди рассказывай эти сказки про белого бычка кому-то другому.
У меня бывали WRT610N и RT-N16, оба на последнем поколении SoC. Потолок по PPTP около 30 мбит/с.

>Получишь бумажку со штрафом?

И как вычислять будут? :)

А чем использование свитчей на этажах мешает делать по VLAN'у на каждого клиента?

Ну а чего ты говоришь то «чему-то отличному от прямого ethernet'а», то «потолок по PPTP около 30 мбит/с»? Вот у меня с pppoe 64 мбит/с, такие значения вижу довольно часто, бывает и выше, но тут наверное провайдер, а не маршрутизатор мой косячит.

>Потолок по PPTP около 30 мбит/с.

Не знаю, как на других роутерах, а на моём Asus PPTP вряд ли и 10Мбит вытягивает. Не знаю, я с него на 8Мбитах съехал, имея почти 100% загрузку CPU. А вот на L2TP загрузка упала сразу до 1-2%

А сейчас резерв остаётся ещё очень приличный, так что 50Мбит вытянет почти наверняка. Как-нибудь, буду что-нибудь качать на полные 20Мбит/с - оценю нагрузку, если не забуду.

pppoe куда менее требователен к ресурсам и потом бегает на большинстве железок как надо, но на прошлом поколении тоже никогда не даст 100мбит/с.

А как вычислять будут? :)

Может они знают, что ты один такой хакер на деревне) Чуть что сразу к тебе с битой бейсбольной.

> А чем использование свитчей на этажах мешает делать по VLAN'у на каждого клиента?

Только лишь сложностью организации, стоимостью промежуточных свитчей и габаритами промежуточных свитчей (ты же в щитке не поместишь 19" свитч).

Но вообще самое сложное - диагностика - поди ты пойми - порт сгорел или свитч заглючил или клиент на самом деле воткнул новую сетевуху или ещё 33 варианта. Свитчи же только в домашних условиях работают вечно.

>Может они знают, что ты один такой хакер на деревне)

Если б, да кабы... Хорошая аргументация, мне нравится :D

Так ты все таки признал, что тут не правду сказал?

Все упирается в бабки. Все хотят ничего не вкладывать в инфраструктуру и грести сверхприбыли.