LINUX.ORG.RU
ФорумAdmin

pptpd + шифрование


0

0

Привет всем!!!
Как принудительно на стороне сервера квлючить шифрование и сжатие ?
ASP Linux 2.26.18, pptpd 1.3.4

options.pptpd:

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
debug
dump
lock
nobsdcomp
novj

pptpd.conf:

ppp /usr/sbin/pppd
option /etc/pptpd/options.pptpd
debug
noipparam
localip 10.0.0.1
remoteip 10.0.0.2-5

Re: pptpd + шифрование

>require-mppe-128

а это что?

dimon555 ★★★★★ ()
Ответ на: Re: pptpd + шифрование от dimon555

Re: pptpd + шифрование

мне ПРИНУДИТЕЛЬНО со стороны сервера надо, т.е. что бы не подключалось если нет шифрования, а то на клиенте можно убрать галочку "Требуется шифрование данных" и тоже подключается.

joinordie ()

Re: pptpd + шифрование

У меня работало вот так:

noauth
name pptpd
lock
mtu 1490
mru 1490
bsdcomp 0
refuse-chap
+mschap-v2
require-mppe-128
require-mschap-v2
ms-dns W.X.Y.Z

По идее, оно смотрит есть ли MPPC в ведре (или в модулях) и подключает компрессию.

Но, в целом, я бы предложил использовать OpenVPN. Там всё нужное цепляется по умолчанию во время установки сессии.
Главное преимущество: OpenVPN может работать поверх PPTP-сессий (PPTP поверх PPTP работать не может из-за ограничений GRE). Собственно, OpenVPN не использует GRE вообще, а потому работает в том числе и там, где GRE банально фильтруется провайдерами (например, в некоторых сотовых сетях).
Ну и по мелочи: возможность создавать на выбор ключи длиной 1 или 2 килобита (в зависимости от уровня паранойи на момент создания ключей), ключи могут быть запаролеными или нет (например, на межсерверных коннектах паролить ключи не очень удобно - в смысле, чтобы оно поднялось при обрыве связи).

Минусы очевидны: если для Linux, MacOX и XP/Vista клиенты есть, то всякие смартфоны (включая iPhone) идут лесом пешочком - там всегда только PPTP, L2TP.
В целом, можно рассмотреть вариант смешанного использования: для компов поставить OpenVPN, для смартфонов - PPTP.

su ()
Ответ на: Re: pptpd + шифрование от su

Re: pptpd + шифрование

openvpn у меня работает в другом месте. тут мне нужен именно pptp c шифрованием (не пойму нахера он тогда вообще нужен без шифрования?). Вообщем судя по кол-ву ответов на разных форумах принудительно включить шифрование это из области фантастики.

joinordie ()
Ответ на: Re: pptpd + шифрование от joinordie

Re: pptpd + шифрование

refuse-chap
+mschap-v2
require-mppe-128
require-mschap-v2

Эти 4 строчки как раз делают следующее:
1. Запрещает небезопасную авторизацию по протоколу CHAP-v1.
2. Разрешает безопасную авторизацию по протоколу CHAP-v2.
3. Требует 128 битное шифрование.
4. Требует авторизацию по безопасному протоколу CHAP-v2.

su ()
Ответ на: Re: pptpd + шифрование от su

Re: pptpd + шифрование

- и + давно уже deprecated. Вместо них refuse и require. Соответственно, вместо +mschap-v2 надо require-mschap-v2.

Deleted ()
Ответ на: Re: pptpd + шифрование от Deleted

Re: pptpd + шифрование

О! Димочка, неужто тебя забанили? :) Или это первоапрельская шутка такая?

>- и + давно уже deprecated

Ну не знаю. У меня вот арбайтен и не ругаецца. Хотя, может, pptpd слегка устарел...

su ()
Ответ на: Re: pptpd + шифрование от su

Re: pptpd + шифрование

Спасибо всем кто ответил. :)
Настроил то что хотел. Теперь принудительно работает шифрование и сжатие. В винде в настройках VPN подключения теперь хоть ставь хоть не ставь чек-бокс "Требовать шифрование данных" всеравно шифрует.  Шаги следующие
1. сходил на сайт http://yablochkin.net.ru/mppc/ выкачал патчи
2. из репозитария asp linux скачал сорцы и 
3. наложил патч, скомпилил ядро/модули
4. наложил патчик на ppp, скомпилил
5. поправил конфиги:
/etc/ppp/options:
[code]
lock
mppe required
[/code]

/etc/pptpd/options.pptpd:
[code]
name pptpd
refuse-pap
refuse-chap
require-mschap-v2
deflate 0
proxyarp
debug
dump
lock
nobsdcomp
novj
novjccomp
nologfd
[/code]

/etc/pptpd/pptpd.conf:
[code]
ppp /usr/sbin/pppd
option /etc/pptpd/options.pptpd
debug
noipparam
localip 192.168.1.116
remoteip 10.0.0.1-254
[/code]

joinordie ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.