forum.wfido.ru  

Вернуться   forum.wfido.ru > Прочие эхи > RU.CISCO

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 17.08.2016, 16:38
Alexey Vissarionov
Guest
 
Сообщений: n/a
По умолчанию TTK NAT PPTP

Alexey Vissarionov написал(а) к Eugene Grosbein в Feb 15 15:10:00 по местному времени:

Доброго времени суток, Eugene!
04 Feb 2015 20:59:48, ты -> мне:

IL>>>>> через их NAT не работает PPTP, серому клиенту не приходят
IL>>>>> GRE-пакеты от белого PPTP-сервера
AV>>>> Работа GRE через NAT - лотерея. Теоретически такое можно
AV>>>> реализовать средствами Linux Netfilter, да и то с определенными
AV>>>> ограничениями.
EG>>> PPtP использует модифицированный GRE, который прекрасно работает
EG>>> через NAT, который умеет PPTPGRE.
AV>> Ну, если только модифицированный...

Сразу уточню: если два клиента за одним NAT захотят подключиться к одному серверу - будет работать?

EG>>> Фрёвый libalias (natd, ipfw nat) спокойно натит произвольное
EG>>> количество параллельных PPtP-туннелей.
AV>> Думаю, возможности ненатуральских систем здесь мало кому интересны.
EG> Вот только не надо холиваров и снобизма, не та эха.

А вам-то, добрый сэр, какая печаль?

EG> Да ещё и облажавшись по поводу PPtP и NAT.

Полагаю, доброго сэра не затруднит указать, где он увидел лажу в моих словах? Или, если доброму сэру так будет понятнее: пруф или слиф.

IL>>>>> Для этого хотелось бы знать на сколько это реальная проблема для
IL>>>>> провайдера уровня ТТК, лень ли это их спецов, либо действительно
IL>>>>> есть ограничения Цисок провайдеров средней руки.
AV>>>> Есть ограничение протокола PPTP: его можно применять только внутри
AV>>>> сети, полностью контролируемой тобой.
EG>>> Неправда, PPtP с 128-битным шифрованием,
AV>> Эээээ... ЩИТО?!
AV>> Шифрование - это сеть Фейстеля и 256-битный ключ. Остальное -
AV>> профанация.
EG> Ты не сможешь доказать, что PPtP/MPPE128 в качестве VPN через WAN
EG> взламывается с оправданной затратой ресурсов на взлом.

MPPE - это сраный RC4, который порвали в клочья еще чуть ли десяток лет назад. Слово WEP применительно к WiFi доводилось слышать? Там тот же самый RC4.

EG>>> компрессией
AV>> Не влияет на защищенность.
EG> Но влияет на юзабельность.

И реализуется независимо.

EG>>> и стойкими несловарными паролями
AV>> Какими нахрен паролями? На календарь посмотри - 20 век уже давно
AV>> закончился. Ключи и только ключи,
EG> Ты, видимо, имеешь в виду не столько ключи (что ключ, что пароль -
EG> один хрен),

Увы - не один. То есть, пароль, конечно же, является ключевой информацией, но содержит недостаточное для современных криптосистем количество битов энтропии.

Например, вот такой развесистый пароль (точнее, passphrase) содержит всего 64 бита энтропии (а это разрядность машинного слова современных компутеров):

gremlin@evil:~ > pwqgen random=64
Wildly+Sultan7Mutual#Twenty

EG> а ассиметричное шифрование с публичными/приватными парами.

Ну и каша у вас в голове, добрый сэр... Пары - они ключевые, и состоят, как нетрудно догадаться, из двух ключей: секретного и открытого. Само же по себе асимметричное криптопреобразование потому и является асимметричным, что в нем для шифрования (или, что то же самое, проверки ЭЦП) используется одна часть ключевой пары (открытая), а для расшифровки (или создания ЭЦП), соответственно, другая (секретная), и получение секретного ключа из открытого за разумное время (например, сравнимое с продолжительностью человеческой жизни) потребовало бы недостижимой в настоящий момент вычислительной мощности.

Вот, например, в какую степень нужно возвести число 7, чтобы по модулю 1e27 (октиллион) получить 658191595392176116478771207? Пользоваться калькулятором можно.

EG> Так вот нифига подобного, пароли никуда не делись.

Я вас снова удивлю, добрый сэр: использование паролей как единственного источника ключевой информации уже давно вышло из моды.

EG>>> вполне применим для VPN через WAN для трафика, где нет гостайны :-)
AV>> PPTP - это не VPN.
EG> PPtP это одна из реализаций VPN.

Это тоннель, но не VPN.

AV>>>> Для всего остального существует OpenVPN.
EG>>> А лучше L2TP.
AV>> L2TP - тоже не VPN.
EG> L2TP это стандартизированный способ передать через UDP хоть
EG> нешифрованный IP,

Да. Такие способы обычно называют словом "тоннель".

EG> хоть IP, шифрованный IPSEC-ом,

Triple DES, ага... который запрещен к применению "у себя на родине".

EG> хоть PPP, шифрованный MPPE.

См. выше про RC4.
И вообще, единственный разумный способ поточного шифрования - использование любого современного (актуальный на данный момент) симметричный алгоритм и вогнать его в режим гаммирования с обратной связью по шифротексту (CFB).

EG> Вполне пригоден для построения VPN.

Разве что без буквы "P".

EG> А вот у OpenVPN столько проблем дизайна, что его можно использовать
EG> только в песочницах.

Доброго сэра не затруднит назвать хотя бы десяток из "столько проблем дизайна"?

EG> Начиная с того, что совместим он только сам с собой.

Те же GRE и L2TP тоже "совместимы только сами с собой" - и что?


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Используя проприетарное ПО, ты вгоняешь гвоздь в крышку собственного гроба!
--- /bin/vi
Ответить с цитированием
  #2  
Старый 17.08.2016, 16:38
Denis Ognewsky
Guest
 
Сообщений: n/a
По умолчанию TTK NAT PPTP

Denis Ognewsky написал(а) к All в Feb 15 19:30:19 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Igor O. Ladygin.
On 04.02.15 14:52 you wrote:

> Провайдер ТТК в регионе стал двать клиентам серые IP адреса
> (канальное подключение PPPoE). После этого выяснилось что через их
> NAT не работает PPTP, серому клиенту не приходят GRE-пакеты от
> белого PPTP-сервера (видимо управляющее соединение PPTP не
> трассируется при NAT-е). На мой запрос в поддержку мне сказали что у
> них слишком много NAT-клиентов, все упирается в производительность и
> они мне ни чем помочь не могут. Вот теперь думаю с какой стороны на
> них заходить и имеет ли это смысл. Для этого хотелось бы знать на
> сколько это реальная проблема для провайдера уровня ТТК, лень ли это
> их спецов, либо действительно есть ограничения Цисок провайдеров
> средней руки.

ТТК наверняка юзает аппаратные брасы. а они не умеют NAT GRE.
решения для провайдера есть. например
http://shop.nag.ru/article/smartedge-nat-vs-pptpgre
для вас - попросить белый адрес. поднять другой тунель. без GRE.


--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.10.1 (Android; Google Android; rv:1) Нotdoged/1412747058000 НotdogEd/2.10.1
Ответить с цитированием
  #3  
Старый 17.08.2016, 16:38
Alexandr Kruglikov
Guest
 
Сообщений: n/a
По умолчанию TTK NAT PPTP

Alexandr Kruglikov написал(а) к Eugene Grosbein в Feb 15 20:53:11 по местному времени:

Привет, Eugene!

05 фев 15 17:09, Eugene Grosbein -> Alexandr Kruglikov написал:

EG> Крупный провайдер типа ТТК может тупо отказаться менять схему
EG> подключения физическому лицу.

Не вижу никакой проблемы в привязке PPPoEшному клиенту статического IP в биллинге. Хотя... Может ЗапСиб просто не предоставляет статические IP)))
Я сужу по Волге)

С наилучшими пожеланиями, Alexandr.

--- "OS X/Golded-NSF/CrashMail" ---
Ответить с цитированием
  #4  
Старый 17.08.2016, 16:38
Igor O. Ladygin
Guest
 
Сообщений: n/a
По умолчанию Re: TTK NAT PPTP

Igor O. Ladygin написал(а) к Denis Ognewsky в Feb 15 03:23:38 по местному времени:

From: "Igor O. Ladygin" <assa@zabtrans.ru>

06.02.2015 0:30, Denis Ognewsky пишет:
> Нello, Igor O. Ladygin.
> On 04.02.15 14:52 you wrote:
>
> > Провайдер ТТК в регионе стал двать клиентам серые IP адреса
> > (канальное подключение PPPoE). После этого выяснилось что через их
> > NAT не работает PPTP, серому клиенту не приходят GRE-пакеты от
> > белого PPTP-сервера (видимо управляющее соединение PPTP не
> > трассируется при NAT-е). На мой запрос в поддержку мне сказали что у
> > них слишком много NAT-клиентов, все упирается в производительность и
> > они мне ни чем помочь не могут. Вот теперь думаю с какой стороны на
> > них заходить и имеет ли это смысл. Для этого хотелось бы знать на
> > сколько это реальная проблема для провайдера уровня ТТК, лень ли это
> > их спецов, либо действительно есть ограничения Цисок провайдеров
> > средней руки.
>
> ТТК наверняка юзает аппаратные брасы. а они не умеют NAT GRE.
> решения для провайдера есть. например
> http://shop.nag.ru/article/smartedge-nat-vs-pptpgre
> для вас - попросить белый адрес. поднять другой тунель. без GRE.

Спасибо, Денис, печально... я думаю ставить доп железку из-за меня
одного они конечно не будут.

--
Sent by ASSA
--- ifmail v.2.15dev5.4
Ответить с цитированием
  #5  
Старый 17.08.2016, 16:38
Igor O. Ladygin
Guest
 
Сообщений: n/a
По умолчанию Re: TTK NAT PPTP

Igor O. Ladygin написал(а) к Alexandr Kruglikov в Feb 15 03:41:39 по местному времени:

From: "Igor O. Ladygin" <assa@zabtrans.ru>

06.02.2015 1:53, Alexandr Kruglikov пишет:
> Привет, Eugene!
>
> 05 фев 15 17:09, Eugene Grosbein -> Alexandr Kruglikov написал:
>
> EG> Крупный провайдер типа ТТК может тупо отказаться менять схему
> EG> подключения физическому лицу.
>
> Не вижу никакой проблемы в привязке PPPoEшному клиенту статического IP в
> биллинге. Хотя... Может ЗапСиб просто не предоставляет статические IP)))
> Я сужу по Волге)

В том-то и проблема Александр, что тупо отказываются. Я понимаю, что
ставить дополнительную железяку из-за меня одного - это не выход (если у
них там правда тупой железный NAT), но что мешает им заводить меня на
динамический пул белых IP? Сейчас у них выдаются и серые и белые, и до
поры до времени я спасался тем, что передергивал интерфейс своего рутера
до тех пор, пока он не получал белый, обычно хватало 3-4 раза. Но в
последнее время это четко не работает - иногда хоть за передергивайся.
Провайдер же предложил на выбор два варианта: купить белый IP или
дрюкать их PPPoE до посинения. Второй вариант меня уже достал, покупать
IP только из-за PPTP - это неразумно и это все-таки не моя проблема, тем
более что я не понимаю в чем сложности у ТТК с тем что бы сделать два
разных пула с белыми и серыми адресами и "сложных" клиентов заводить
только на белый?

--
Sent by ASSA
--- ifmail v.2.15dev5.4
Ответить с цитированием
  #6  
Старый 17.08.2016, 16:38
Denis Ognewsky
Guest
 
Сообщений: n/a
По умолчанию Re: TTK NAT PPTP

Denis Ognewsky написал(а) к All в Feb 15 04:24:39 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Igor O. Ladygin.
On 06.02.15 5:23 you wrote:

>> ТТК наверняка юзает аппаратные брасы. а они не умеют NAT GRE.
>> решения для провайдера есть. например
>> http://shop.nag.ru/article/smartedge-nat-vs-pptpgre для вас -
>> попросить белый адрес. поднять другой тунель. без GRE.
> Спасибо, Денис, печально... я думаю ставить доп железку из-за меня
> одного они конечно не будут.

брасы как правило стоят в ядре сети. там как правило есть pc-серверы.
запустить через какой нибудь из них gre не составит проблемы. другое
дело что через тп этого не добиться. надо писать официальное письмо
руководству. если оно достаточно клиент-ориентированное то может пойти
на вчтречу.

--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.10.1 (Android; Google Android; rv:1) Нotdoged/1412747058000 НotdogEd/2.10.1
Ответить с цитированием
  #7  
Старый 17.08.2016, 16:38
Igor O. Ladygin
Guest
 
Сообщений: n/a
По умолчанию Re: TTK NAT PPTP

Igor O. Ladygin написал(а) к Denis Ognewsky в Feb 15 08:41:53 по местному времени:

From: "Igor O. Ladygin" <assa@zabtrans.ru>

06.02.2015 9:24, Denis Ognewsky пишет:
> брасы как правило стоят в ядре сети. там как правило есть pc-серверы.
> запустить через какой нибудь из них gre не составит проблемы. другое
> дело что через тп этого не добиться. надо писать официальное письмо
> руководству. если оно достаточно клиент-ориентированное то может пойти
> на вчтречу.

Я уже понял... но это не проектные костыли, про которые вкоре забывают и
опять начинается все по новой. Попробую склонить на отдельный пул белых IP.

--
Sent by ASSA
--- ifmail v.2.15dev5.4
Ответить с цитированием
  #8  
Старый 17.08.2016, 16:38
Denis Ognewsky
Guest
 
Сообщений: n/a
По умолчанию Re: TTK NAT PPTP

Denis Ognewsky написал(а) к All в Feb 15 09:51:20 по местному времени:

From: "Denis Ognewsky" <Denis_Ognewsky@p70.f830.n5020.z2.fidonet.org>

Нello, Igor O. Ladygin.
On 06.02.15 10:41 you wrote:

>> брасы как правило стоят в ядре сети. там как правило есть
>> pc-серверы. запустить через какой нибудь из них gre не составит
>> проблемы. другое дело что через тп этого не добиться. надо писать
>> официальное письмо руководству. если оно достаточно
>> клиент-ориентированное то может пойти на вчтречу.
> Я уже понял... но это не проектные костыли, про которые вкоре
> забывают и опять начинается все по новой. Попробую склонить на
> отдельный пул белых IP.

я, тем кому нужен gre, выдаю бесплатно белые адреса. как оказалось их
меньше 1%

--
Best regards!
Posted using Нotdoged on Android
--- НotdogEd/2.10.1 (Android; Google Android; rv:1) Нotdoged/1412747058000 НotdogEd/2.10.1
Ответить с цитированием
  #9  
Старый 17.08.2016, 16:38
Igor O. Ladygin
Guest
 
Сообщений: n/a
По умолчанию Re: TTK NAT PPTP

Igor O. Ladygin написал(а) к Denis Ognewsky в Feb 15 12:09:34 по местному времени:

From: "Igor O. Ladygin" <assa@zabtrans.ru>

06.02.2015 14:51, Denis Ognewsky пишет:
> Нello, Igor O. Ladygin.
> On 06.02.15 10:41 you wrote:
>
> >> брасы как правило стоят в ядре сети. там как правило есть
> >> pc-серверы. запустить через какой нибудь из них gre не составит
> >> проблемы. другое дело что через тп этого не добиться. надо писать
> >> официальное письмо руководству. если оно достаточно
> >> клиент-ориентированное то может пойти на вчтречу.
> > Я уже понял... но это не проектные костыли, про которые вкоре
> > забывают и опять начинается все по новой. Попробую склонить на
> > отдельный пул белых IP.
>
> я, тем кому нужен gre, выдаю бесплатно белые адреса. как оказалось их
> меньше 1%

ИМХО, нормальный провайдер так и должен поступать...

--
Sent by ASSA
--- ifmail v.2.15dev5.4
Ответить с цитированием
  #10  
Старый 17.08.2016, 16:38
Eugene Grosbein
Guest
 
Сообщений: n/a
По умолчанию Re: TTK NAT PPTP

Eugene Grosbein написал(а) к Alexandr Kruglikov в Feb 15 01:49:24 по местному времени:

05 фев 2015, четверг, в 21:53 NOVT, Alexandr Kruglikov написал(а):

EG>> Крупный провайдер типа ТТК может тупо отказаться менять схему
EG>> подключения физическому лицу.
AK> Не вижу никакой проблемы в привязке PPPoEшному клиенту статического IP в
AK> биллинге. Хотя... Может ЗапСиб просто не предоставляет статические IP)))
AK> Я сужу по Волге)

Я сказал про отказ делать исключения, ничего не говоря о технической
возможности их делать.

Eugene
--- slrn/1.0.1 (FreeBSD)
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 18:41. Часовой пояс GMT +4.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot