TTK NAT PPTP

Igor O. Ladygin написал(а) к All в Feb 15 12:52:38 по местному времени:

From: "Igor O. Ladygin" <assa@zabtrans.ru>

Привет, All, ты стал каким-то молчаливым... :(

Провайдер ТТК в регионе стал двать клиентам серые IP адреса (канальное
подключение PPPoE). После этого выяснилось что через их NAT не работает
PPTP, серому клиенту не приходят GRE-пакеты от белого PPTP-сервера
(видимо управляющее соединение PPTP не трассируется при NAT-е). На мой
запрос в поддержку мне сказали что у них слишком много NAT-клиентов, все
упирается в производительность и они мне ни чем помочь не могут. Вот
теперь думаю с какой стороны на них заходить и имеет ли это смысл. Для
этого хотелось бы знать на сколько это реальная проблема для провайдера
уровня ТТК, лень ли это их спецов, либо действительно есть ограничения
Цисок провайдеров средней руки.

--
Sent by ASSA
--- ifmail v.2.15dev5.4

Alexandr Kruglikov написал(а) к Igor O. Ladygin в Feb 15 13:32:18 по местному времени:

Привет, Igor!

04 фев 15 12:52, Igor O. Ladygin -> All написал:


IL> Провайдер ТТК в регионе стал двать клиентам серые IP адреса

Какой регион, если не секрет? /me инженер ТТК в регионе, у нас специально прописаны правила для gre.

С наилучшими пожеланиями, Alexandr.

--- "OS X/Golded-NSF/CrashMail" ---

Eugene Grosbein написал(а) к Igor O. Ladygin в Feb 15 17:03:02 по местному времени:

04 фев 2015, среда, в 13:52 NOVT, Igor O. Ladygin написал(а):

IOL> Провайдер ТТК в регионе стал двать клиентам серые IP адреса (канальное
IOL> подключение PPPoE). После этого выяснилось что через их NAT не работает
IOL> PPTP, серому клиенту не приходят GRE-пакеты от белого PPTP-сервера
IOL> (видимо управляющее соединение PPTP не трассируется при NAT-е). На мой
IOL> запрос в поддержку мне сказали что у них слишком много NAT-клиентов, все
IOL> упирается в производительность и они мне ни чем помочь не могут. Вот
IOL> теперь думаю с какой стороны на них заходить и имеет ли это смысл. Для
IOL> этого хотелось бы знать на сколько это реальная проблема для провайдера
IOL> уровня ТТК, лень ли это их спецов, либо действительно есть ограничения
IOL> Цисок провайдеров средней руки.

Это не ограничение цисок, это наоборот ограничение некоторых
мощных carrier-grade NAT, которые не все протоколы умеют.

Если провайдер, использующий такой NAT, вменяем, то он использует
тот факт, что PPtP не шибко многие используют и заруливает
транслацию PPtP (control tcp+gre) на другие железки, хотя и не такие
производительные, зато более умные.

Eugene
--- slrn/1.0.1 (FreeBSD)

Alexey Vissarionov написал(а) к Igor O. Ladygin в Feb 15 15:00:00 по местному времени:

Доброго времени суток, Igor!
04 Feb 2015 12:52:38, ты -> All:

IL> Провайдер ТТК в регионе стал двать клиентам серые IP адреса
IL> (канальное подключение PPPoE). После этого выяснилось что
IL> через их NAT не работает PPTP, серому клиенту не приходят
IL> GRE-пакеты от белого PPTP-сервера

Работа GRE через NAT - лотерея. Теоретически такое можно реализовать средствами Linux Netfilter, да и то с определенными ограничениями.

IL> Вот теперь думаю с какой стороны на них заходить и имеет ли это
IL> смысл.

Ни малейшего.

IL> Для этого хотелось бы знать на сколько это реальная проблема для
IL> провайдера уровня ТТК, лень ли это их спецов, либо действительно
IL> есть ограничения Цисок провайдеров средней руки.

Есть ограничение протокола PPTP: его можно применять только внутри сети, полностью контролируемой тобой.

Для всего остального существует OpenVPN.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Зеленого змия - в Красную книгу
--- /bin/vi

Eugene Grosbein написал(а) к Alexey Vissarionov в Feb 15 18:09:31 по местному времени:

04 фев 2015, среда, в 16:00 NOVT, Alexey Vissarionov написал(а):

IL>> Провайдер ТТК в регионе стал двать клиентам серые IP адреса
IL>> (канальное подключение PPPoE). После этого выяснилось что
IL>> через их NAT не работает PPTP, серому клиенту не приходят
IL>> GRE-пакеты от белого PPTP-сервера
AV> Работа GRE через NAT - лотерея. Теоретически такое можно реализовать средствами
AV> Linux Netfilter, да и то с определенными ограничениями.

PPtP использует модифицированный GRE, который прекрасно работает
через NAT, который умеет PPTPGRE. Фрёвый libalias (natd, ipfw nat)
спокойно натит произвольное количество параллельных PPtP-туннелей.

IL>> Для этого хотелось бы знать на сколько это реальная проблема для
IL>> провайдера уровня ТТК, лень ли это их спецов, либо действительно
IL>> есть ограничения Цисок провайдеров средней руки.
AV> Есть ограничение протокола PPTP: его можно применять только внутри сети,
AV> полностью контролируемой тобой.

Неправда, PPtP с 128-битным шифрованием, компрессией и стойкими несловарными
паролями вполне применим для VPN через WAN для трафика,
где нет гостайны :-)

AV> Для всего остального существует OpenVPN.

А лучше L2TP.

Eugene
--- slrn/1.0.1 (FreeBSD)

Alexey Vissarionov написал(а) к Eugene Grosbein в Feb 15 15:55:22 по местному времени:

Доброго времени суток, Eugene!
04 Feb 2015 18:09:30, ты -> мне:

IL>>> Провайдер ТТК в регионе стал двать клиентам серые IP адреса
IL>>> (канальное подключение PPPoE). После этого выяснилось что
IL>>> через их NAT не работает PPTP, серому клиенту не приходят
IL>>> GRE-пакеты от белого PPTP-сервера
AV>> Работа GRE через NAT - лотерея. Теоретически такое можно реализовать
AV>> средствами Linux Netfilter, да и то с определенными ограничениями.
EG> PPtP использует модифицированный GRE, который прекрасно работает
EG> через NAT, который умеет PPTPGRE.

Ну, если только модифицированный...

EG> Фрёвый libalias (natd, ipfw nat) спокойно натит произвольное
EG> количество параллельных PPtP-туннелей.

Думаю, возможности ненатуральских систем здесь мало кому интересны.

IL>>> Для этого хотелось бы знать на сколько это реальная проблема для
IL>>> провайдера уровня ТТК, лень ли это их спецов, либо действительно
IL>>> есть ограничения Цисок провайдеров средней руки.
AV>> Есть ограничение протокола PPTP: его можно применять только внутри
AV>> сети, полностью контролируемой тобой.
EG> Неправда, PPtP с 128-битным шифрованием,

Эээээ... ЩИТО?!

Шифрование - это сеть Фейстеля и 256-битный ключ. Остальное - профанация.

EG> компрессией

Не влияет на защищенность.

EG> и стойкими несловарными паролями

Какими нахрен паролями? На календарь посмотри - 20 век уже давно закончился.
Ключи и только ключи,

EG> вполне применим для VPN через WAN для трафика, где нет гостайны :-)

PPTP - это не VPN.

AV>> Для всего остального существует OpenVPN.
EG> А лучше L2TP.

L2TP - тоже не VPN.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Бывают такие зайчики, от которых волки на деревья лезут
--- /bin/vi

Eugene Grosbein написал(а) к Alexey Vissarionov в Feb 15 20:59:48 по местному времени:

04 фев 2015, среда, в 16:55 NOVT, Alexey Vissarionov написал(а):

IL>>>> Провайдер ТТК в регионе стал двать клиентам серые IP адреса
IL>>>> (канальное подключение PPPoE). После этого выяснилось что
IL>>>> через их NAT не работает PPTP, серому клиенту не приходят
IL>>>> GRE-пакеты от белого PPTP-сервера
AV>>> Работа GRE через NAT - лотерея. Теоретически такое можно реализовать
AV>>> средствами Linux Netfilter, да и то с определенными ограничениями.
EG>> PPtP использует модифицированный GRE, который прекрасно работает
EG>> через NAT, который умеет PPTPGRE.
AV> Ну, если только модифицированный...
EG>> Фрёвый libalias (natd, ipfw nat) спокойно натит произвольное
EG>> количество параллельных PPtP-туннелей.
AV> Думаю, возможности ненатуральских систем здесь мало кому интересны.

Вот только не надо холиваров и снобизма, не та эха.
Да ещё и облажавшись по поводу PPtP и NAT.

IL>>>> Для этого хотелось бы знать на сколько это реальная проблема для
IL>>>> провайдера уровня ТТК, лень ли это их спецов, либо действительно
IL>>>> есть ограничения Цисок провайдеров средней руки.
AV>>> Есть ограничение протокола PPTP: его можно применять только внутри
AV>>> сети, полностью контролируемой тобой.
EG>> Неправда, PPtP с 128-битным шифрованием,
AV> Эээээ... ЩИТО?!
AV> Шифрование - это сеть Фейстеля и 256-битный ключ. Остальное - профанация.

Ты не сможешь доказать, что PPtP/MPPE128 в качестве VPN через WAN
взламывается с оправданной затратой ресурсов на взлом.

EG>> компрессией
AV> Не влияет на защищенность.

Но влияет на юзабельность.

EG>> и стойкими несловарными паролями
AV> Какими нахрен паролями? На календарь посмотри - 20 век уже давно закончился.
AV> Ключи и только ключи,

Ты, видимо, имеешь в виду не столько ключи (что ключ, что пароль -
один хрен), а ассиметричное шифрование с публичными/приватными парами.
Так вот нифига подобного, пароли никуда не делись.

EG>> вполне применим для VPN через WAN для трафика, где нет гостайны :-)
AV> PPTP - это не VPN.

PPtP это одна из реализаций VPN.

AV>>> Для всего остального существует OpenVPN.
EG>> А лучше L2TP.
AV> L2TP - тоже не VPN.

L2TP это стандартизированный способ передать через UDP
хоть нешифрованный IP, хоть IP, шифрованный IPSEC-ом,
хоть PPP, шифрованный MPPE. Вполне пригоден для построения VPN.

А вот у OpenVPN столько проблем дизайна, что его можно использовать
только в песочницах. Начиная с того, что совместим он только сам с собой.

Eugene
--- slrn/1.0.1 (FreeBSD)

Igor O. Ladygin написал(а) к Alexandr Kruglikov в Feb 15 07:00:35 по местному времени:

From: "Igor O. Ladygin" <assa@zabtrans.ru>

04.02.2015 18:32, Alexandr Kruglikov пишет:
> Привет, Igor!
>
> 04 фев 15 12:52, Igor O. Ladygin -> All написал:
>
>
> IL> Провайдер ТТК в регионе стал двать клиентам серые IP адреса
>
> Какой регион, если не секрет? /me инженер ТТК в регионе, у нас специально
> прописаны правила для gre.

Спасибо за ответ, Александр, Чита (Забайкальский край). Я общался с
эникейной техподдержкой, с инженером меня не соединяли, но если
необходимо я могу выяснить точнее с кем там общаться. Так вопрос
все-таки в ТТК решаемый?

--
Sent by ASSA
--- ifmail v.2.15dev5.4

Alexandr Kruglikov написал(а) к Igor O. Ladygin в Feb 15 11:13:16 по местному времени:

Привет, Igor!

05 фев 15 07:00, Igor O. Ladygin -> Alexandr Kruglikov написал:

IL> Спасибо за ответ, Александр, Чита (Забайкальский край).

Нет, Чита далековато))) Попробуйте добиться соединения с инженерами)
А что мешает купить белый ИП и вылезти из за НАТа?

С наилучшими пожеланиями, Alexandr.

--- "OS X/Golded-NSF/CrashMail" ---

Eugene Grosbein написал(а) к Alexandr Kruglikov в Feb 15 17:09:32 по местному времени:

05 фев 2015, четверг, в 12:13 NOVT, Alexandr Kruglikov написал(а):

IL>> Спасибо за ответ, Александр, Чита (Забайкальский край).
AK> Нет, Чита далековато))) Попробуйте добиться соединения с инженерами)
AK> А что мешает купить белый ИП и вылезти из за НАТа?

Крупный провайдер типа ТТК может тупо отказаться менять схему
подключения физическому лицу.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.1 (FreeBSD)