PPTP з'єднання – що це таке і чи безпечно його використовувати? PPTP VPN - що це
VPN-тунелі - поширений вид зв'язку типу "крапка-крапка" на основі стандартного інтернет-з'єднання через роутери MikroTik. Вони є, власне " канал усередині каналу " - виділену лінію всередині основний.
Необхідність налаштування тунельного VPN-з'єднання на MikroTik виникає у випадках, коли:
- Потрібно надати доступ до корпоративної мережі співробітникам підприємства, які працюють з дому, або перебуваючи у відрядженні, у тому числі з мобільних пристроїв.
- Потрібно надати доступ в інтернет абонентам провайдера(Останнім часом така реалізація доступу клієнтів стає все більш популярною).
- Необхідно з'єднати два віддалені підрозділи підприємствазахищеним каналом у зв'язку з мінімальними витратами.
На відміну від звичайної мережі, де дані передаються відкрито та в незашифрованому вигляді, VPN є захищеним каналом зв'язку. Рівень захисту залежить від типу тунельного протоколу, вибраного для з'єднання.Так, найменш захищеним вважається протокол PPtP, навіть його "верхній" алгоритм автентифікації mschap2 має низку проблем безпеки і легко зламується. Найбезпечнішим вважається набір протоколів IPsec.
Незважаючи на докоряючу картинку, іноді сенс у відключенні шифрування та аутентифікації все ж таки є. Багато моделей MikroTik не підтримують апаратне шифрування і обробка всіх процесів, пов'язаних із захистом з'єднання відбувається на рівні CPU.Якщо безпека з'єднання не є для вас критичним моментом, а продуктивність роутера, що використовується, залишає бажати кращого, то відключення шифрування можна використовувати для розвантаження процесора.
Вибір протоколу для VPN на MikroTik
Для налаштування з'єднання VPN через MikroTik найчастіше використовуються наступні протоколи:
У сьогоднішній статті ми розглянемо налаштування підключення VPN за допомогою двох з них, як найбільш часто зустрічаються в роботі провайдера та системного адміністратора: PPtP та PPPoE. Продовження теми – у наступних статтях.
VPN через PPtP на MikroTik
PPtP – найпоширеніший протокол VPN. Це зв'язок протоколу TCP, який використовується для передачі даних, і GRE - для інкапсуляції пакетів. Найчастіше використовується для віддаленого доступу користувачів до корпоративної мережі. В принципі, може використовуватися для багатьох завдань VPN, проте слід враховувати його вади в безпеці.
Простий у налаштуванні. Для організації тунелю потрібно:
створити на роутері MikroTik, через який користувачі підключатимуться до корпоративної мережі, PPtP-сервер,
створити профілі користувачів з логінами/паролями для ідентифікації на стороні сервера,
створити правила-виключення Firewall маршрутизатора для того, щоб підключення безперешкодно проходили через брандмауер.
Включаємо сервер PPtP.
Для цього йдемо у розділ меню PPP, заходимо на вкладку Interfaceвгорі в переліку вкладок знаходимо PPTP серверта ставимо галочку у пункті Enabled.
Знімаємо галочки з найменш безпечних алгоритмів ідентифікації – pap і chap.
Створюємо користувачів.
В розділі PPPпереходимо в менюSecretsта за допомогою кнопки "+ Додаємо нового користувача.
У полях Nameі Passwordпрописуємо, відповідно логін та пароль, який використовуватиме користувач для підключення до тунелю.
В полі Serviceвибираємо тип нашого протоколу - pptp, у полі Local Addressпишемо IP-адресу роутера MikroTik, яка буде виступати в ролі VPN-сервера, а в полі Remote Address - IP-адреса користувача
Прописуємо правила для Firewall.
Нам потрібно відкрити 1723 порт для трафіку TCP-протоколом для роботи VPN-тунелю MikroTik, а також дозволити протокол GRE. Для цього йдемо в розділ IP,потім - у Firewall, потім на вкладку Filter Rules, де за допомогою кнопки "+" додаємо нове правило. В полі Chainвказуємо вхідний трафік - input, в полі Protocolобираємо протокол tcp, а в полі Dst. Port- вказуємо порт для VPN тунелю 1723 .
Переходимо тут же на вкладку Actionі вибираємо accept- Дозволяти (трафік).
Так само додаємо правило для GRE. На вкладці Generalаналогічно попередньому прописуємо input, а в полі Protocolобираємо gre.
На вкладці Actionяк і в попередньому правилі вибираємоaccept.
Не забуваємо підняти ці правила у загальному списку нагору, поставивши ПЕРЕД забороняючими правилами, інакше вони не працюватимуть. У RouterOS Mikrotik це можна зробити перетягуванням правил у вікні FireWall.
Все, PPtP сервер для VPN на MikroTik піднято.
Невелике уточнення.
У деяких випадках, коли при підключенні необхідно бачити локальну мережу за маршрутизатором, потрібно увімкнути proxy-arp у налаштуваннях локальної мережі. Для цього йдемо в розділ інтерфейсів (Interface), знаходимо інтерфейс, що відповідає локальній мережі та на вкладці Generalв полі ARPобираємо proxy-arp.
Якщо ви підняли VPN між двома роутерами MikroTik, і вам необхідно дозволити передачу broadcast, можна спробувати додати існуючий профіль підключення (PPP - Profiles) віддаленого роутера в бридж.
UPD із коментаря:Якщо вам додатково потрібно отримати доступ до розшарованих папок на комп'ютерах локальної мережі, знадобиться також відкрити порт 445 для трафіку SMB-протоколу, що відповідає за Windows Shared. (Правило forward у брандмауері).
Налаштування клієнта .
На стороні VPN-клієнта налаштування полягають тільки в тому, щоб створити підключення по VPN, вказати IP-адреса VPN(PPtP) сервера, логін та пароль користувача.
VPN через PPPoE на MikroTik
Своєю поширеністю останнім часом VPN за протоколом PPPOE зобов'язаний провайдерам, що надають широкосмуговий, у т.ч. бездротовий доступв інтернет. Протокол передбачає можливість стиснення даних, шифрування, а також характеризується:
Доступністю та простотою налаштування.
Підтримка більшістю маршрутизаторів MikroTik.
Стабільністю.
Масштабованість.
Стійкістю зашифрованого трафіку до ARP-спуфінгу ( мережевій атаці, що використовує уразливість протоколу ARP).
Меншою ресурсоємністю та навантаженням на сервер, ніж PPtP.
Також його перевагою є можливість використання динамічних IP-адрес: не потрібно призначати певний IP кінцевим вузлам VPN-тунелю. Підключення з боку клієнта здійснюється без складних налаштувань, тільки за логіном та паролем.
Налаштування VPN-сервера PPPoE MikroTik
Налаштовуємо профілі сервера.
Декілька профілів PPPoE-сервера можуть знадобитися, якщо ви провайдер і роздаєте інтернет за декількома тарифними пакетами. Відповідно, у кожному профілі можна налаштувати різні обмеження швидкості.
Ідемо у розділ PPP, відкриваємо пунктProfilesта за допомогою кнопки "+ створюємо новий профіль. Даємо йому зрозумілу нам назву, прописуємо локальну адресу сервера (роутера), відзначаємо опціюChange TCP MSS(Коректування MSS), для того, щоб всі сайти нормально відкривалися.
До речі, в деяких випадках, коли виникають проблеми з відкриттям деяких сайтів, при тому що пінги на них проходять, можна зробити інакше. Коригування MSS відключаємо, а через термінал прописуємо на роутері наступне правило:
"ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no". У більшості випадків це вирішує проблему.
Далі на вкладціProtocolsвсе відключаємо, для покращення продуктивності. Якщо захищеність з'єднання вам важлива і продуктивність маршрутизатора дозволяє, то опціюUse Encryption(використовувати шифрування) не відключайте.
На вкладці Limitsвстановлюємо обмеження за швидкістю, якщо потрібно. Перша цифра в обмеженні швидкості - трафік, що входить на сервер (виходить від абонента), друга - наш вихідний трафік (що входить у абонента).
Ставимо Yesу пункті Only OneЦе означає, що два і більше абонентів з одним і тим же набором логін/пароль не зможуть підключитися до PPPoE-сервера, тільки один.
Тепер, якщо необхідно, створюємо інші профілі простим копіюванням (кнопкаCopyна попередньому скріншоті) і міняємо ім'я та обмеження за швидкістю.
Створюємо облікові записи користувачів .
У тому ж розділі PPPзнаходимо пункт менюSecrets. У ньому за допомогою кнопки "+" створюємо нового користувача, який підключатиметься до нас за VPN-тунелем.
Заповнюємо поля Name і Password (логін та пароль, який вводитиме користувач зі свого боку, щоб підключитися).
В полі Serviceобираємо pppoe, в Profile- відповідний профіль, даному випадку- тарифний пакет, яким користується абонент. Привласнюємо користувачеві IP-адресу, яка при підключенні сервер роздасть абоненту.
Якщо підключаємо кілька користувачів, створюємо для кожного окрему обліковий запис, змінюючи ім'я/пароль та IP-адресу.
Прив'язуємо сервер PPPoE до певного інтерфейсу MikroTik.
Тепер нам необхідно повідомити маршрутизатор, на якому інтерфейсі він повинен "слухати" вхідні підключення від VPN PPPoE клієнтів. Для цього у розділі PPP ми вибираємо пункт PPPoE Servers. Тут ми міняємо:
Поле Interface - вибираємо той інтерфейс, до якого підключатимуться клієнти,
- Keepalive Timeout – 30 секунд (час очікування відповіді від клієнта до розриву з'єднання)
- Default Profile - профіль, який буде присвоюватися абонентам за замовчуванням,
- Ставимо галку в One Session Per Host, дозволяючи тим самим підключення тільки одного тунелю з маршрутизатора клієнта або комп'ютера.
- Галочки в розділі аутентифікації залишаємо/знімаємо на розсуд.
Налаштовуємо NAT для доступу клієнтів до інтернету.
Ми підняли PPPoE сервер, і тепер до нього можуть підключатися авторизовані користувачі. Якщо нам потрібно, щоб користувачі, що приєдналися по VPN тунелю, мали доступ в інтернет, потрібно налаштувати NAT (маскарадинг), або перетворення локальних мережевих адрес.
В розділі IPвибираємо пункт Firewallта за допомогою кнопки "+" додаємо нове правило.
В полі Chainмає стояти srcnatщо означає, що маршрутизатор буде застосовувати це правило до трафіку, спрямованого "зсередини назовні".
В полі Src. Address(вихідна адреса) прописуємо діапазон адрес 10.1.0.0/16 . Це означає, що це клієнти з адресами 10.1. (0.0-255.255) виходитимуть у мережу через NAT, т. е. ми перераховуємо тут всіх потенційних абонентів.
В полі Dst. Address(адреса призначення) вказуємо!10.0.0.0/8 - діапазон адрес, що означає власний адресний простір для приватних мереж, знаком окликупопереду. Це вказує роутеру на виняток - якщо хтось із локальної мережі звертається на адресу в нашій мережі, то NAT не застосовується, з'єднання відбувається безпосередньо.
А на вкладці Actionпрописуємо, власне, дія маскарадингу - заміни локальної адреси пристрою на зовнішню адресу роутера.
Налаштування VPN-клієнта PPPoE
Якщо на тій стороні VPN тунелю підключення відбуватиметься з комп'ютера або ноутбука, то просто потрібно буде створити високошвидкісне підключення через PPPoE у Центрі керування мережами та спільним доступом(Для Win 7, Win 8). Якщо на другому боці – теж роутер Mikrotik, то підключаємо наступним чином.
Додаємо PPPoE інтерфейс.
На вкладці Interfaceвибираємо PPPoE Client та за допомогою кнопки "+" додаємо новий інтерфейс.
Тут у полі Interfaceми вибираємо той інтерфейс роутера Mikrotik, на якому ми організуємо VPN-тунель.
Прописуємо налаштування підключення.
Ставимо галочку у полі Use Peer DNS- щоб адресу DNS сервера ми отримували з сервера VPN (від провайдера), а не прописували вручну.
Налаштування аутентифікації (галочки в pap, chap, mschap1, mschap2) мають бути узгоджені із сервером.
, і як його можна використати? На сьогоднішній день мало хто з сучасних користувачів знає що це.
Більше того, деякі користувачі, використовуючи його, іноді навіть не підозрюють, що є його активними користувачами.
А дізнаються про його існування просто випадково, не ставлячи навіть за мету зрозуміти що це, і чим воно таке корисне.
Введення у теорію PPTP
Назва підключення або з'єднання PPTP походить від імені протоколу, на основі якого і побудовано таке підключення. Повне розшифрування його англомовної абревіатури звучить як point to point tunneling protocol. Що, власне, означає тунельний протокол від точки до точки.
Точками в цьому випадку позначені пари абонентів, які зв'язуються шляхом передачі даних зашифрованих у пакети та передаються за допомогою незахищених мереж, побудованих за принципами TCP/IP. Для когось таке визначення здасться надто складним, але це лише вершина айсберга.
Якщо розглядати з'єднання PPTP докладніше, виявиться, що воно дозволяє перетворювати кадри PPP на IP-пакети звичного типу. А саме вони передаються по каналу зв'язку, наприклад, через інтернет або інший провідний, а також бездротової мережі.
Важливо, що PPTP складно назвати ідеальним, і в ряді випадків цей спосіб програє у порівнянні з іншими моделями типу IPSec, оскільки має менший рівень безпеки. Втім, це не заважає його використати всюди і досить широко. Від такого не варто відмовлятися і зараз розглянемо чому.
Рис. 1 – Схематичне зображення PPTP з'єднання
Що дає з'єднання PPTP
Незважаючи на деякі огріхи безпеки, з'єднання PPTP дозволяє забезпечити базовий захист даних і тому такий протокол має широку сферу застосування. Зокрема, його можна успішно використовувати для здійснення далеких дзвінків з відчутною економією.
Відбувається це тому, що цей протокол не вимагає прямого з'єднання між двома абонентами. Воно виробляється за захищеною лінією в інтернеті, яка і називається тунелем. Щодо тунелю, то він використовується виключно в ролі посередника.
У той же час PPTP успішно застосовується при формуванні клієнт-серверних з'єднань. І тут з'єднання відбувається трохи інакше. Абонент, тобто користувач підключає свій термінал - робочий пристрій до сервера за допомогою захищеного каналу.
Основні правила підключення PPTP
Але перш ніж почати роботу з підключенням PPTP, його слід налаштувати та дотриматися кількох важливих умов. До особливостей налаштування тунелювання варто віднести наступне:
- порт TCP №1723;
- порт IP GRE №
При цьому, щоб дані налаштування працювали відповідним чином, параметри вбудованого брандмауера (або мережного екрана) не повинні обмежувати потік IP-пакетів. Їх відправлення та прийом має бути вільним. Втім, навіть якщо ці правила будуть дотримані при налаштуванні підключення локально, не факт, що PPTP працюватиме коректно.
Важливо: Для правильної роботи протоколу провайдер повинен забезпечити повну свободу пересилання тунельованих даних.
Деталізація процесу підключення
Згадані вище точки з'єднуються за допомогою PPP-сесії, що формується на платформі протоколу GRE. Його абревіатура розшифровується як Generic Routing Encapsulation. За його менеджмент та ініціалізацію відповідає друге підключення порту TCP.
Інформація у формі пакета IPX який передається від точки до точки називається корисним навантаженням, а доповнюється він керуючою інформацією. Коли цей пакет потрапляє до іншого кінця лінії спеціальний додатоквитягує дані, що містяться в ньому, після чого вони відправляються на постобробку. Постобробку проводяться вбудованими засобами системи відповідно до зазначеного протоколу.
Варто зазначити, що злом даних можливий лише у процесі одержання. В іншому безпека забезпечується за рахунок тунелю - захисного коридору. Тому важливо використовувати добре продуману комбінацію логіну та паролю, які й відповідають за безпеку в процесі надсилання/отримання даних, а не в процесі пересилання.
Приклад налаштування параметрів PPTP у OS MS WINDOWS 7
Щоб зрозуміти всі тонкощі PPTP-з'єднання, варто спробувати самостійно провести налаштування такого підключення. Ми розглянемо, як цей процес відбувається в системі, зокрема, у популярній сьомій її версії. Зробити це нескладно дотримуючись наших рекомендацій.
Спочатку потрібно запустити Панель управління. Провести це найпростіше з меню Пуск. У ній знадобиться вибрати категорію Центр управління мережами.
Потрапити туди можна і минаючи описаний ланцюжок. У такому разі слід вибрати з контекстного меню, викликаного мережному підключенню, той самий пункт. Знайти його можна в області повідомлень, розташованої праворуч у нижній частині екрана.
Після запуску Центру управління можна буде вносити зміни до властивостей мережевого адаптера. З цією метою знадобиться у лівій області вікна вибрати команду Зміна параметрів мережного адаптера. Потім можна викликати пункт Властивості з контекстного меню для наявного локального підключення.
Далі у діалозі знадобиться встановити дані протоколу TCP/IPv4, отримані від провайдера зв'язку. При цьому велика частина провайдерів дозволяє встановлювати адреси на робочих станціях для DNS та IP серверів автоматичному режимі. Після введення даних їх потрібно зберегти.
Після внесення змін до налаштувань потрібно буде активувати підключення. З цією метою в основному вікні Центру управління потрібно виділити налаштоване раніше підключення та викликати для нього меню правою кнопкою миші. У ньому слід вибрати пункт Увімкнути.
Ймовірно, багато користувачів чули про такий термін, як з'єднання PPTP. Що це таке, деякі не уявляють навіть віддалено. Однак, якщо описувати принципи встановлення з'єднання на основі цього протоколу простою мовою, зрозуміти їх неважко.
Поєднання PPTP: що це?
Підключення такого типу будується на основі однойменного протоколу, скорочення в назві якого походить від англійського point-to-point tunneling protocol, що можна перекласти як «тунельний протокол типу «точка-точка». Іншими словами, це з'єднання між двома абонентами через передачу пакетів даних у зашифрованому вигляді через незахищені мережі на основі TCP/IP.
Тип з'єднання PPTP дозволяє перетворювати так звані кадри PPP в стандартні IP-пакети, які передаються, наприклад, за допомогою того ж інтернету. І хоча, як вважається, протокол PPTP за рівнем безпеки поступається деяким іншим варіантам типу IPSec, він сьогодні має досить велике поширення, адже, по суті, користувач має справу з одним з різновидів VPN-підключень (бездротове з'єднання).
З'єднання PPTP: для чого потрібне його використання?
Сфера застосування цього протоколу дуже велика. Насамперед, такий вид з'єднання між двома користувачами дозволяє не тільки захистити інформацію, що передається, але й суттєво економити на далеких дзвінках.
Крім того, цей протокол буває дуже часто незамінним при забезпеченні зв'язку між двома локальними мережамисаме за допомогою передачі пакетів в інтернеті по захищеній лінії (тунелю) без прямого з'єднання між ними. Тобто, безпосереднього контакту дві локальні мережі не мають і використовують тунель як посередник.
З іншого боку, тунелювання на основі PPTP може застосовуватися і при створенні з'єднання типу «клієнт-сервер», коли термінал користувача підключається до сервера по захищеному каналу.
Реалізація PPTP у різних ОС
Тепер трохи відвернемось і з іншого боку подивимося на з'єднання PPTP. Що це таке, з моменту розробки протоколу корпорацією Microsoft тоді мало хто розумів. І вперше у повноцінному варіанті його було реалізовано компанією Cisco.
Тим не менш, і фахівці Microsoft не відставали. Починаючи з версії Windows 95 OSR2, можливості створення підключення на основі PPTP з'явилися і в пізніших програмних продуктах, причому навіть із вбудованими засобами налаштування PPTP-сервера. Далі як приклад буде розглянуто PPTP-з'єднання Windows 7, тим більше, що саме ця система на сьогоднішній день залишається найбільш популярною у більшості користувачів.
У системах Linux донедавна повної підтримки цієї технології не було. Вона з'явилася лише у модифікації 2.6.13, а офіційно була заявлена у версії ядра 2.6.14.
Системи FreeBSD та Mac OS X поставляються із вбудованими PPTP-клієнтами. КПК Palm, що мають підтримку бездротового з'єднання Wi-Fi, обладнані клієнтом Mergic.
Початкові умови для коректного з'єднання
Використання тунелювання є досить специфічним. Налаштування PPTP-з'єднання передбачає використання TCP-порту 1723 та обов'язково - протоколу IP GRE з номером 47.
З цього випливає, що настройка якщо така є, або вбудованого брендмауера Windows повинна бути такою, щоб IP-пакети могли проходити вільно і без обмежень. Це стосується не тільки машин або локальних мереж. Така вільна передача тунельованих даних повинна забезпечуватися і на рівні провайдера.
У разі використання NAT на проміжній стадії передачі даних відповідно має бути налаштована обробка VPN у цьому сегменті.
Загальні принципи роботи та підключення
Ми розглянули досить стисло з'єднання PPTP. Що це таке, багатьом, мабуть, уже хоч трохи зрозуміло. Повна ясність у питання буде внесена після розгляду основних принципів функціонування протоколу та зв'язку на його основі, а також у розділі, де буде показаний процес встановлення кроків з'єднання PPTP GRE.
Отже, з'єднання між двома точками встановлюється на основі звичайної сесії PPP на основі протоколу GRE (інкапсуляція). Друге підключення безпосередньо на порті TCP відповідає за керування GRE та ініціацію.
Сам пакет IPX, що передається, складається власне з даних, іноді званих корисним навантаженням, і додаткової керуючої інформації. Що відбувається при отриманні пакета на іншому кінці лінії? Відповідна програма для PPTP-з'єднання хіба що витягує що міститься у цільному пакеті IPX інформацію та відправляє в обробку з допомогою коштів, відповідних власному протоколу системи.
Крім того, однією з важливих складових тунельної передачі та прийому основної інформації є обов'язкова умова використання доступу за допомогою комбінації «логін-пароль». Звичайно, зламати логіни та паролі на стадії отримання можна, але в процесі передачі інформації через захищений коридор (тунель) - ніяк.
Засоби захисту з'єднання
Як мовилося раніше, тунелювання з урахуванням протоколу PPTP захищеним абсолютно у всіх аспектах немає. Однак, якщо врахувати, що застосовуються такі засоби, як EAP-TLS, MSCHAP-v2 або навіть MPEE, можна говорити про досить високий рівень захисту.
Іноді підвищення рівня безпеки можуть застосовуватися відповідні дзвінки (дзвони), у яких передавальна чи приймаюча сторона виробляє підтвердження підключення і передачі програмним способом.
Налаштування PPTP власними засобами Windows 7: параметри мережного адаптера
Налаштувати PPTP-з'єднання будь-якої системі Windowsдосить просто. Як уже говорилося, як приклад беремо «сімку».
Спочатку потрібно зайти в «Центр управління мережами та спільним доступом». Зробити це можна або з "Панелі управління". Або з меню, яке викликається правим кліком на піктограмі інтернет- або мережного підключення.
Зліва в меню є рядок зміни параметрів мережного адаптера, який і потрібно задіяти, після чого правим кліком на підключенні через локальну мережу викликати контекстне менюта вибрати рядок властивостей.
У новому вікні використовуємо властивості протоколу TCP/IPv4. У вікні настройок слід прописати параметри, надані провайдером під час підключення (у більшості випадків встановлюється автоматичне отримання адрес для IP та DNS-серверів).
Зберігаємо зміни та повертаємося до підключення по локальній мережі, де потрібно перевірити, чи воно активно в даний момент. Для цього використається правий клік. Якщо у верхньому рядку вказано «Вимкнути», значить з'єднання активно. Інакше вмикаємо його.
Створення та налаштування параметрів VPN
На наступному етапі необхідно створити VPN-підключення. Для цього у розділі «Центру керування» у правій частині вікна використовуємо рядок створення нового підключення.
Після цього вибираємо підключення до робочого місця, а потім використання існуючого підключення до інтернету.
Далі відкладаємо налаштування-інтернет-з'єднання, а в наступному вікні вказуємо інтернет-адресу оператора VPN і вводимо довільне ім'я (обов'язково внизу ставимо галочку навпроти рядка «Не підключатися зараз»).
Після цього вводимо логін та пароль, якщо такі передбачені договір на надання послуг, і натискаємо кнопку «Створити».
У списку доступних підключень вибираємо щойно створене і в новому вікні натискаємо кнопку властивостей. Далі діяти потрібно дуже акуратно. На вкладці безпеки обов'язково необхідно встановити такі параметри:
- тип VPN: автоматичний;
- шифрування даних: необов'язкове;
- дозволи протоколів: CHAP та CHAP версії 2.
Підтверджуємо зміни, переходимо до вікна установки з'єднання, де тиснемо кнопку підключення. Якщо налаштування здійснено належним чином, буде підключено до Інтернету.
Чи варто використовувати сторонні утиліти?
На питання установки додаткових PPTP-серверів або клієнтів користувачі реагують по-різному, проте більшість з них сходиться на думці, що налаштування та використання вбудованого модуля Windows виглядає набагато кращим у плані простоти.
Можна, звичайно, інсталювати щось на зразок пакета pfSense, що представляє собою міжмережевий екран-маршрутизатор, проте його «рідний» клієнт Multilink PPP Daemon має безліч проблем з використанням Windows-серверів на основі PPTP у плані розподілу використання протоколу аутентифікації між клієнтом і сервером хоча на домашніх терміналах таких проблем помічено не було. У налаштуванні ця утиліта, так само як і будь-які інші, набагато складніше, і без спеціальних знань вказати правильні параметри або виправити постійний «зліт» IP-адреси користувача неможливо.
Можна спробувати деякі інші клієнтські або серверні утиліти, призначені для встановлення з'єднання PPTP, однак який сенс завантажувати систему непотрібними програмамиКоли в будь-якій ОС Windows є власні кошти? Більш того, деякі програми не тільки складні в налаштуванні, але ще й можуть викликати конфлікти на програмному та фізичному рівні. Тож краще обмежитися тим, що є.
Замість післямови
Ось, власне, і все, що стосується протоколу PPTP, а також створення, налаштування та використання тунельного з'єднання на його основі. Щодо його використання, для рядового користувача воно не виправдане. Просто виникають законні сумніви, що комусь може знадобитися захищений канал зв'язку. Якщо вже потрібно захистити свій IP, краще використовувати анонімні проксі-сервери в інтернеті або так звані анонімайзери.
Зате для забезпечення взаємодії між локальними мережами комерційних підприємств або будь-яких інших структур установка PPTP-з'єднання може стати найпростішим виходом. І хоч таке підключення на всі сто безпеку не забезпечить, проте частка здорового глузду в його залученні є.
PPTP(англ. Point-to-point tunneling protocol) - тунельний протокол типу точка-точка, що дозволяє комп'ютеру встановлювати захищене з'єднання з сервером за рахунок створення спеціального тунелю в стандартній, незахищеній мережі. PPTP містить (інкапсулює) кадри PPP в IP-пакети для передачі по глобальній IP-мережі, наприклад Інтернет. PPTP також може використовуватися для організації тунелю між двома локальними мережами. РРТР використовує додаткове з'єднання TCP для обслуговування тунелю.
Специфікація
Специфікація протоколу була опублікована як «інформаційний» RFC 2637 у 1999 році. Вона не була ратифікована IETF. Протокол вважається менш безпечним, ніж інші протоколи VPN, наприклад, IPSec. PPTP працює, встановлюючи звичайну PPP сесію із протилежною стороною за допомогою протоколу Generic Routing Encapsulation. Друге з'єднання TCP-порту 1723 використовується для ініціації та управління GRE-з'єднанням. PPTP складно перенаправляти за мережевий екран, оскільки він вимагає одночасного встановлення двох мережевих сесій.
PPTP-трафік можна зашифрувати за допомогою MPPE. Для аутентифікації клієнтів можуть використовуватись різні механізми, найбезпечніші з них - MSCHAP-v2 та EAP-TLS.
Реалізація PPTP
Cisco першою реалізувала PPTP та пізніше ліцензувала цю технологію корпорації Microsoft.
PPTP вдалося досягти популярності завдяки тому, що це перший VPN протокол, підтримуваний корпорацією Microsoft. Усі версії Microsoft Windows, починаючи з Windows 95 OSR2, включають до свого складу PPTP-клієнт, проте існує обмеження на два одночасні вихідні з'єднання. А сервіс дистанційного доступудля Microsoft Windows включає PPTP сервер.
Донедавна в Linux-дистрибутивах була відсутня повна підтримка PPTP через побоювання патентних претензій щодо протоколу MPPE. Вперше повна підтримка MPPE з'явилася у Linux 2.6.13. Офіційно підтримка PPTP розпочато з версії ядра Linux 2.6.14.
Операційна система FreeBSD підтримує PPTP протокол, використовуючи як сервер PPTP порт mpd (/usr/ports/net/mpd), використовуючи підсистему netgraph. Як клієнт PPTP у системі FreeBSD може бути або порт pptpclient (/usr/ports/net/pptpclient), або порт mpd, що у режимі клієнта.
Mac OS X поставляється із вбудованим PPTP клієнтом. Cisco та Efficient Networks продають реалізації PPTP клієнта для старіших версій Mac OS. КПК Palm, що мають підтримку Wi-Fi, постачаються з PPTP клієнтом Mergic.
Microsoft Windows Mobile 2003 і новіші також підтримують PPTP.
Зверніть увагу, що PPTP VPN сервіс використовує для своєї роботи порт TCP 1721/TCP і протокол IP GRE (номер 47). Такі пакети повинні проходити через Ваш Firewall/NAT (і відповідно Firewall/NAT Вашого провайдера), а якщо по дорозі до нашого сервера є NAT, то він повинен коректно обробляти VPN з'єднання в цілому (як правило, це здійснюється за допомогою модуля PPTP NAT helper).
Наші сервери підтримують PPTP VPN з MPPE (Microsoft Point-to-Point Encryption) шифруванням та MPPC стисненням.
