Մենյու
տունՄուլտիմեդիա

PPTP կապ - ինչ է դա: PPTP կապ - ինչ է դա և արդյո՞ք անվտանգ է օգտագործել: ստեղծել pptp կապ Windows 7

Մեր օգտատերերի կողմից հաճախ տրվող հարցերից մեկն այն է, թե ինչպես ավելացնել այլ IP հասցե իրենց սերվերին: Դուք կարող եք ձեր անձնական IP հասցեն հատկացնել ձեր կաթիլին՝ ստեղծելով VPN թունել: Ձեր սեփական վիրտուալը կառուցելու համար մասնավոր ցանց(VPN) կամ այս IP հասցեին SSL վկայագիր նշանակելը, կան մի քանի տարբերակներ. Բոլորից տարբերակներըլավագույն ընտրությունը PPTP-ի և OpenVPN-ի միջև է: Point-to-Point Tunneling Protocol (PPTP) թույլ է տալիս շատ արագ վեր հանել ձեր VPN-ը և համատեղելի է մեծ մասի հետ շարժական սարքեր. Թեև PPTP-ն ավելի քիչ ապահով է, քան OpenVPN-ն, այն ավելի արագ է և ավելի քիչ պրոցեսոր է օգտագործում:

Քայլ 1 — PPTP-ի տեղադրում

Դուք պետք է ընտրեք մեկ սերվեր, որը պատասխանատու կլինի IP հասցեները այլ սերվերներին բաշխելու և ձեր բոլոր սերվերներին ձեր VPN-ում լիազորելու համար: Այն կդառնա ձեր PPTP սերվերը:

CentOS 6 x64-ում.

Rpm -i http://poptop.sourceforge.net/yum/stable/rhel6/pptp-release-current.noarch.rpm yum -y տեղադրել pptpd

Ubuntu 12.10 x64-ում.

apt-get install pptpd

Այժմ դուք պետք է խմբագրեք /etc/pptpd.conf ֆայլը՝ դրան ավելացնելով հետևյալ տողերը.

localip 10.0.0.1 remoteip 10.0.0.100-200

Այս դեպքում, localip-ը ձեր սերվերի IP հասցեն է, իսկ remoteip-ը՝ IP հասցեները, որոնք վերագրվելու են դրան միացող հաճախորդներին:

Այստեղ հաճախորդը օգտանունն է (մուտք), սերվերը՝ ծառայության տեսակը (մեր օրինակում՝ pptpd), գաղտնիքը՝ գաղտնաբառը, և IP հասցեները ցույց են տալիս, թե որ IP հասցեները կարող են մուտք գործել (տվյալ մուտքով և գաղտնաբառով): IP հասցեի դաշտում աստղանիշ * դնելով, դուք նշում եք, որ այս մուտքի/գաղտնաբառի զույգը պետք է ընդունվի ցանկացած IP-ից:

Քայլ 2 — DNS սերվերների ավելացում /etc/ppp/pptpd-options-ին

ms-dns 8.8.8.8 ms-dns 8.8.4.4

Այժմ դուք կարող եք սկսել PPTP daemon-ը.

Ծառայության pptpd վերագործարկում

Ստուգեք, որ այն աշխատում է և ընդունում է միացումներ.

Քայլ 3 - Փոխանցման կարգավորում

Շատ կարևոր է միացնել IP վերահասցեավորումը ձեր PPTP սերվերի վրա: Սա թույլ կտա ձեզ փոխանցել փաթեթներ հանրային IP-ի և մասնավոր IP-ների միջև, որոնք կազմաձևել եք PPTP-ով: Պարզապես խմբագրեք /etc/sysctl.conf և ավելացրեք հետևյալ տողը, եթե այն արդեն չկա.

Net.ipv4.ip_forward = 1

Փոփոխությունները կիրառելու համար գործարկեք հրամանը sysctl -p

Քայլ 4 — NAT կանոնների ստեղծում iptable-ների համար

iptables -t nat -A POSTROUTING -o eth0 -j DISQUERADE && iptables-save

Եթե ​​ցանկանում եք նաև, որ ձեր PPTP հաճախորդները շփվեն միմյանց հետ, ավելացրեք հետևյալ կանոնները iptables-ում.

Iptables --աղյուսակ nat --հավելել POSTROUTING --դուրս ինտերֆեյս ppp0 -j ԿԻՐԱԿԱՆԱՑՈՒՄ iptables -I INPUT -s 10.0.0.0/8 -i ppp0 -j ԸՆԴՈՒՆԵԼ iptables --ավելցնել FORWARD --in-interface eth0 -j ACPTCE

Այժմ ձեր PPTP սերվերը նույնպես աշխատում է որպես երթուղիչ:

Եթե ​​ցանկանում եք սահմանել, թե որ սերվերները կարող են միանալ ձեր կաթիլներին, կարող եք ստեղծել IP աղյուսակի կանոն, որը սահմանափակում է TCP կապերը 1723 պորտին:

Քայլ 5 — Հաճախորդների կարգավորում

Տեղադրեք PPTP հաճախորդ ձեր հաճախորդի սերվերների վրա.

Yum -y տեղադրել pppt

Քայլ 6 — Անհրաժեշտ միջուկի մոդուլի ավելացում

modprobe ppp_mppe

Ստեղծել նոր ֆայլ/etc/ppp/peers/pptpserver և այնտեղ ավելացրեք հետևյալ տողերը՝ փոխարինելով օգտվողի անունը և գաղտնաբառը ձեր արժեքներով.

Pty «pptp 198.211.104.17 --nolaunchpppd» անուն տուփ1 գաղտնաբառ 24oiunOi24 հեռաանուն PPTP պահանջ-mppe-128

Այստեղ 198.211.104.17-ը մեր PPTP սերվերի հանրային IP հասցեն է, box1-ը և 24oiunOi24-ը մուտքի/գաղտնաբառի զույգն է, որը մենք սահմանել ենք մեր PPTP սերվերի /etc/ppp/chap-secrets ֆայլում:

Այժմ մենք կարող ենք «կանչել» այս PPTP սերվերին: Հետևյալ հրամանը պետք է օգտագործի այն անունը, որը դուք տվել եք peers ֆայլին /etc/ppp/peers/ գրացուցակում: Քանի որ մենք այս ֆայլը անվանել ենք pptpserver մեր օրինակում, մեր հրամանը հետևյալն է.

Pppd զանգահարել pptpserver

Դուք պետք է տեսնեք հաջող կապ PPTP սերվերի մատյաններում.

Ձեր PPTP հաճախորդի վրա կարգավորեք երթուղավորումը դեպի ձեր մասնավոր ցանց ppp0 ինտերֆեյսի միջոցով.

IP երթուղին ավելացնել 10.0.0.0/8 dev ppp0

Ձեր ppp0 ինտերֆեյսը պետք է կազմաձևված լինի, որը կարելի է ստուգել՝ գործարկելով ifconfig

Այժմ դուք կարող եք ping կատարել ձեր PPTP սերվերին և այս ցանցին միացված ցանկացած այլ հաճախորդին.

Մենք կարող ենք այս ցանցին ավելացնել երկրորդ PPTP հաճախորդը.

Yum -y տեղադրել pptp modprobe ppp_mppe

Ավելացրեք անհրաժեշտ տողերը /etc/ppp/peers/pptpserver ֆայլին (մուտքերն ու գաղտնաբառերը փոխարինելով ձեր սեփականով).

Pty «pptp 198.211.104.17 --nolaunchpppd» անուն box2 գաղտնաբառ 239Aok24ma հեռակառավարման PPTP պահանջ-mppe-128

Այժմ երկրորդ հաճախորդի վրա գործարկեք հետևյալ հրամանները.

Pppd զանգահարել pptpserver ip երթուղին ավելացնել 10.0.0.0/8 dev ppp0

Դուք կարող եք պինգ կատարել առաջին հաճախորդին, մինչդեռ փաթեթները կանցնեն PPTP սերվերի միջով և կվերահղվեն համաձայն ip աղյուսակների կանոնների, որոնք մենք սահմանել ենք ավելի վաղ.

Այս կարգավորումը թույլ կտա ստեղծել ձեր սեփական վիրտուալ մասնավոր ցանցը.

Եթե ​​ցանկանում եք, որ ձեր բոլոր սարքերը ապահով կերպով հաղորդակցվեն նույն ցանցում, սա ամենաշատն է արագ ճանապարհանել դա.

Դուք կարող եք օգտագործել այս մոտեցումը Nginx-ի, Squid-ի, MySQL-ի և ցանկացած այլ հավելվածի հետ:

Քանի որ ցանցի ներսում երթևեկությունը գաղտնագրված է 128-բիթանոց գաղտնագրմամբ, PPTP-ն ավելի քիչ ինտենսիվ պրոցեսոր է, քան OpenVPN-ը, բայց այնուամենայնիվ ապահովում է անվտանգության լրացուցիչ շերտ ձեր տրաֆիկի համար:

Հավանաբար, շատ օգտվողներ լսել են այնպիսի տերմինի մասին, ինչպիսին է «PPTP կապը»: Ինչ է դա, ոմանք նույնիսկ հեռվից չեն պատկերացնում։ Այնուամենայնիվ, եթե դուք նկարագրում եք այս արձանագրության հիման վրա կապ հաստատելու սկզբունքները պարզ բառերով, ապա ամենևին էլ դժվար չէ դրանք հասկանալ:

PPTP կապ. ինչ է դա:

Կապի այս տեսակը հիմնված է նույնանուն արձանագրության վրա, որի անվանման հապավումը գալիս է անգլերեն կետ առ կետ թունելային արձանագրությունից, որը բառացիորեն կարող է թարգմանվել որպես «կետ առ կետ թունելային արձանագրություն»: Այլ կերպ ասած, սա կապ է երկու բաժանորդների միջև TCP / IP-ի վրա հիմնված տվյալների փաթեթների գաղտնագրված ձևով չապահովված ցանցերի միջոցով փոխանցելու միջոցով:

PPTP կապի տեսակը թույլ է տալիս այսպես կոչված PPP շրջանակները վերածել ստանդարտ IP փաթեթների, որոնք փոխանցվում են, օրինակ, նույն ինտերնետով: Եվ չնայած, ինչպես ենթադրվում է, PPTP արձանագրությունը անվտանգության առումով զիջում է IPSec-ի նման որոշ այլ տարբերակների, այն այսօր բավականին տարածված է, քանի որ, փաստորեն, օգտագործողը գործ ունի VPN կապերի տեսակներից մեկի հետ (անլար կապ. )

PPTP կապ. ինչի համար է դա:

Այս արձանագրության շրջանակը շատ լայն է։ Նախ և առաջ, երկու օգտատերերի միջև կապի այս տեսակը թույլ է տալիս ոչ միայն պաշտպանել փոխանցված տեղեկատվությունը, այլև զգալիորեն խնայել միջքաղաքային զանգերը։

Բացի այդ, այս արձանագրությունը շատ հաճախ անփոխարինելի է երկուսի միջև հաղորդակցություն ապահովելու ժամանակ տեղական ցանցերմասնավորապես՝ ինտերնետում փաթեթներ փոխանցելով ապահով գծի (թունելի) միջոցով՝ առանց դրանց միջև ուղղակի կապ օգտագործելու: Այսինքն՝ երկու լոկալ ցանցեր անմիջական կապ չունեն և որպես միջնորդ օգտագործում են թունելը։

Մյուս կողմից, PPTP-ի վրա հիմնված թունելավորումը կարող է օգտագործվել նաև հաճախորդ-սերվեր կապ ստեղծելիս, երբ օգտագործողի տերմինալը միանում է սերվերին անվտանգ ալիքով:

PPTP-ի ներդրում տարբեր ՕՀ-երում

Հիմա եկեք մի փոքր շեղվենք և նայենք PPTP կապին մյուս կողմից: Ինչ է դա, քանի որ Microsoft-ի կողմից արձանագրությունը մշակվել է, քչերն են հասկացել: Եվ առաջին անգամ լիարժեք տարբերակով այն իրականացվել է Cisco-ի կողմից։

Այնուամենայնիվ, Microsoft-ի մասնագետները հետ չեն մնացել։ Սկսած Windows-ի տարբերակները 95 OSR2, PPTP-ի վրա հիմնված կապ ստեղծելու ունակությունը հայտնվել է ավելի ուշ ծրագրային ապահովման արտադրանքներում, նույնիսկ ներկառուցված PPTP սերվերի կազմաձևման գործիքներով: Հետագայում, որպես օրինակ, կդիտարկվի Windows 7 PPTP կապը, հատկապես, քանի որ այս կոնկրետ համակարգը այսօր մնում է ամենատարածվածը օգտվողների մեծ մասի շրջանում:

AT Linux համակարգերմինչև վերջերս այս տեխնոլոգիայի համար լիարժեք աջակցություն չկար: Այն հայտնվել է միայն 2.6.13 փոփոխության մեջ և պաշտոնապես հայտարարվել է միջուկի 2.6.14 տարբերակում։

FreeBSD և Mac OS X համակարգերը մատակարարվում են ներկառուցված PPTP հաճախորդների հետ: Palm PDA-ներ, որոնք աջակցում են անլար WiFi կապեր, հագեցած Mergic հաճախորդով։

Նախնական պայմանները ճիշտ կապի համար

Թունելի կիրառումը բավականին կոնկրետ է։ PPTP կապի ստեղծումը ներառում է TCP պորտի օգտագործումը 1723 և, անկասկած, IP GRE արձանագրության համարը 47:

Սրանից հետևում է, որ կարգավորումները, եթե այդպիսիք կան, կամ ներկառուցված Windows firewall-ը պետք է լինի այնպիսին, որ IP փաթեթները կարողանան ազատ և առանց սահմանափակումների անցնել: Սա չի վերաբերում միայն օգտագործողների մեքենաներին կամ տեղական ցանցերին: Նույնպես, թունելավորված տվյալների նման անվճար փոխանցումը պետք է ապահովվի մատակարարի մակարդակով:

Տվյալների փոխանցման միջանկյալ փուլում NAT-ի օգտագործման դեպքում այս հատվածում VPN մշակումը պետք է համապատասխանաբար կազմաձևվի:

Գործողության և կապի ընդհանուր սկզբունքներ

Մենք բավականին հակիրճ նայեցինք PPTP կապին: Ինչ է դա, շատերը, հավանաբար, արդեն գոնե մի փոքր պարզ են։ Հարցի վերաբերյալ լիարժեք հստակություն կտրվի արձանագրության և դրա վրա հիմնված հաղորդակցության հիմնական սկզբունքները դիտարկելուց հետո, ինչպես նաև այն բաժնում, որը ցույց կտա PPTP GRE միացման քայլերի տեղադրման գործընթացը:

Այսպիսով, երկու կետերի միջև կապը հաստատվում է հերթական PPP նիստի հիման վրա՝ հիմնված GRE արձանագրության (encapsulation) վրա: Երկրորդ կապը անմիջապես TCP նավահանգստի վրա պատասխանատու է GRE-ի վերահսկման և գործարկման համար:

Փոխանցված IPX փաթեթն ինքնին բաղկացած է փաստացի տվյալներից, որոնք երբեմն կոչվում են օգտակար բեռ և լրացուցիչ հսկողության տեղեկատվություն: Ի՞նչ է տեղի ունենում, երբ փաթեթ է ստացվում գծի մյուս ծայրում: Համապատասխան ծրագիրը PPTP կապի համար, այսպես ասած, քաղում է ամբողջ IPX փաթեթում պարունակվող տեղեկատվությունը և ուղարկում այն ​​մշակման՝ օգտագործելով համակարգի սեփական արձանագրությանը համապատասխան միջոցներ:

Բացի այդ, թունելի փոխանցման և հիմնական տեղեկատվության ընդունման կարևոր բաղադրիչներից մեկը նախապայման է մուտքն օգտագործելու համար՝ օգտագործելով «մուտք-գաղտնաբառ» համակցությունը: Իհարկե, ստացման փուլում հնարավոր է կոտրել մուտքերն ու գաղտնաբառերը, բայց անվտանգ միջանցքով (թունելով) տեղեկատվություն փոխանցելու գործընթացում՝ ոչ մի կերպ:

Միացման անվտանգություն

Ինչպես արդեն նշվեց, PPTP արձանագրության վրա հիմնված թունելավորումը բոլոր առումներով լիովին անվտանգ չէ: Այնուամենայնիվ, հաշվի առնելով, որ օգտագործվում են այնպիսի գործիքներ, ինչպիսիք են EAP-TLS, MSCHAP-v2 կամ նույնիսկ MPEE, մենք կարող ենք խոսել պաշտպանության բավականին բարձր աստիճանի մասին:

Երբեմն անվտանգության մակարդակը բարձրացնելու համար կարող են օգտագործվել հետադարձ զանգեր (հավաքում), որոնցում փոխանցող կամ ստացող կողմը հաստատում է տեղեկատվության միացումը և փոխանցումը ծրագրային եղանակով։

Windows 7-ում PPTP-ի սկզբնական կարգավորում. ցանցային ադապտերների կարգավորումներ

Ցանկացած Windows համակարգում PPTP կապի ստեղծումը բավականին պարզ է: Ինչպես արդեն նշվեց, որպես օրինակ վերցնում ենք «յոթը»:

Նախ անհրաժեշտ է գնալ «Ցանց և կառավարման կենտրոն և հանրային մուտք«. Դուք կարող եք դա անել կամ Control Panel-ից: Կամ մենյուից, որը կոչվում է ինտերնետի կամ ցանցային կապի պատկերակի վրա աջ սեղմելով:

Մենյուի ձախ կողմում կա պարամետրերի փոփոխման տող ցանցային ադապտեր, որը դուք պետք է օգտագործեք, ապա աջ սեղմեք տեղական ցանցի միացման վրա՝ զանգահարելու համար համատեքստային մենյուև ընտրեք գույքի գիծը:

Նոր պատուհանում օգտագործեք TCP / IPv4 արձանագրության հատկությունները: Կարգավորումների պատուհանում դուք պետք է նշեք մատակարարի կողմից միանալու ժամանակ տրամադրված պարամետրերը (շատ դեպքերում սահմանվում է IP և DNS սերվերների հասցեների ավտոմատ ստացում):

Պահպանեք փոփոխությունները և վերադարձեք LAN կապ, որտեղ դուք պետք է ստուգեք, թե արդյոք այն ակտիվ է այս պահին. Դա անելու համար օգտագործեք աջ սեղմումը: Եթե ​​մեջ վերին գիծ«Անջատել» նշանակում է, որ կապն ակտիվ է: Հակառակ դեպքում միացրեք այն:

VPN-ի կարգավորումների ստեղծում և կարգավորում

Հաջորդ քայլը VPN կապ ստեղծելն է: Դա անելու համար պատուհանի աջ կողմում գտնվող «Կառավարման կենտրոն» բաժնում օգտագործեք նոր կապ ստեղծելու գիծը:

Դրանից հետո ընտրեք կապը աշխատավայրի հետ, այնուհետև օգտագործեք առկա ինտերնետ կապը:

Հաջորդը, մենք հետաձգում ենք ինտերնետ կապի կարգավորումը, իսկ հաջորդ պատուհանում մենք նշում ենք VPN օպերատորի ինտերնետային հասցեն և մուտքագրում ենք կամայական անուն (համոզվեք, որ նշեք «Մի միացեք հիմա» տողի կողքին գտնվող վանդակը ներքևում): .

Դրանից հետո մուտքագրեք մուտքի և գաղտնաբառը, եթե այդպիսիք կան, նախատեսված են ծառայությունների մատուցման պայմանագրով և սեղմեք «Ստեղծել» կոճակը:

Առկա կապերի ցանկում ընտրեք նոր ստեղծվածը և նոր պատուհանում սեղմեք հատկությունների կոճակը։ Հաջորդը, դուք պետք է շատ ուշադիր գործեք: Անվտանգության ներդիրում պարտադիր է սահմանել հետևյալ պարամետրերը.

  • VPN տեսակը՝ ավտոմատ;
  • տվյալների կոդավորումը՝ կամընտիր;
  • Արձանագրության թույլտվություններ՝ CHAP և CHAP տարբերակ 2:

Մենք հաստատում ենք փոփոխությունները, գնում ենք կապի տեղադրման պատուհան, որտեղ սեղմում ենք միացման կոճակը: Եթե ​​կարգավորումները ճիշտ արվեն, դուք միացված կլինեք ինտերնետին:

Արդյո՞ք ես պետք է օգտագործեմ երրորդ կողմի կոմունալ ծառայություններ:

Օգտագործողները տարբեր կերպ են արձագանքում լրացուցիչ PPTP սերվերներ կամ հաճախորդներ տեղադրելու հարցին, բայց նրանցից շատերը համաձայն են, որ ներկառուցված Windows մոդուլի տեղադրումն ու օգտագործումը պարզության տեսանկյունից շատ ավելի նախընտրելի է թվում:

Իհարկե, հնարավոր է տեղադրել pfSense փաթեթի նման մի բան, որը երթուղիչի firewall է, սակայն նրա բնիկ Multilink PPP Daemon հաճախորդը շատ խնդիրներ ունի PPTP-ի վրա հիմնված Windows սերվերների օգտագործման առումով՝ նույնականացման արձանագրության օգտագործումը հաճախորդի և սերվերի միջև բաշխելու առումով: չնայած տնային օգտագործողների տերմինալներում նման խնդիրներ չեն նկատվել: Այս օգտակար ծրագիրը, ինչպես նաև ցանկացած այլ ծրագիր ստեղծելը շատ ավելի դժվար է և առանց հատուկ գիտելիքների հստակեցնելը ճիշտ պարամետրերկամ հնարավոր չէ ամրագրել օգտատիրոջ IP հասցեի մշտական ​​«հավաքումը»։

Կարող եք փորձել հաճախորդի կամ սերվերի այլ կոմունալ ծառայություններ, որոնք նախատեսված են PPTP կապ հաստատելու համար, բայց ո՞րն է համակարգը բեռնելու իմաստը: ավելորդ ծրագրերերբ որևէ Windows ՕՀ ունի բնիկ գործիքներ: Ավելին, որոշ ծրագրեր ոչ միայն դժվար է կարգավորել, այլև կարող են հակասություններ առաջացնել ծրագրային և ֆիզիկական մակարդակներում: Այսպիսով, ավելի լավ է մնալ այն, ինչ ունեք:

Հետբառի փոխարեն

Դա, ըստ էության, այն ամենն է, ինչ վերաբերում է PPTP արձանագրությանը, ինչպես նաև դրա հիման վրա թունելային կապի ստեղծմանը, կազմաձևմանը և օգտագործմանը: Ինչ վերաբերում է դրա օգտագործմանը, ապա սովորական օգտագործողի համար դա արդարացված չէ։ Պարզապես օրինական կասկածներ կան, որ ինչ-որ մեկին կարող է անհրաժեշտ լինել անվտանգ հաղորդակցման ալիք: Եթե ​​դուք իսկապես պետք է պաշտպանեք ձեր IP-ն, ապա ավելի լավ է օգտագործել անանուն վստահված սերվերներինտերնետում կամ այսպես կոչված անանունացնողները:

Բայց առևտրային ձեռնարկությունների տեղական ցանցերի կամ այլ կառույցների միջև փոխգործակցությունն ապահովելու համար PPTP կապի ստեղծումը կարող է լինել ամենահեշտ ելքը: Ու թեև նման կապը հարյուր տոկոսանոց անվտանգություն չի ապահովի, այնուամենայնիվ, դրա օգտագործման մեջ որոշակի ողջամտություն կա։

VPN թունելները կետ առ կետ հաղորդակցության տարածված տեսակ են՝ հիմնված ստանդարտ ինտերնետ կապի վրա MikroTik երթուղիչների միջոցով: Դրանք, ըստ էության, «ալիք ալիքի ներսում» են՝ նվիրված գիծ հիմնականի ներսում։

MikroTik-ում VPN թունելային կապ ստեղծելու անհրաժեշտությունը առաջանում է, երբ՝

  • Պահանջվում է տրամադրել Մուտք դեպի կորպորատիվ ցանց ձեռնարկության աշխատակիցներըովքեր աշխատում են տնից կամ գործուղման ժամանակ, ներառյալ շարժական սարքերից:
  • Պահանջվում է տրամադրել Ինտերնետ հասանելիություն մատակարարի բաժանորդների համար(Վերջերս հաճախորդի մուտքի այս իրականացումն ավելի ու ավելի տարածված է դարձել):
  • Անհրաժեշտ է միացնել ձեռնարկության երկու հեռավոր ստորաբաժանումներըապահով կապի ալիք նվազագույն գնով:

Ի տարբերություն սովորական ցանցի, որտեղ տվյալները փոխանցվում են բաց և չգաղտնագրված, VPN-ը անվտանգ հաղորդակցման ալիք է: Պաշտպանության մակարդակը կախված է միացման համար ընտրված թունելի արձանագրության տեսակից:Այսպիսով, PPtP արձանագրությունը համարվում է ամենաանվտանգը, նույնիսկ դրա «վերին» վավերացման ալգորիթմը mschap2-ն ունի մի շարք անվտանգության խնդիրներ և հեշտությամբ կոտրվում է։ IPsec արձանագրության փաթեթը համարվում է ամենաապահովը:

Չնայած կշտամբող պատկերին, երբեմն դեռևս կա կոդավորումն ու նույնականացումն անջատելու կետ: MikroTik-ի շատ մոդելներ չեն աջակցում ապարատային կոդավորումը, և կապի անվտանգության հետ կապված բոլոր գործընթացները մշակվում են պրոցեսորի մակարդակով: Եթե ​​կապի անվտանգությունը ձեզ համար կրիտիկական կետ չէ, և ձեր օգտագործած երթուղիչի աշխատանքը շատ ցանկալի է, ապա գաղտնագրումն անջատելը կարող է օգտագործվել պրոցեսորը բեռնաթափելու համար:

MikroTik-ում VPN-ի համար արձանագրություն ընտրելը

MikroTik-ի միջոցով VPN կապ ստեղծելու համար առավել հաճախ օգտագործվում են հետևյալ արձանագրությունները.

Այսօրվա հոդվածում մենք կանդրադառնանք VPN կապի ստեղծմանը, օգտագործելով դրանցից երկուսը, որոնք ամենատարածվածն են մատակարարի աշխատանքում և համակարգի ադմինիստրատոր A: PPtP և PPPoE: .

VPN-ը PPtP-ի միջոցով MikroTik-ում

PPtP-ն ամենաշատ օգտագործվող VPN արձանագրությունն է: Այն իրենից ներկայացնում է TCP արձանագրության համակցություն, որն օգտագործվում է տվյալների փոխանցման համար, և GRE՝ փաթեթները ամփոփելու համար։ Առավել հաճախ օգտագործվում է հեռավոր մուտքօգտվողները կորպորատիվ ցանցին: Սկզբունքորեն, այն կարող է օգտագործվել բազմաթիվ VPN առաջադրանքների համար, բայց դրա անվտանգության թերությունները պետք է հաշվի առնել:

Հեշտ է կարգավորել: Թունելի կազմակերպման համար անհրաժեշտ է.

    ստեղծել PPtP սերվեր MikroTik երթուղիչի վրա, որի միջոցով օգտվողները կմիանան կորպորատիվ ցանցին,

    ստեղծել օգտատերերի պրոֆիլներ՝ լոգիններով/գաղտնաբառերով՝ սերվերի կողմից նույնականացման համար,

    ստեղծել երթուղիչի Firewall-ի բացառման կանոններ, որպեսզի կապերն անարգել անցնեն firewall-ով:

Միացրեք PPtP սերվերը:

Դա անելու համար անցեք մենյուի բաժին ՊՄԳ, անցեք ներդիր Ինտերֆեյս, մենք գտնում ենք ներդիրների ցանկի վերևում PPTP սերվերև ստուգեք Միացված վանդակը:

Անջատեք նույնականացման ամենաքիչ անվտանգ ալգորիթմները՝ pap և գլ.

Մենք ստեղծում ենք օգտվողներ:

Գլխում ՊՄԳգնալ մենյուԳաղտնիքներև օգտագործելով կոճակը+ «ավելացնելով նոր օգտվող.

Դաշտերում Անունև Գաղտնաբառմենք համապատասխանաբար նշանակում ենք մուտքի և գաղտնաբառ, որոնք օգտագործողը կօգտագործի թունելին միանալու համար:

Դաշտում Ծառայությունդաշտում ընտրեք մեր արձանագրության տեսակը՝ pppt Տեղական հասցենմենք գրում ենք MikroTik երթուղիչի IP հասցեն, որը կգործի որպես VPN սերվեր, իսկ Remote Address դաշտում՝ օգտատիրոջ IP հասցեն։

Մենք գրում ենք կանոնները Firewall.

Մենք պետք է բացենք 1723 նավահանգիստը TCP արձանագրության վրայով տրաֆիկի համար, որպեսզի MikroTik VPN թունելը աշխատի, ինչպես նաև թույլ տանք GRE արձանագրությունը: Դա անելու համար անցեք բաժին ip,հետո - մեջ firewall, ապա դեպի ներդիր Զտիչի կանոններ, որտեղ «+» կոճակի միջոցով ավելացնում ենք նոր կանոն։ Դաշտում Շղթանշել մուտքային տրաֆիկ -մուտքագրում, դաշտում Արձանագրությունընտրեք արձանագրություն tcp, և դաշտում Դստ. նավահանգիստ- նշեք նավահանգիստը VPN թունելի համար 1723 .

Եկեք գնանք այստեղի ներդիրին: գործողությունև ընտրիր ընդունել- թույլ տալ (երթևեկություն):

Նմանապես, մենք ավելացնում ենք կանոն GRE-ի համար: Ներդիրի վրա Գեներալինչպես նախորդը, մենք գրում ենք մուտքագրում, իսկ դաշտում Արձանագրությունընտրել gre.

Ներդիրի վրա գործողությունինչպես նախորդ կանոնում, ընտրեք ընդունել.

Մի մոռացեք բարձրացնել այս կանոնները ընդհանուր ցուցակարգելքի կանոններից ԱՌԱՋ դնելով, այլապես չեն աշխատի։ RouterOS Mikrotik-ում դա կարելի է անել՝ քաշելով կանոնները FieWall պատուհանում:

Վերջ, MikroTik-ում VPN-ի PPtP սերվերը գործարկված է:

Փոքր պարզաբանում.

Որոշ դեպքերում, երբ միացնելով դուք պետք է տեսնեք տեղական ցանցը երթուղիչի հետևում, դուք պետք է միացնեք proxy-arp-ը LAN-ի կարգավորումներում: Դա անելու համար անցեք ինտերֆեյսի բաժին (Ինտերֆեյս), գտեք տեղական ցանցին համապատասխան ինտերֆեյսը և ներդիրում Գեներալդաշտում ՀՕՊընտրել proxy-arp.

Եթե ​​դուք ստեղծել եք VPN երկու MikroTik երթուղիչների միջև և պետք է թույլատրեք հեռարձակման փոխանցումը, կարող եք փորձել ավելացնել հեռակառավարվող երթուղիչի գոյություն ունեցող կապի պրոֆիլը (PPP - Պրոֆիլներ) հիմնական կամուրջին.

UPD մեկնաբանությունից.Եթե ​​Ձեզ լրացուցիչ անհրաժեշտ է մուտք գործել լոկալ ցանցի համակարգիչների ընդհանուր թղթապանակներ, ապա ձեզ հարկավոր է նաև բացել 445 նավահանգիստը SMB արձանագրության տրաֆիկի փոխանցման համար, որը պատասխանատու է Windows Shared-ի համար: (Հարձակման կանոնը firewall-ում):

Հաճախորդի կարգավորում .

VPN հաճախորդի կողմից կարգավորումները նախատեսված են միայն VPN կապ ստեղծելու համար, նշեք VPN (PPtP) սերվերի IP հասցեն, օգտվողի անունը և գաղտնաբառը:

VPN-ը PPPoE-ի միջոցով MikroTik-ում

Վերջերս PPPOE VPN-ն իր ժողովրդականությունը պարտական ​​է լայնաշերտ, ներառյալ անլար ինտերնետ հասանելիություն տրամադրող պրովայդերներին: Արձանագրությունը ենթադրում է տվյալների սեղմման, կոդավորման հնարավորություն, ինչպես նաև բնութագրվում է.

    Հասանելիություն և տեղադրման հեշտություն:

    Աջակցվում է MikroTik երթուղիչների մեծ մասի կողմից:

    կայունություն.

    մասշտաբայնություն.

    Կոդավորված տրաֆիկի դիմադրությունը ARP խարդախությանը (ցանցային հարձակում, որն օգտագործում է ARP արձանագրության խոցելիությունը):

    Ավելի քիչ ռեսուրս ինտենսիվ և սերվերի ծանրաբեռնվածություն, քան PPtP:

Նաև դրա առավելությունը դինամիկ IP հասցեներ օգտագործելու հնարավորությունն է. պետք չէ VPN թունելի վերջնամասերին հատուկ IP վերագրել։ Հաճախորդի կողմից միացումն իրականացվում է առանց բարդ կարգավորումների, միայն մուտքի և գաղտնաբառի միջոցով:

MikroTik PPPoE VPN սերվերի կարգավորում

Ստեղծեք սերվերի պրոֆիլներ:

Մի քանի PPPoE սերվերի պրոֆիլներ կարող են անհրաժեշտ լինել, եթե դուք մատակարար եք և տարածում եք ինտերնետը մի քանի սակագնային փաթեթների համար: Համապատասխանաբար, յուրաքանչյուր պրոֆիլում կարող եք կարգավորել արագության տարբեր սահմանափակումներ:

Անցնենք բաժին ՊՄԳ, բաց տարրըպրոֆիլներև օգտագործելով կոճակը+ «Ստեղծեք նոր պրոֆիլ։ Տվեք մեզ հասկանալի անուն, մուտքագրեք սերվերի (երթուղիչի) տեղական հասցեն, ստուգեք տարբերակը։Փոխել TCP MSS-ը(MSS ճշգրտում), որպեսզի բոլոր կայքերը բացվեն նորմալ։

Ի դեպ, որոշ դեպքերում, երբ որոշ կայքեր բացելու հետ կապված խնդիրներ կան, չնայած այն բանին, որ պինգերը անցնում են դրանց միջով, կարող ես դա անել այլ կերպ։ Մենք անջատում ենք MSS ուղղումը, և տերմինալի միջոցով երթուղիչի վրա գրում ենք հետևյալ կանոնը.

«ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no»: Շատ դեպքերում դա լուծում է խնդիրը:

Հետագա ներդիրումԱրձանագրություններԱնջատեք ամեն ինչ՝ կատարողականությունը բարելավելու համար: Եթե ​​կապի անվտանգությունը ձեզ համար կարևոր է, և երթուղիչի աշխատանքը թույլ է տալիս, ապա տարբերակըՕգտագործեք կոդավորումը(օգտագործել կոդավորումը) մի անջատեք:

Ներդիրի վրա Սահմանափակումներանհրաժեշտության դեպքում սահմանել արագության սահմանաչափեր: Արագության սահմանաչափի առաջին նիշը մուտքային տրաֆիկն է դեպի սերվեր (ելքը բաժանորդից), երկրորդը՝ մեր ելքային տրաֆիկը (մուտքը բաժանորդից):

Մենք դնում ենք Այո՛քայլով Միայն մեկը, սա նշանակում է, որ նույն մուտքի/գաղտնաբառով երկու կամ ավելի բաժանորդներ չեն կարողանա միանալ PPPoE սերվերին, միայն մեկը:

Այժմ, անհրաժեշտության դեպքում, ստեղծեք մնացած պրոֆիլները՝ պարզ պատճենելով (կոճակՊատճենելնախորդ սքրինշոթում) և փոխեք անունը և արագության սահմանաչափը:

Օգտագործողի հաշիվների ստեղծում .

Նույն բաժնում ՊՄԳգտնել ցանկի տարրըԳաղտնիքներ. Դրանում, օգտագործելով «+» կոճակը, մենք ստեղծում ենք նոր օգտվող, ով մեզ կմիանա VPN թունելի միջոցով։

Լրացրեք «Անուն» և «Գաղտնաբառ» դաշտերը (մուտք և գաղտնաբառ, որոնք օգտվողը կմտնի իր կողմից՝ միանալու համար):

Դաշտում Ծառայությունընտրել pppoe, մեջ Անձնագիր- համապատասխան պրոֆիլ, այս դեպքում - սակագնային փաթեթօգտագործված բաժանորդի կողմից: Մենք օգտատիրոջը տրամադրում ենք IP հասցե, որը միանալու դեպքում սերվերը կբաժանի բաժանորդին։

Եթե ​​մենք միացնում ենք մի քանի օգտատեր, ապա նրանցից յուրաքանչյուրի համար ստեղծում ենք առանձին: հաշիվփոխելով օգտվողի անունը/գաղտնաբառը և IP հասցեն:

Մենք կապում ենք PPPoE սերվերը կոնկրետ MikroTik ինտերֆեյսի հետ:

Այժմ մենք պետք է երթուղիչին ասենք, թե որ ինտերֆեյսի վրա այն պետք է «լսի» VPN PPPoE հաճախորդներից մուտքային կապերի համար: Դա անելու համար PPP բաժնում ընտրում ենք PPPoE Servers տարրը: Այստեղ մենք փոխում ենք.

Ինտերֆեյսի դաշտ - ընտրեք այն ինտերֆեյսը, որին միանալու են հաճախորդները,

  • Keepalive Timeout - 30 վայրկյան (սպասելու հաճախորդի պատասխանին նախքան անջատելը)
  • Կանխադրված պրոֆիլ - պրոֆիլ, որը լռելյայնորեն հատկացվելու է միացված բաժանորդներին,
  • Մենք նշում ենք «One Session Per Host» վանդակը՝ դրանով իսկ թույլ տալով միայն մեկ թունելի միացումը հաճախորդի երթուղիչից կամ համակարգչից:
  • Մենք մեր հայեցողությամբ թողնում ենք/հեռացնում ենք ստուգման կետերը նույնականացման բաժնում:

Մենք կարգավորում ենք NAT-ը հաճախորդի ինտերնետ հասանելիության համար:

Մենք բարձրացրել ենք PPPoE սերվերը և այժմ լիազորված օգտվողները կարող են միանալ դրան: Եթե ​​մեզ անհրաժեշտ են օգտատերեր, որոնք միացված են VPN թունելի միջոցով ինտերնետ մուտք ունենալու համար, մենք պետք է կազմաձևենք NAT-ը (masquerading) կամ տեղական ցանցի հասցեների թարգմանությունը:

Գլխում IPընտրել տարրը firewallև օգտագործեք «+» կոճակը՝ նոր կանոն ավելացնելու համար:

Դաշտում Շղթապետք է կանգնել srcnat, ինչը նշանակում է, որ երթուղիչը կկիրառի այս կանոնը «ներսից դուրս» ուղղված երթևեկության նկատմամբ։

Դաշտում src. հասցեն(աղբյուրի հասցեն) նշանակել մի շարք հասցեներ 10.1.0.0/16 . Սա նշանակում է, որ բոլոր հաճախորդները հասցեներով 10.1. (0.0-255.255) ցանց կմտնի NAT-ի միջոցով, այսինքն՝ մենք այստեղ թվարկում ենք բոլոր հնարավոր բաժանորդներին:

Դաշտում Դստ. հասցեն(նպատակակետի հասցեն) նշել!10.0.0.0/8 - հասցեների տիրույթ, որը նշանակում է սեփական հասցեների տարածք մասնավոր ցանցերի համար, հետ բացականչական նշանառաջ. Սա ցույց է տալիս բացառություն երթուղիչից. եթե տեղական ցանցից որևէ մեկը մուտք է գործում մեր սեփական ցանցի հասցե, ապա NAT-ը չի կիրառվում, կապն ուղղակիորեն տեղի է ունենում:

Եվ ներդիրի վրա գործողությունմենք իրականում նշանակում ենք դիմակահանդեսի գործողություն՝ սարքի տեղական հասցեն երթուղիչի արտաքին հասցեով փոխարինելը:

PPPoE VPN հաճախորդի կարգավորում

Եթե ​​VPN թունելի մյուս կողմում կապը կկատարվի համակարգչից կամ նոութբուքից, ապա պարզապես պետք է ցանցի և համօգտագործման կենտրոնում PPPoE-ի միջոցով գերարագ կապ ստեղծել (Win 7, Win 8-ի համար): Եթե ​​երկրորդ կողմում կա նաև Mikrotik երթուղիչ, ապա մենք այն միացնում ենք հետևյալ կերպ.

PPPoE ինտերֆեյսի ավելացում:

Ներդիրի վրա Ինտերֆեյսընտրեք PPPoE Client-ը և օգտագործեք «+» կոճակը՝ նոր ինտերֆեյս ավելացնելու համար:

Այստեղ՝ դաշտում Ինտերֆեյսմենք ընտրում ենք Mikrotik երթուղիչի ինտերֆեյսը, որի վրա մենք կազմակերպում ենք VPN թունելը:

Մենք գրում ենք կապի կարգավորումները:

Տուփի մեջ դրեք տիզ Օգտագործեք Peer DNS- հասցեագրել DNS սերվերներմենք ստացել ենք VPN սերվերներ(մատակարարից) և ձեռքով նախատեսված չէ:

Նույնականացման կարգավորումները (pap, chap, mschap1, mschap2 նշումներ) պետք է համաձայնեցվեն սերվերի հետ:


կայք , և ինչպես կարելի է օգտագործել: Մինչ օրս քիչ ժամանակակից օգտվողներ գիտեն, թե ինչ է դա:

Ավելին, որոշ օգտատերեր, օգտվելով դրանից, երբեմն նույնիսկ չեն էլ կասկածում, որ դրա ակտիվ օգտատերերն են։

Եվ նրանք պարզապես պատահաբար իմանում են դրա գոյության մասին՝ նույնիսկ չհասկանալով, թե ինչ է դա և ինչու է այդքան օգտակար:

PPTP տեսության ներածություն

Կապի կամ PPTP կապի անվանումը գալիս է արձանագրության անունից, որի հիման վրա կառուցվում է նման կապ։

Նրա անգլերեն հապավումի ամբողջական վերծանումը հնչում է կետ առ կետ թունելային արձանագրություն: Ինչ է, ըստ էության, նշանակում է թունելային արձանագրություն կետից կետ:

Այս դեպքում կետերը նշանակում են բաժանորդների զույգ, որոնք հաղորդակցվում են փաթեթների մեջ գաղտնագրված և TCP/IP սկզբունքների վրա կառուցված անապահով ցանցերի միջոցով փոխանցված տվյալների փոխանցման միջոցով:

Ոմանց համար այս սահմանումը չափազանց բարդ կթվա, բայց սա միայն այսբերգի գագաթն է:

Ավելի մանրամասն նայելով PPTP կապին, պարզվում է, որ այն թույլ է տալիս PPP շրջանակները վերածել սովորական տիպի IP փաթեթների։

Մասնավորապես, դրանք փոխանցվում են կապի ալիքով, օրինակ՝ ինտերնետով կամ այլ լարային, ինչպես նաև անլար ցանցերով։

Կարևոր է, որ PPTP-ն հազիվ թե կարելի է իդեալական անվանել, և որոշ դեպքերում այս մեթոդը կորցնում է այլ մոդելների համեմատ, ինչպիսին է IPSec-ը, քանի որ այն ունի անվտանգության ավելի ցածր մակարդակ:

Այնուամենայնիվ, դա չի խանգարում դրա օգտագործմանը ամենուր և բավականաչափ լայնորեն: Սա չպետք է հրաժարվել, և այժմ մենք կքննարկենք, թե ինչու:

բրինձ. 1 - PPTP կապի սխեմատիկ ներկայացում

Ինչն է տալիս PPTP կապ

Չնայած անվտանգության որոշ թերություններին, PPTP կապն ապահովում է տվյալների հիմնական պաշտպանությունը, և, հետևաբար, նման արձանագրությունն ունի լայն շրջանակ:

Մասնավորապես, այն կարող է հաջողությամբ օգտագործվել շոշափելի խնայողություններով միջքաղաքային զանգեր կատարելու համար:

Դա տեղի է ունենում, քանի որ այս արձանագրությունը չի պահանջում ուղիղ կապ երկու բաժանորդների միջև: Այն կատարվում է համացանցում ապահով գծի միջոցով, որը կոչվում է թունել։

Ինչ վերաբերում է թունելին, ապա այն օգտագործվում է բացառապես որպես միջնորդ։

Միևնույն ժամանակ, PPTP-ն հաջողությամբ օգտագործվում է հաճախորդ-սերվեր կապերի ձևավորման մեջ: Այս դեպքում կապը փոքր-ինչ այլ է։

Բաժանորդը, այսինքն՝ օգտատերը, նույն ապահով ալիքով միացնում է իր տերմինալը՝ աշխատող սարքը սերվերին:

PPTP միացման հիմնական կանոնները

Բայց նախքան PPTP կապի հետ աշխատելը, դուք պետք է կարգավորեք այն և կատարեք մի քանի կարևոր պայմաններ:

Օգտագործված թունելների տեղադրման առանձնահատկությունները ներառում են հետևյալը.

  • TCP պորտ #1723;
  • նավահանգիստ IP GRE No.

Միևնույն ժամանակ, որպեսզի այս կարգավորումները ճիշտ աշխատեն, ներկառուցված firewall-ի (կամ firewall-ի) կարգավորումները չպետք է սահմանափակեն IP փաթեթների հոսքը:

Դրանց ուղարկելն ու ստանալը պետք է լինի անվճար։

Այնուամենայնիվ, նույնիսկ եթե այս կանոնները պահպանվեն տեղական կապը կարգավորելիս, փաստ չէ, որ PPTP-ն ճիշտ կաշխատի:

Կարևոր է. Որպեսզի արձանագրությունը ճիշտ աշխատի, մատակարարը պետք է տրամադրի լիակատար ազատությունԹունելի տվյալների փոխանցում:

Մանրամասն միացման գործընթացը

Վերը նշված կետերը միացված են PPP նիստի միջոցով, որը ձևավորվում է GRE արձանագրության հարթակում։

Դրա հապավումը նշանակում է Generic Routing Encapsulation:

Դրա կառավարումը և սկզբնավորումը երկրորդ TCP նավահանգստի միացման պատասխանատվությունն է:

IPX փաթեթի տեսքով տեղեկատվությունը, որը փոխանցվում է կետից կետ, կոչվում է օգտակար բեռ և լրացվում է հսկողության տեղեկատվությամբ:

Երբ այս փաթեթը հասնում է գծի մյուս ծայրին հատուկ դիմումքաղում է դրանում պարունակվող տվյալները, որից հետո դրանք ուղարկվում են հետմշակման։

Հետմշակումը կատարվում է համակարգի ներկառուցված միջոցներով` ըստ նշված արձանագրության:

Հարկ է նշել, որ տվյալների կոտրումը հնարավոր է միայն ստանալու գործընթացում։ Մնացած անվտանգությունն ապահովում է թունելը՝ պաշտպանիչ միջանցքները։

Հետևաբար, կարևոր է օգտագործել մուտքի և գաղտնաբառի մտածված համակցություն, որոնք պատասխանատու են տվյալների ուղարկման/ստացման, այլ ոչ թե փոխանցման գործընթացում անվտանգության համար:

բրինձ. 4 - PPTP խոցելիություններ

Կապի ապահովում

Ինչպես նշվեց վերևում, տվյալները փոխանցվում են կոդավորված փաթեթի տեսքով:

Դրա գաղտնագրման համար օգտագործվում են հատուկ միջոցներ, ամբողջական ցանկըորը կարելի է դիտել կապի կարգավորումներում:

Կառանձնացնենք նրանց, որոնք բնութագրվում են անվտանգության բարձր աստիճանով, մասնավորապես դրանք են.

  • MSCHAP-v1;
  • MSCHAP-v2;
  • EAP-TLS;
  • MPPE.

Պաշտպանության բարձր մակարդակ ապահովելու համար կարող եք լրացուցիչ օգտագործել հավաքիչներ՝ պատասխանել զանգերին, որոնք իրականացվում են ծրագրային եղանակով:

Նրանք թույլ են տալիս ստուգել, ​​թե արդյոք տվյալների փաթեթն ամբողջությամբ փոխանցվել է, և արդյոք այն վնասվել է փոխանցման ընթացքում:

Միևնույն ժամանակ, եկեք տեսնենք, թե ինչով են առանձնանում վերը նշված տարբերակները:

Հարկ է նշել, որ MSCHAP-v1-ը հայտնի չէ իր հուսալիությամբ:

Դրանից գաղտնաբառի հեշեր հանելու համար կարող եք օգտագործել հատուկ կոմունալ ծառայություններընդհատված փոխանակում.

MSCHAP-v2-ը տարբերվում է իր նախորդից այս առումով, բայց խոցելի է բառարանային գրոհների նկատմամբ գաղտնալսված տվյալների փաթեթների վրա, որոնց համար հատուկ ծրագրեր, տվյալների մշակման արագությունը, որում կարող է լինել միայն մեկ օր ապակոդավորման համար։

Cryptanalyst-ները կարող են նաև վերծանել տվյալները MPPE-ից, որը հիմնված է RC4 հոսքի օգտագործման վրա:

Օրինակ, դուք կարող եք այն վերծանել՝ օգտագործելով բիթերի փոխանակման մեթոդը:

Այնուամենայնիվ, ցանկության դեպքում, նման խոցելիությունը կարող է հայտնաբերվել՝ օգտագործելով համապատասխան մեթոդներ, որոնք հաշվարկում են չեկային գումարները:

Այսպիսով, պարզ է դառնում, որ PPTP-ի վրա տեղադրված պաշտպանությունը կարելի է շրջանցել։ Եվ դրա համար դուք պետք է օգտագործեք լրացուցիչ միջոցներանվտանգություն։

բրինձ. 5 - Անվտանգ PPTP ալիքի պարզեցված դիագրամ

Ձեզ կարող է հետաքրքրել.

ՕՀ MS WINDOWS 7-ում PPTP պարամետրերի կազմաձևման օրինակ

PPTP կապի բոլոր բարդությունները հասկանալու համար դուք պետք է փորձեք ինքներդ կարգավորել այդպիսի կապը:

Մենք կանդրադառնանք, թե ինչպես է այս գործընթացը տեղի ունենում համակարգում, մասնավորապես, նրա հայտնի յոթերորդ տարբերակում: Դա հեշտ է անել՝ հետևելով մեր առաջարկություններին:

Սկզբում պետք է վազել Կառավարման վահանակ. Դա անելու ամենադյուրին ճանապարհը «Սկսել» ընտրացանկից է:

Դուք պետք է ընտրեք կատեգորիա Ցանցի կառավարման կենտրոն.

Դուք կարող եք այնտեղ հասնել՝ շրջանցելով նկարագրված շղթան։ Այս դեպքում դուք պետք է ընտրեք նույն տարրը համատեքստի ընտրացանկից, որը կոչվում է ցանցային կապով:

Այն կարող եք գտնել ծանուցումների տարածքում, որը գտնվում է էկրանի ներքևի աջ մասում:

Control Center-ը գործարկելուց հետո դուք կկարողանաք փոփոխություններ կատարել ցանցային ադապտերի հատկություններում:

Դա անելու համար ընտրեք հրամանը պատուհանի ձախ վահանակում: Փոխեք ցանցային ադապտերների կարգավորումները.

Այնուհետև կարող եք զանգահարել «Հատկություններ» տարրը համատեքստի ընտրացանկից՝ գոյություն ունեցող տեղական կապի համար:

Միևնույն ժամանակ, պրովայդերներից շատերը թույլ են տալիս ավտոմատ ռեժիմով հասցեներ տեղադրել աշխատանքային կայաններում DNS և IP սերվերների համար:

Կարգավորումներում փոփոխություններ կատարելուց հետո դուք պետք է ակտիվացնեք կապը:

Այդ նպատակով Control Center-ի հիմնական պատուհանում անհրաժեշտ է ընտրել նախկինում կազմաձևված կապը և մկնիկի աջ կոճակով զանգահարել դրա համար նախատեսված մենյու:

Դրանում ընտրեք «Միացնել» կետը:

VPN ցանցային կապերի կարգավորումների կարգավորում

Control Panel-ի նույն բաժնում դուք պետք է ստեղծեք VPN կապ, եթե այն արդեն գոյություն չունի: Դա անելու համար հարկավոր է գործարկել «Ստեղծել նոր կապ» հրամանը պատուհանի աջ վահանակում:

Մեր սահմանած երկխոսության մեջ կապ աշխատավայրի հետ, եւ հետո - Օգտագործեք գոյություն ունեցող կապը.

Հաջորդ փուլում պատուհանում մենք սահմանում ենք VPN օպերատորի հասցեն և մուտքագրում դրա համար հորինված անունը։ Այս դեպքում երկխոսության մեջ դուք պետք է նշեք գծի վրա Մի միացեք հիմա:

Վերջին փուլում դուք պետք է մուտքագրեք մուտքն ու համապատասխան գաղտնաբառը, որն անհրաժեշտ է կապն ապահովելու համար և սեղմեք «Ստեղծել» կոճակը:

Ի դեպ, մեր «VPN ծառայություններ անվճար. զուգահեռ իրականություն համակարգչի համար» նյութում դուք կարող եք շատ հետաքրքիր բաներ գտնել ձեզ համար:

Կապը ստեղծելուց հետո այն պետք է կազմաձևվի:

Մասնավորապես, դուք պետք է սահմանեք անվտանգության տարբերակներ:

Դա անելու համար ստեղծված կապի համատեքստի ընտրացանկից զանգահարեք «Հատկություններ» տարրը և պատուհանի «Անվտանգություն» ներդիրում սահմանեք հետևյալ արժեքները.

  • VPN տեսակի դաշտի համար արժեքը սահմանեք - ավտոմատ ;
  • Տվյալների կոդավորման դաշտի համար սահմանեք արժեքը՝ կամընտիր ;
  • Արձանագրության թույլտվության դաշտի համար ցուցակից ընտրեք արժեքները՝ CHAP և CHAP տարբերակները

Սեղմելով OK կոճակը, մենք կպահենք փոփոխությունները, այնուհետև մեզ անհրաժեշտ կլինի միացնել կապը, ինչպես նկարագրված է վերևում PPTP-ն կարգավորելիս: Սա ավարտում է կարգավորումը:

VPN կապ, ինչ է դա

Ինչ է VPN կապը. Ինչ սկզբունքներով է այն դասավորված և ինչ գործառույթների համար է այն ծառայում։

PPTP կապ ստեղծելու այլ եղանակներ

Հարկ է նշել, որ բացի ներկառուցված գործիքներից կազմաձևման համար ցանցային միացումներտրամադրված օպերացիոն համակարգերի մշակողների կողմից, կարող եք օգտագործել ծրագրային ապահովումերրորդ ընկերությունները.

Բայց հենց այդպիսի միջոցներ ընտրելիս կարող եք հանդիպել մի շարք չնախատեսված դժվարությունների։ Դրանցից մեկը կապի անկայունությունն է։

Բացի այդ, մեծ թվով կարգավորվող պարամետրերը կարող են խնդիր դառնալ օգտվողի համար:

Պրոֆեսիոնալները կարող են գլուխ հանել նման դժվարություններից, սակայն անվտանգ ցանցերի սովորական օգտատերերը հեշտությամբ կարող են շփոթվել դրանցում։

Հետևաբար, հատուկ պատասխանատվությամբ է պահանջվում ընտրել այդպիսի երթուղիչի էկրան:

Լավ ծրագրային փաթեթի օրինակ է pfSense-ը, որը գալիս է Multilink PPP Daemon հաճախորդի հետ:

Այն կաշխատի առանց խնդիրների տնային սարքի վրա, բայց ձեռնարկություններում հաճախորդի կայանների և սերվերի միջև կապեր ստեղծելիս անհաղթահարելի դժվարություններ կարող են առաջանալ ցանցի հասցեների խափանումների պատճառով:

Կարեւոր է, որ նման խնդիրները երրորդ կողմի օգտագործման ժամանակ ծրագրային ապահովումեզակի չեն.

Եվ դրանք կարող են առաջանալ ցանկացած օգտատիրոջ համար՝ և՛ ծրագրի մակարդակով, և՛ ծրագրի մակարդակով, ինչը հաստատվում է պրակտիկայի միջոցով:

Շատ օգտատերեր հավանաբար լսել են «PPTP կապ» տերմինի մասին: Որոշ մարդիկ նույնիսկ հեռվից չեն պատկերացնում, թե դա ինչ է: Այնուամենայնիվ, եթե դուք պարզ բառերով նկարագրում եք այս արձանագրության հիման վրա կապ հաստատելու սկզբունքները, ապա դրանք ամենևին էլ դժվար չէ հասկանալ։

Ի՞նչ է PPTP կապը:

Միացում այս տեսակիհիմնված է համանուն արձանագրության վրա, որի անվանումը գալիս է անգլերեն point-to-pointtunnelingprotocol-ից։ Բառացիորեն սա կարող է թարգմանվել որպես «կետ առ կետ թունելային արձանագրություն»: Այլ կերպ ասած, սա կապ է երկու բաժանորդների միջև տվյալների փաթեթների գաղտնագրված փոխանցման միջոցով TCP / IP-ի վրա հիմնված անապահով ցանցերի միջոցով: PPTP կապի տեսակը հնարավորություն է տալիս այսպես կոչված PPP շրջանակները վերածել ստանդարտ IP փաթեթների, որոնք փոխանցվում են նույն ինտերնետը: Ենթադրվում է, որ PPTP արձանագրությունն ինքնին անվտանգության առումով զիջում է այլ տարբերակներին, ինչպիսիք են IPSec-ը: Սակայն, չնայած դրան, այն բավականին տարածված է։ Փաստորեն, օգտագործողը գործ ունի սորտերից մեկի հետ VPN կապեր(անլար կապ):

Ինչու՞ օգտագործել PPTP կապ:

PPTP արձանագրության շրջանակը բավականին ընդարձակ է: Նախ, հարկ է նշել, որ երկու օգտատերերի միջև կապի այս տեսակը թույլ է տալիս պաշտպանել տեղեկատվությունը, ինչպես նաև զգալիորեն խնայել միջքաղաքային զանգերը: PPTP արձանագրությունը հաճախ անփոխարինելի է երկու լոկալ ցանցերի միջև հաղորդակցություն ապահովելու համար ինտերնետի միջոցով թունելի կամ անվտանգ գծի միջոցով փոխանցման միջոցով՝ առանց նրանց միջև ուղղակի կապ օգտագործելու: Սա նշանակում է, որ երկու տեղական ցանցեր անմիջական կապ չունեն և որպես միջնորդ օգտագործում են թունելը։ Մյուս կողմից, PPTP արձանագրության վրա հիմնված թունելավորումը կարող է օգտագործվել հաճախորդ-սերվեր կապ ստեղծելիս: Այս կապով օգտվողի տերմինալը միանում է սերվերին անվտանգ ալիքով:

PPTP-ի ներդրում տարբեր օպերացիոն համակարգերում

Եկեք մի փոքր շեղվենք և նայենք PPTP կապին մյուս կողմից: Microsoft-ի կողմից այս պրոտոկոլի մշակումից ի վեր քչերն են հասկացել, թե դա ինչ է, իր ամբողջական տարբերակում այս արձանագրությունն առաջինը ներդրել է Cisco-ն, սակայն Microsoft-ի մասնագետները հետ չեն մնացել։ Գործող տարբերակից Windows համակարգեր 95 OSR2, PPTP արձանագրության վրա հիմնված կապ ստեղծելու ունակությունը հայտնվեց ավելի ուշ ծրագրային ապահովման արտադրանքներում, մինչդեռ նրանք նույնիսկ ունեին PPTP սերվերը կարգավորելու միջոցներ: Որպես օրինակ, հետևյալը կքննարկի PPTP կապը օպերացիոն համակարգ Windows 7. Հարկ է նշել, որ այսօր այս օպերացիոն համակարգը համարվում է ամենատարածվածը: Մինչև վերջերս Linux համակարգերը լիարժեք աջակցություն չէին տրամադրում PPTP արձանագրությանը: Այն հայտնվել է միայն 2.6.13 փոփոխության մեջ:Այս արձանագրության աջակցությունը պաշտոնապես հայտարարվել է միջուկի 2.6.14 տարբերակում: MacOSX և FreeBSD օպերացիոն համակարգերը ներկառուցված են PPTP հաճախորդներ. Palm PDA-ները, որոնք ապահովում են Wi-Fi անլար կապեր, հագեցած են հատուկ Mergic հաճախորդով:

Վավեր կապի պայմաններ

Թունելի կիրառման գործընթացը բավականին կոնկրետ է։ PPTP կապի ստեղծումը ենթադրում է TCP պորտի օգտագործումը 1723, ինչպես նաև պարտադիր արձանագրության IPGRE համարը 47: Հետևաբար, firewall-ը, եթե այդպիսիք կան, և Windows օպերացիոն համակարգի ներկառուցված firewall-ը պետք է կազմաձևվեն այնպես, որ IP փաթեթները կարողանան: ազատ անցնել առանց սահմանափակումների. Սա վերաբերում է ոչ միայն օգտագործողների մեքենաներին, այլ նաև տեղական ցանցերին: Թունելի տվյալների նման անվճար փոխանցումը պետք է հավասարապես ապահովվի մատակարարի մակարդակով: Տվյալների փոխանցման միջանկյալ փուլում NAT-ն օգտագործելիս VPN մշակումը պետք է համապատասխանաբար կազմաձևվի:

PPTP: ընդհանուր սկզբունքներկապեր և աշխատանք

Մենք բավականին հակիրճ անդրադարձել ենք PPTP կապին: Ձեզանից շատերը հավանաբար արդեն հասկանում են, թե ինչ է դա: Այս հարցում ամբողջական պարզություն մտցնելու համար հաշվի առեք արձանագրության գործողության և դրա վրա հիմնված հաղորդակցության հիմնական սկզբունքները: Մենք նաև մանրամասն կքննարկենք PPTPGRE կապի հաստատման գործընթացը: Երկու կետերի միջև կապը հաստատվում է սովորական PPP նիստի հիման վրա՝ հիմնված GRE արձանագրության (էկապսուլյացիայի) վրա: Երկրորդ կապը կատարվում է անմիջապես TCP պորտի վրա, որը պատասխանատու է GRE-ի մեկնարկի և վերահսկման համար: Փոխանցված IPX փաթեթն ինքնին ուղղակիորեն բաղկացած է տվյալներից, որոնք երբեմն կոչվում են payload և լրացուցիչ հսկողության տեղեկատվություն: Ի՞նչ է տեղի ունենում գծի մյուս ծայրում, երբ փաթեթ է ստացվում: Համապատասխան ծրագիրը PPTP կապի համար քաղում է IPX փաթեթում պարունակվող տեղեկատվությունը, այսպես ասած, և ուղարկում այն ​​մշակման՝ օգտագործելով միջոցներ, որոնք համապատասխանում են համակարգի բնիկ արձանագրությանը: Բացի այդ, թունելի փոխանցման և հիմնական տեղեկատվության ընդունման կարևոր բաղադրիչներից մեկը մուտքի և գաղտնաբառի համակցության միջոցով մուտքն օգտագործելու նախապայման է: Եթե ​​ստացման փուլում դեռ հնարավոր է կոտրել գաղտնաբառերը և մուտքերը, ապա դա անհնար է անել անվտանգ միջանցքով կամ թունելով տեղեկատվություն փոխանցելու գործընթացում:

Միացման անվտանգություն

Ինչպես նշվեց ավելի վաղ, PPTP արձանագրության վրա հիմնված թունելավորումը բոլոր առումներով լիովին անվտանգ չէ: Հաշվի առնելով, որ տվյալների կոդավորումը օգտագործում է այնպիսի գործիքներ, ինչպիսիք են MSCHAP-v2, EAP-TLS կամ նույնիսկ MPEE, մենք կարող ենք խոսել բավականին բարձր պաշտպանության աստիճանի մասին: Որոշ դեպքերում անվտանգության մակարդակը բարձրացնելու համար կարող են օգտագործվել հետադարձ զանգեր, որոնց դեպքում ստացող կամ փոխանցող կողմը ծրագրային կերպով միացնում և փոխանցում է տեղեկատվություն:

Ինչպես կարգավորել PPTP-ն Windows 7 օպերացիոն համակարգում. ցանցային ադապտերների կարգավորումներ

Windows ընտանիքի ցանկացած օպերացիոն համակարգում PPTP կապի ստեղծումը բավականին պարզ է: Ինչպես արդեն նշվել է, մենք որպես օրինակ կդիտարկենք Windows 7-ը, առաջին հերթին անհրաժեշտ է գնալ «Ցանցի և փոխանակման կենտրոն»: Դա կարելի է անել՝ օգտագործելով «Կառավարման վահանակը», կամ օգտագործելով ցանկը, որը կոչվում է ցանցի կամ ինտերնետ կապի պատկերակի վրա աջ սեղմելով: Ցանկի ձախ կողմում կա ցանցային ադապտերների կարգավորումները փոխելու գիծ: Դուք պետք է միացնեք այն, և դրանից հետո, աջ սեղմելով տեղական ցանցի միացման վրա, զանգահարեք համատեքստի ընտրացանկը և ընտրեք գույքի տողը: Բացվող պատուհանում դուք պետք է օգտագործեք TCP / IPv4 արձանագրության հատկությունները: Կարգավորումների պատուհանում դուք պետք է նշեք այն պարամետրերը, որոնք տրամադրվում են մատակարարի կողմից միանալու ժամանակ: Որպես կանոն, սահմանվում է DNS և IP սերվերների հասցեների ավտոմատ ստացում: Դուք պետք է պահպանեք կատարված փոփոխությունները և վերադառնաք տեղական տարածքի միացմանը, որտեղ դուք պետք է ստուգեք, թե արդյոք այն ներկայումս ակտիվ է: Դա անելու համար օգտագործեք մկնիկի աջ կոճակը: Եթե ​​վերին տողում գրված է «Անջատել կապը», ապա կապն ակտիվ է: Հակառակ դեպքում, դուք պետք է միացնեք այն:

VPN-ի ստեղծում և կարգավորում

Հաջորդ քայլը VPN կապ ստեղծելն է: Դա անելու համար պատուհանի աջ մասում գտնվող «Կառավարման կենտրոն» բաժնում օգտագործեք նոր կապ ստեղծելու գիծը: Դրանից հետո դուք պետք է ընտրեք կապը աշխատավայրի հետ, իսկ դրանից հետո՝ գոյություն ունեցող ինտերնետ կապի օգտագործումը, այնուհետև պետք է հետաձգեք ինտերնետ կապի կարգավորումը: Հաջորդ պատուհանում դուք պետք է նշեք VPN օպերատորի ինտերնետային հասցեն և նշեք կամայական անուն: Ներքևում, համոզվեք, որ նշեք «Մի միացեք հիմա» տողի կողքին գտնվող վանդակը: Այս դաշտում դուք պետք է կրկին մուտքագրեք ձեր մուտքն ու գաղտնաբառը, եթե դրանք նախատեսված են ծառայության պայմանագրով, ապա սեղմեք «Ստեղծել» կոճակը: Դրանից հետո անհրաժեշտ է հասանելի կապերի ցանկում ընտրել նոր ստեղծված կապը և նոր պատուհանում սեղմել հատկությունների կոճակը։ Հաջորդը, դուք պետք է շատ ուշադիր գործեք: Անվտանգության ներդիրում պարտադիր է սահմանել հետևյալ պարամետրերը.

- VPN տեսակը - ավտոմատ;

- տվյալների գաղտնագրում - կամընտիր;

— արձանագրությունների թույլտվություն՝ CHAP և CHAP տարբերակ 2:

Այժմ դուք պետք է հաստատեք կատարված փոփոխությունները և անցնեք կապի տեղադրման պատուհան, որտեղ դուք պետք է սեղմեք միացման կոճակը: Եթե ​​կարգավորումները ճիշտ են, դուք կկարողանաք միանալ ինտերնետին: Արժե՞ արդյոք օգտագործել այս նպատակով երրորդ կողմի կոմունալ ծառայություններ? Օգտագործողները տարբեր կերպ են արձագանքում լրացուցիչ PPTP սերվերների կամ հաճախորդների տեղադրման հարցին: Այնուամենայնիվ, նրանցից շատերը համաձայն են, որ ներկառուցված Windows մոդուլի տեղադրումն ու օգտագործումը պարզության առումով շատ ավելի նախընտրելի է։ Իհարկե, դուք կարող եք տեղադրել pfSense փաթեթի նման մի բան, որը երթուղիչի firewall է: Այնուամենայնիվ, նրա «հայրենի» Multilink PPP Daemon հաճախորդը բազմաթիվ խնդիրներ ունի՝ կապված PPTP-ի վրա հիմնված Windows սերվերների օգտագործման հետ՝ ձեռնարկության համակարգերում սերվերի և հաճախորդի միջև վավերացման արձանագրության օգտագործումը կիսելու առումով: Հարկ է նշել, որ տնային օգտագործողների տերմինալներում նման խնդիրներ չեն արձանագրվել: Այս կոմունալը շատ ավելի դժվար է կարգավորել, առանց հատուկ գիտելիքներ օգտագործելու անհնար է ճիշտ պարամետրեր նշել կամ ֆիքսել օգտագործողի IP-ի կանոնավոր «հավաքումը»: Կարող եք փորձել սերվերի կամ հաճախորդի այլ կոմունալ ծառայություններ, որոնք նախատեսված են PPTP կապ հաստատելու համար: Բայց իմաստ ունի՞ համակարգը բեռնել ավելորդ ծրագրերով, քանի որ Windows ընտանիքի ցանկացած օպերացիոն համակարգ ունի իր գործիքներն այդ նպատակով: Բացի այդ, որոշ ծրագրային արտադրանքԱյս առումով, դրանք այնքան դժվար է կազմաձևել, որ կարող են կոնֆլիկտներ առաջացնել ֆիզիկական և ծրագրային մակարդակներում, ուստի ավելի լավ կլինի սահմանափակվես միայն նրանով, ինչ կա:

Եզրակացություն

Սա իրականում ամեն ինչ վերաբերում է PPTP արձանագրությանը, դրա հիման վրա թունելային կապ ստեղծելու, կազմաձևելու և օգտագործելով: Այս արձանագրության օգտագործումը սովորական օգտագործողի համար արդարացված չէ: Կան օրինական կասկածներ, որ որոշ օգտատերերի կարող է անհրաժեշտ լինել անվտանգ հաղորդակցման ալիք: Եթե ​​Ձեզ անհրաժեշտ է պաշտպանել Ձեր IP հասցեն, ապա այդ նպատակով ավելի լավ է օգտագործել անանուն պրոքսի սերվերներ ինտերնետում կամ անանունացնողներ: Առևտրային ձեռնարկությունների տեղական ցանցերի և այլ կառույցների միջև փոխգործակցության համար, ապա PPTP կապի ստեղծումը կարող է հեշտ ելք լինել: Նման կապը, իհարկե, հարյուր տոկոսանոց անվտանգություն չի ապահովի, բայց դրա կիրառման մեջ որոշակի ողջամտություն կա։