З'єднання PPTP – що це таке? Як настроїти VPN за допомогою PPTP Введення в теорію PPTP

Розглянувши попередніх частинах теоретичні питання перейдемо до практичної реалізації. Сьогодні ми розглянемо створення VPN-сервера PPTP на платформі Ubuntu Server. Даний матеріал розрахований на читачів, які мають навички роботи з Linux, тому ми не відволікатимемося на речі, описані нами в інших статтях, таких як налаштування мережі тощо. Якщо ви відчуваєте труднощі - попередньо вивчіть інші наші матеріали.

Практичне знайомство з VPN ми почнемо з PPTP як найпростішого в реалізації. Проте слід пам'ятати, що це слабозахищений протокол і його не слід використовувати для доступу до критично важливих даних.

Розглянемо схему, яку ми створили у нашій тестовій лабораторії для практичного знайомства з даною технологією:

У нас є локальна мережа 10.0.0.0/24 з сервером терміналів 10.0.0.2 і 10.0.0.1, який буде виконувати функції сервера VPN, для VPN ми зарезервували мережу 10.0.1.0/24. Зовнішній інтерфейс сервера має умовну виділену IP адресу X.X.X.X. Наша мета – надати віддаленим клієнтам доступ до термінального сервера та загальних ресурсів на ньому.

Налаштування сервера PPTP

Встановимо пакет pptpd, що реалізує функціонал PPTP VPN:

Sudo apt-get install pptpd

Тепер відкриємо файл /etc/pptpd.confта задамо основні налаштування VPN сервера. Перейдемо в кінець файлу, де вкажемо адресу сервера у мережі VPN:

Localip 10.0.1.1

І діапазон адрес для видачі клієнтам:

Remoteip 10.0.1.200-250

Адреса потрібно виділити не менше, ніж можливих одночасних з'єднань, краще з невеликим запасом, так як їх збільшення без перезапуску pptpd неможливо. Також знаходимо та розкоментуємо рядок:

Bcrelay eth1

Це дозволить передавати VPN клієнтам широкомовні пакети внутрішньої мережі.

Також можна використовувати опції listenі Speedперша дозволяє вказати IP адресу локального інтерфейсу для прослуховування вхідних PPTP з'єднань, другий вказати швидкість VPN з'єднань в біт/с. Наприклад, дозволимо серверу приймати PPTP з'єднання тільки із зовнішнього інтерфейсу:

Listen X.X.X.X

Більш тонкі настройки знаходяться у файлі /etc/ppp/pptpd-options. Налаштування за умовчанням цілком відповідають нашим вимогам, проте коротко розглянемо деякі з них, щоб ви мали уявлення про їхнє призначення.

Секція #Encryptionвідповідає за шифрування даних та автентифікацію. Дані опції забороняють використання застарілих та небезпечних протоколів PAP, CHAP та MS-CHAP:

Refuse-pap
refuse-chap
refuse-mschap

Require-mschap-v2
require-mppe-128

Наступна секція #Network and Routing, тут слід звернути увагу на опцію ms-dns, яка дозволяє використовувати сервер DNS у внутрішній мережі. Це може бути корисно при доменній структурі мережі або наявності в ній сервера DNS який містить імена всіх ПК мережі, що дає можливість звертатися до комп'ютерів за їх іменами, а не тільки по IP. У нашому випадку ця опція марна та закоментована. Подібним чином можна встановити й адресу WINS сервера опцією ms-wins.

Тут же знаходиться опція proxyarp, що включає, як нескладно здогадатися з назви, підтримку сервером Proxy ARP.

У секції #Miscellaneousміститься опція lockяка обмежує клієнта одним підключенням.

Ivanov * 123 *
petrov * 456 10.0.1.201

Перший запис дозволяє підключатися до сервера користувачу ivanov з паролем 123 і присвоює йому довільну IP-адресу, друга створює користувача petrov з паролем 456, якому при підключенні буде присвоюватися постійна адреса 10.0.1.201.

Перезапускаємо pptpd:

Sudo /etc/init.d/pptpd restart

Важливе зауваження! Якщо pptpdне хоче перезапускатися, зависаючи на старті, а в /var/log/syslogдодаючи рядок long config file line ignoredобов'язково додайте в кінець файлу /etc/pptpd.confперенесення рядка.

Наш сервер готовий до роботи.

Налаштування клієнтських ПК

Загалом достатньо налаштувати VPN з'єднання з опціями за замовчуванням. Однак ми радимо явно вказати тип з'єднання та вимкнути зайві протоколи шифрування.

Далі, залежно від структури мережі, необхідно вказати статичні маршрути та основний шлюз. Ці питання докладно розбиралися у попередніх частинах.

Встановлюємо VPN з'єднання і намагаємося пропінгувати якийсь ПК у локальній мережі, ми без будь-яких труднощів отримали доступ до термінального сервера:

Тепер ще один важливий додаток. У більшості випадків доступ до комп'ютерів локальної мережі буде можливий лише за адресами IP, тобто. шлях 10.0.0.2 буде працювати, а SERVER - ні. Це може виявитися незручним та незвичним для користувачів. Існує кілька способів вирішення цієї проблеми.

Якщо локальна мережа має доменну структуру, достатньо вказати сервер DNS для VPN підключення DNS сервер контролера домену. Скористайтеся опцією ms-dnsв /etc/ppp/pptpd-optionsсервера та дані налаштування будуть отримані клієнтом автоматично.

Якщо DNS сервер у локальній мережі відсутній, то можна створити та використовувати WINS сервер, інформацію про нього також можна автоматично передавати клієнтам за допомогою опції ms-wins. І нарешті, якщо віддалених клієнтів небагато, використовувати на клієнтських ПК файли hosts(C:\Windows\System32\drivers\etc\hosts), куди слід додати рядки виду.

Вітаємо Вас на нашому сайті! У цій інструкції ви дізнаєтесь, як налаштувати VPN-підключення за протоколом PPTP для операційної системи Windows 7.

Нагадаємо, VPN (Virtual Private Network) – це технологія, яку використовують для доступу до захищеної мережі (мереж) за допомогою загальнодоступної мережі Інтернет. За допомогою VPN-каналу можна захистити свою інформацію, зашифрувавши її та передавши всередині VPN-сесії. Крім цього VPN є дешевою альтернативою дорогому виділеному каналу зв'язку.

Для налаштування VPN за протоколом PPTP для Windows 7 Вам знадобляться:

• ОС Windows 7;
• адресу VPN-сервера, до якого здійснюватиметься підключення за протоколом PPTP;
• логін та пароль.

На цьому теоретична частина закінчена, приступимо до практики.

1. Відкриваємо меню "Пуск" та переходимо в "Панель управління" Вашим комп'ютером

2. Потім вибираємо розділ "Мережа та Інтернет"

3. У вікні вибираємо "Центр управління мережами та загальним доступом"

4. На наступному етапі вибираємо пункт "Налаштування нового підключення чи мережі"

5. У вікні, що відкрилося, вибираємо пункт "Підключення до робочого місця"

6. У новому вікні вибираємо пункт "Використовувати моє підключення до Інтернету (VPN)"

8. У вікні, що відкрилося, в полі "Інтернет-адреса" вводимо адресу вашого VPN-сервера, в полі "Ім'я місцепризначення" вводимо назву підключення, яке можна вибрати довільно

9. У наступному вікні вводимо логін та пароль, які прописані на сервері VPN. У полі "Запам'ятати цей пароль" ставимо "галочку", щоб не вводити його при кожному підключенні

10. Після перерахованих дій підключення готове до використання, натискаємо кнопку "закрити"

11. Після цього заходимо знову в меню Пуск, потім в Панель управління, Мережа та Інтернет, Управління мережами та загальним доступом, де вибираємо пункт "Зміна параметрів адаптера"

12. Знаходимо у цьому вікні наше VPN-підключення, клацаємо по ньому правою кнопкою мишки та переходимо у його властивості

14. У цьому ж вікні, тільки на вкладці «Мережа» прибираємо "галочки" навпроти пунктів: "Клієнт для мереж Microsoft" та "Служба доступу до файлів та принтерів мереж Microsoft"

На цьому налаштування VPN за протоколом PPTP для операційної системи Windows 7 завершено і VPN-з'єднання готове до використання.

Віртуальні приватні мережі здобули заслужену популярність. Це надійне та
безпечний засіб, призначений для організації міжсайтової мережевої
інфраструктури та підключень віддаленого доступу. В останні роки серед
існуючих VPN-протоколів особливе місце посідає PPTP. Рішення на його базі
поширені, легко впроваджуються та забезпечують рівень захисту, достатній для
більшості компаній.

Чому саме PPTP?

Тунельний протокол PPTP дозволяє зашифрувати мультипротокольний трафік, а
потім інкапсулювати (упакувати) його в IP-заголовок, який буде надіслано
локальної чи глобальної мережі. PPTP використовує:

• TCP-підключення для керування тунелем;
• модифіковану версію GRE (загальна інкапсуляція маршрутів) для
  інкапсулювання PPP-фреймів тунельованих даних.

Корисне навантаження пакетів, що передаються, може бути зашифровано (за допомогою
протоколу шифрування даних MPPE), стиснута (використовуючи алгоритм MPPC) або
зашифрована та стиснута.

PPTP легкий у розгортанні, не вимагає інфраструктури сертифікатів та
сумісний з переважною більшістю NAT-пристроїв. Усі версії Microsoft Windows,
починаючи з Windows 95 OSR2, включають до свого складу PPTP-клієнт. Також клієнти для
підключення по PPTP є в Linux, xBSD і Mac OS X. Провайдери знають про ці
переваги, і саме тому для організації підключення до інтернету часто
використовують PPTP, навіть незважаючи на те, що спочатку у нього захищеність нижче,
ніж у L2TP, IPSec і SSTP (PPTP чутливий до словникових атак, крім того,
VPN-підключення, засноване на протоколі PPTP, забезпечує конфіденційність,
але не цілісність переданих даних, оскільки відсутні перевірки, що дані
не були змінені при пересиланні).

Варто відзначити: у великих мережах PPTP краще PPPoE. Адже при
використання останнього пошук сервера здійснюється шляхом розсилки
широкомовних пакетів, які можуть загубитися на свічах, та й мережа така
пакети "наповнюють" дуже пристойно.

Аутентифікація та шифрування

У Vista та Win2k8 список розпізнавальних протоколів PPP помітно скорочено.
Виключені SPAP, EAP-MD5-CHAP та MS-CHAP, які давно визнані небезпечними (у
них використовуються алгоритми хешування MD4 та шифрування DES). Список доступних
протоколів тепер виглядає так: PAP, CHAP, MSCHAP-v2 та EAP-TLS (вимагає наявності
користувацьких сертифікатів або смарт-карток). Настійно рекомендується
використовувати MSCHAP-v2, оскільки він надійніший і забезпечує взаємну
автентифікацію клієнта та сервера. Також за допомогою групової політики запиши
обов'язкове застосування сильних паролів.

Для шифрування VPN-з'єднання за допомогою MPPE використовуються 40, 56 та
128-розрядні RSA RC4 ключі. У перших версіях Windows через обмеження на експорт
військових технологій був доступний лише 40-бітний ключ і з деякими застереженнями
- 56-бітний. Вони вже давно визнані недостатніми, і, починаючи з Vista,
підтримується лише 128-бітна довжина ключа. Може виникнути ситуація,
що у клієнта підтримки такої можливості немає, тому для старих версій Windows
треба накотити всі сервіс-паки чи оновлення безпеки. Наприклад, WinXP SP2
без проблем підключиться до сервера Win2k8.

Щоб самостійно переглянути список алгоритмів, що підтримуються системою і
довжин ключів, зверніться до гілки реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
Зокрема, налаштування алгоритмів шифрування знаходяться у гілці Ciphers RC4.
Примусово активувати потрібну опцію можна, створивши параметр dword "Enabled" та
встановивши його значення "ffffffff". Є й інший спосіб, який Microsoft не
рекомендує активувати підтримку 40/56-бітних RC4 ключів на сервері Win2k8.
Для цього необхідно встановити в "1" параметр реєстру HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto
та перезапустити систему.

Налаштування сервера PPTP у Win2k8

Типова конфігурація для роботи VPN складається з контролера домену, серверів
RRAS (Routing and Remote Access)і NPS (Network Policy Server). В процесі
налаштування цих ролей додатково буде активовано сервісами DHCP та DNS.
Сервер, який має виконувати роль VPN, перед встановленням ролі RRAS повинен
бути приєднаний до домену. На відміну від L2TP та SSTP, сертифікати під час роботи PPTP
не потрібні, тому сервер сертифікатів (Certificate Services) не потрібно.
Мережеві пристрої, які братимуть участь у побудові VPN (у тому числі,
ADSL і подібні модеми), повинні бути під'єднані та налаштовані відповідним
(Пуск –> Панель управління –> Диспетчер пристроїв). Для деяких схем
VPN (з використанням NAT та при з'єднанні двох мереж) знадобиться, як мінімум,
два мережеві пристрої.

Використовуючи майстер установки ролей (Диспетчер сервера -> Ролі -> Встановити
роль), встановлюємо роль "Служби політики мережі та доступу" (Network Access
Services) і переходимо до вибору служб ролей, де відзначаємо всі компоненти "Служби
маршрутизації та віддаленого доступу" (Routing and Remote Access Services).
Натискаємо "Далі" і в наступному вікні підтверджуємо налаштування клацанням "Встановити".

Службу віддаленого доступу та маршрутизації встановлено, але ще не настроєно та
не запущено. Для налаштування параметрів роботи переходимо в "Диспетчері сервера"
вкладку "Ролі -> Служби політики мережі та доступу -> Служби маршрутизації та
віддаленого доступу"; як варіант, можна використовувати консоль "Маршрутизація та
віддалений доступ", що викликається з вкладки "Адміністрування" меню "Пуск".

Відзначаємо наш сервер у списку (консоль може бути підключена до кількох
системам) і в контекстному меню клацаємо "Налаштувати та включити маршрутизацію та
віддалений доступ" (Configure and Enable Routing and Remote Access). Якщо до
цього робилися спроби налаштувати службу, то повторної установки
деяких параметрів доведеться її зупинити, вибравши пункт "Вимкнути
маршрутизацію та віддалений доступ". При цьому всі налаштування будуть скинуті.
Майстер установки, що з'явився, запропонує вибрати типову конфігурацію сервера,
яка найточніше відповідає передбачуваним завданням. У меню вибору –
п'ять пунктів, чотири з них надають готові установки:

• Віддалений доступ (VPN або модем) – дозволяє користувачам підключатися
  через віддалене (комутоване) або безпечне (VPN) підключення;
• Перетворення мережевих адрес (NAT) – призначене для підключення до
  інтернету кількох клієнтів через одну IP-адресу;
• Доступ до віддаленої мережі (VPN) та NAT – є міксом попередніх
  пунктів, надає можливість виходу в інтернет з однієї IP-адреси та
  віддаленого підключення;
• Безпечне з'єднання між двома мережами – підключення однієї мережі до
  іншою, віддаленою.

Наступний крок для кожного із цих пунктів буде індивідуальним. Наприклад, при
налаштування SSTP (див. статтю " ") ми вибирали третій
сценарію. Для PPTP підійде будь-який із запропонованих варіантів, хоча рекомендованим
вважається пункт "Віддалений доступ", встановлений за умовчанням. Якщо є
труднощі при виборі схеми, вибери п'ятий пункт "Особлива конфігурація", або
закінчення роботи майстра продовжи налаштування в ручному режимі. Крім того, можна
звернутися до документації, натиснувши посилання "Докладніше", розташоване внизу вікна.

На наступному кроці відзначаємо список служб, які слід увімкнути на сервері.
Таких пунктів п'ять, їхні назви кажуть самі за себе:

• Доступ до віртуальної приватної мережі (VPN);
• Віддалений доступ (через телефонну мережу);
• Підключення на вимогу (для маршрутизації відділень організації);
• Перетворення мережевих адрес (NAT);
• Маршрутизація локальної мережі.

Власне, всі передустановки, про які йшлося вище, зводяться до
активації цих служб у різній комбінації. У більшості випадків слід вибрати
"Віддалений доступ (VPN або модем)", а потім – "Доступ до віртуальної приватної мережі
(VPN)". Далі просто потрібно вказати на мережевий інтерфейс, який підключений до
інтернету (зазначивши його мишкою). Якщо майстер виявить лише одне активне
з'єднання, то він закінчить роботу з попередженням, що для даного режиму
потрібна ще одна мережна карта, або запропонує перейти до налаштувань у режимі "Особлива конфігурація".

Прапорець "Безпека з використанням фільтра статичних пакетів"
рекомендується залишити зведеним. Такі фільтри пропускають VPN-трафік тільки з
вказаного інтерфейсу, а винятки для дозволених VPN-портів доведеться
налаштовувати вручну. При цьому можна налаштовувати статичні фільтри та брандмауер
Windows на одному інтерфейсі, але не рекомендується, оскільки це знизить
продуктивність.

На кроці "Призначення IP-адрес" виберіть спосіб отримання IP-адреси клієнтами
при підключенні до VPN-сервера: "Автоматично" або "З заданого діапазону
адрес". Перевірка справжності облікового запису може бути проведена як
сервером RRAS, і будь-яким іншим сервером, що підтримує протокол RADIUS. за
за промовчанням пропонується перший варіант, але у великій мережі з кількома серверами
RRAS найкраще використовувати RADIUS. У цьому робота майстра закінчується. Натискаємо
кнопку "Готово", і вікно, що з'явилося, повідомляє, що необхідно налаштувати "Агент
ретрансляції DHCP". Якщо RRAS і DHCP-сервер знаходяться в одному сегменті, і немає
проблем з обміном службових пакетів, тоді Relay agent налаштовувати необов'язково
(До речі, на внутрішньому інтерфейсі він активується за замовчуванням).

Налаштування в консолі

У вікні консолі буде доступне дерево установок. Бажано пройтися по
всім пунктам, щоб розібратися, де знаходиться. Так, у пункті "Інтерфейси
мережі" будуть показані всі налаштовані раніше мережеві інтерфейси. Вибравши меню
пункт "Створити новий інтерфейс виклику на вимогу", можна додати підключення
до VPN або PPPoE-серверів. Для перегляду списку протоколів, використовуваних портів та
їх стану переходимо до "Порти". Кнопка "Налаштувати" у вікні "Властивості" дозволяє
змінити параметри роботи вибраного протоколу. Наприклад, за умовчанням
кількість PPTP-, L2TP- та SSTP-підключень (портів) обмежена 128, а також
дозволено всі підключення (віддалений доступ і на вимогу). В якості
(необов'язкового) ідентифікатора сервера використовується телефон, введений у поле
Номер телефону для цього пристрою.

У пункті "Клієнти віддаленого доступу" відображається список підключених
клієнтів. Цифра поруч із назвою пункту підкаже їхню кількість. За допомогою
контекстного меню можна перевірити стан клієнта та за необхідності його
вимкнути. Два пункти IPv4 та IPv6 дозволяють налаштувати IP-фільтри, статичні
маршрути, агент DHCP ретрансляції та деякі інші параметри.

Робота зі смаком

Не можна не розповісти про ще одну можливість, яка помітно спростить життя
адміністраторам – пакет адміністрування диспетчера підключень CMAK (Connection
Manager Administration Kit). Майстер CMAK створює профіль, який дозволить
користувачам входити в мережу тільки з тими властивостями підключення, які
визначить їм адмін. Це не новинка Win2k8 – CMAK був доступний ще для Win2k
та підтримує клієнтів аж до Win95. Тим не менш, провайдери досі
забезпечують користувача мудрими інструкціями замість того, щоб надати йому
готові файли із налаштуваннями.

CMAK є компонентом Win2k8, але за умовчанням не встановлюється. Сам
процес встановлення за допомогою "Диспетчера сервера" стандартний. Вибираємо "Компоненти - Додати компоненти" і в майстрі, що з'явився, відзначаємо
"Пакет
адміністрування диспетчера підключень". Після закінчення установки однойменний
ярлик з'явиться в меню "Адміністрування".

При виклику СМАК запуститься майстер, який допоможе створити профіль диспетчера
підключень. На першому кроці виберіть ОС, для якої призначений профіль.
Доступні два варіанти: Vista та Windows 2000/2003/XP. Основна їх відмінність полягає
у тому, що Vista підтримує SSTP. Далі вибираємо "Новий профіль". Є
можливість використовувати як шаблон вже наявний профіль; наступні
кроки пропонують об'єднати декілька профілів. Вказуємо назву служби
(користувачі його побачать після інсталяції пакета) та ім'я файлу, куди буде
збережений профіль. Під час створення профілю служби майстер CMAK копіює всі вхідні
у цей профіль файли в Program Files\CMAK\Profiles. У деяких мережах при
автентичності використовується ім'я області (Realm name), наприклад, у Windows
це ім'я AD домену ( [email protected]). Майстер дозволяє задати таке ім'я області,
яке буде автоматично додано до логіну. І, нарешті, додаємо підтримку
VPN підключення. Активуємо прапорець "Телефонна книга з цього профілю" і потім
вибираємо "Завжди використовувати один VPN-сервер" або "Дозволити користувачеві
вибирати VPN-сервер перед з'єднанням". У другому випадку потрібно заздалегідь
підготувати файл txt зі списком серверів (формат файлу).
На етапі "Створити або змінити" вибираємо "Змінити", щоб з'явилося вікно "Правка VPN". Тут три вкладки (при активному IPv6 – чотири). У
"Загальні" відзначаємо "Вимкнути загальний доступ до файлів та принтерів" (у більшості випадків така
функціональність не потрібна). У IPv4 вказуються адреси основної та
додаткового DNS та WINS серверів. Установкою відповідних прапорців можна
вказати на використання PPTP-підключення як шлюзу за замовчуванням та активувати
стиснення IP-заголовків. Установки безпеки виконуються в однойменній вкладці.
Тут вказуємо, чи обов'язково використовувати шифрування, та відзначаємо необхідні
методи автентифікації. Список "Стратегія VPN" дозволяє вказати, який метод
буде використаний при підключенні до VPN-сервера. Можливо два варіанти: тільки
один протокол або перебір протоколів до активації з'єднання. У
контекст статті нас цікавить "Використовувати тільки PPTP" або "Спочатку PPTP".
Тут все, закриваємо вікно і рухаємось далі.

Сторінка "Додати телефонну книгу" дозволяє задати номери, що використовуються
для підключення до dial-up сервера. При необхідності можна також налаштувати
автоматичне оновлення списку номерів. Сторінка "Налаштувати записи віддаленого
доступу до мережі", а також вікно, що з'являється при натисканні "Змінити", подібні до
змісту "Створити або змінити". Наступний крок дозволяє модифікувати
таблиці маршрутизації на клієнтах, що підключилися: в більшості випадків краще
залишити "Не змінювати таблиці маршрутизації". Якщо потрібно, вказуємо параметри
проксі для IE. Окрім стандартних установок, майстер дозволяє встановити
дії, які можуть бути виконані на різних етапах підключення клієнта
(наприклад, запустити програму). Далі задаємо значки для різних ситуацій (вікна
підключення, телефонної книги і так далі), вибираємо файл довідки, відомості про
підтримки. При необхідності включаємо до профілю диспетчер підключень. Це може
бути корисним для клієнтських систем, на яких встановлена ​​ОС, яка не містить
диспетчер. Сюди ж можна додати текстовий файл із ліцензійною угодою та
додаткові файли, які поставлятимуться з профілем. На цьому робота
майстра закінчено - в резюме буде показаний шлях до файлу інсталяції. Копіюємо
його в загальнодоступну папку, щоб користувачі могли вільно завантажити.

Тепер користувачам досить запустити виконуваний файл і відповісти на
одне-єдине питання: зробити це підключення доступним для "Всіх
користувачів" або "Тільки мені". Після чого значок нового з'єднання буде
додано до "Мережевих підключень", і з'явиться вікно реєстрації, в якому
необхідно ввести свій логін та пароль. Дуже зручно!

Управління RRAS за допомогою Netsh

Деякі налаштування RRAS-сервера можна керувати за допомогою утиліти Netsh
(Network shell). Додати тип автентифікації облікового запису можна при
допомоги команди:

> Netsh ras add authtype PAP|MD5CHAP|MSCHAPv2|EAP

Для ранніх версій Windows ще й MSCHAP SPAP. Режим перевірки:

> Netsh ras set authmode STANDARD|NODCC|BYPASS

Зареєструвати комп'ютер як RRAS-сервер в AD:

> Netsh ras add registeredserver

Додати розширення PPP:

> Netsh ras add link SWC|LCP

Розширення SWC забезпечує програмне стискування, а LCP активує однойменне
розширення протоколу PPP. Типи багатоканального зв'язку підтримуваних PPP:

> Netsh ras add multilink MULTI | BACP

Властивості облікового запису задаються таким чином:

> Netsh ras set user

За допомогою "set client" можна переглянути статистику або вимкнути клієнта.
Зберегти та відновити конфігурацію RRAS за допомогою Netsh також просто:

> Netsh ras dump > "filename"
> Netsh exec "filename"

Крім цього, дуже багато налаштувань містить контекст "ras aaaa".

Детально про Netsh дивись у статті "Командний забіг у табір Лонгхорна"
.

INFO

PPTP був розроблений ще до створення стандартів IPsec та PKI і в даний час
час є найпопулярнішим VPN-протоколом.

Багато користувачів, напевно, чули про такий термін, як «з'єднання PPTP». Дехто навіть віддалено не уявляє, що це таке. Однак якщо простою мовою описувати принципи встановлення з'єднання на основі даного протоколу, зрозуміти їх зовсім неважко.

Що таке PPTP-з'єднання?

Підключення даного типу будується на основі однойменного протоколу, назва якого походить від англійського point-to-pointtunnelingprotocol. Дослівно це можна перекласти як «тунельний протокол типу «крапка-крапка». Інакше кажучи, це з'єднання між двома абонентами за допомогою передачі в зашифрованому вигляді пакетів даних через незахищені мережі на основі TCP/IP. Тип з'єднання PPTP дає можливість здійснювати перетворення так званих кадрів PPP в стандартні пакети IP, які передаються за допомогою того ж Інтернету. Вважається, що сам протокол PPTP за рівнем безпеки поступається іншим варіантам типу IPSec. Однак, незважаючи на це, він має досить широке поширення. По суті, користувач має справу з одним із різновидів підключень VPN (бездротове підключення).

Навіщо потрібно використовувати з'єднання PPTP?

Сфера використання протоколу PPTP досить велика. Насамперед, варто відзначити, що такий вид з'єднання між двома користувачами дозволяє захистити інформацію, а також значно заощадити на далеких дзвінках. Протокол PPTP досить часто буває незамінним при забезпеченні зв'язку між двома локальними мережами за допомогою передачі в Інтернеті тунелем або захищеною лінією без використання прямого з'єднання між ними. Це означає, що безпосереднього контакту дві локальні мережі немає і як посередника вони використовують тунель. З іншого боку, тунелювання на основі протоколу PPTP може використовуватися при створенні з'єднання типу клієнт-сервер. При такому з'єднанні термінал підключається до сервера по захищеному каналу.

Реалізація PPTP у різних операційних системах

Відвернемося трохи і поглянемо на з'єднання PPTP з іншого боку. Мало хто розумів, що це таке з моменту розробки даного протоколу корпорацією Microsoft. У повноцінному варіанті вперше цей протокол був реалізований компанією Cisco, але фахівці компанії Microsoft не відставали. Починаючи з версії операційної системи Windows 95 OSR2, можливості створення підключення на основі протоколу PPTP з'явилися в пізніших програмних продуктах, при цьому вони мали навіть засоби налаштування сервера PPTP. Як приклад далі буде розглянуто з'єднання PPTP в операційній системі Windows 7. що на сьогоднішній день ця операційна система вважається найбільш популярною. У Linux-системах донедавна повна підтримка протоколу PPTP не була передбачена. Вона з'явилася тільки в модифікації 2.6.13. Офіційно підтримка цього протоколу була заявлена ​​у версії ядра 2.6.14. Операційні системи MacOSX і Free BSD поставляються із вбудованими клієнтами PPTP. КПК Palm, які мають підтримку бездротового з'єднання Wi-Fi, обладнано спеціальним клієнтом Mergic.

Умови коректного з'єднання

Процес використання тунелювання є досить специфічним. Налаштування з'єднання PPTP передбачає використання порту TCP 1723, а також в обов'язковому порядку протоколу IPGRE з номером 47. Отже, налаштування міжмережевого екрана, якщо такий є, і вбудованого брендмауера операційної системи Windows має бути таким, щоб пакети IP могли вільно проходити без обмежень. Це стосується не лише машин користувачів, а й локальних мереж. Така вільна передача тунельованих даних рівною мірою повинна забезпечуватися на рівні провайдера. При використанні NAT на проміжній стадії передачі має бути налаштована відповідним чином обробка VPN.

PPTP: загальні принципи підключення та роботи

Ми розглянули з'єднання PPTP досить коротко. Багатьом, напевно, вже хоч трохи зрозуміло, що таке. Щоб внести повну ясність у питання, розглянемо основні засади функціонування протоколу та зв'язку з його основі. Також докладно розглянемо процес встановлення з'єднання PPTPGRE. З'єднання між двома точками встановлюється на основі звичайної сесії PPP на базі протоколу GRE (інкапсуляція). Друге підключення здійснюється безпосередньо на порті TCP, який відповідає за ініціацію і керування GRE. Що відбувається на іншому кінці лінії при отриманні пакета? Відповідна програма для з'єднання PPTP як би отримує інформацію, що міститься в пакеті IPX, і відправляє її на обробку за допомогою засобів, які відповідають власному протоколу системи. Крім цього, одним із важливих компонентів тунельної передачі та прийому основної інформації є обов'язкова умова використання доступу за допомогою комбінації «логін-пароль». Якщо зламати паролі та логіни на стадії отримання ще можна, то в процесі передачі інформації захищеним коридором або тунелем це зробити неможливо.

Засоби захисту сполук

Як уже було сказано раніше, тунелювання на основі протоколу PPTP не захищене абсолютно у всіх аспектах. Якщо враховувати, що при шифруванні даних використовуються такі засоби, як MSCHAP-v2, EAP-TLS або навіть MPEE, то можна говорити про досить високий рівень захисту. У деяких випадках для збільшення рівня безпеки можуть бути використані відповідні дзвінки, при яких сторона, що приймає або передає, здійснює підключення та передачу інформації програмним способом.

Як настроїти PPTP власними засобами операційної системи Windows 7: параметри мережного адаптера

У будь-якій операційній системі Windows налаштувати з'єднання PPTP досить просто. Як вже було сказано раніше, як приклад ми розглянемо Windows 7. Перш за все, необхідно зайти в Центр управління мережами та загальним доступом. Це можна зробити за допомогою «Панелі керування», або за допомогою меню, що викликається шляхом правого кліку миші на значку мережного або інтернет-підключення. Ліворуч у меню знаходиться рядок для зміни параметрів мережного адаптера. Необхідно задіяти її, а потім шляхом правого кліку миші на підключенні по локальній мережі викликати контекстне меню та вибрати рядок властивостей. У вікні необхідно використовувати властивості протоколу TCP/IPv4. У вікні налаштувань необхідно прописати параметри, які надані провайдером при підключенні. Як правило, встановлюється автоматичне отримання адрес для DNS та IP-серверів. Необхідно зберегти виконані зміни та повернутися до підключення по локальній мережі, де необхідно перевірити, чи воно активно в даний момент часу. Для цього необхідно використати правий клік миші. Якщо у верхньому рядку буде вказано «Вимкнути», значить з'єднання активно. В іншому випадку необхідно увімкнути його.

Створення та налаштування VPN

Наступним етапом є створення VPN-підключення. Для цього необхідно у розділі «Центр керування» у правій частині вікна використовувати рядок створення нового підключення. Після цього необхідно вибрати підключення до робочого місця, а після цього використання існуючого підключення до інтернету. Потім необхідно відкласти налаштування інтернет-з'єднання. У наступному вікні необхідно вказати інтернет-адресу оператора VPN та вказати довільне ім'я. Знизу обов'язково потрібно поставити галочку навпроти рядка "Не підключатися зараз". Після цього знову необхідно знову ввести логін і пароль, якщо вони передбачені договором на надання послуг, а потім натиснути на кнопку «Створити». Після цього потрібно вибрати в списку доступних підключень, щойно створене і натиснути на кнопку властивостей у новому вікні. Далі необхідно діяти гранично акуратно. В обов'язковому порядку на вкладці безпеки необхідно встановити такі параметри:

- Тип VPN - автоматичний;

- Шифрування даних - необов'язково;

- Роздільна здатність протоколів: CHAP і CHAP версії 2.

Тепер необхідно підтвердити виконані зміни та перейти до вікна встановлення з'єднання, де потрібно натиснути кнопку підключення. Якщо налаштування виконано належним чином, буде здійснено підключення до Інтернету. Чи варто використовувати з цією метою сторонні утиліти? Користувачі по-різному реагують на встановлення додаткових PPTP серверів чи клієнтів. Однак більшість з них сходяться на думці, що налаштування та використання вбудованого модуля Windows виглядає в плані простоти набагато краще. Звичайно, можна встановити щось на зразок пакету pfSense, який є міжмережевим екран-маршрутизатором. Однак його «рідний» клієнт Multilink PPP Daemon має безліч проблем, пов'язаних із використанням Windows-серверів на основі PPTP у плані розподілу використання протоколу автентифікації між сервером та клієнтом у корпоративних системах. Варто зазначити, що в домашніх терміналах таких проблем зазначено не було. Ця утиліта в налаштуванні набагато складніше, без використання спеціальних знань вказати правильні параметри або виправити регулярний «зліт» IP користувача, неможливо. Можна спробувати деякі інші серверні або клієнтські утиліти, призначені для встановлення з'єднання PPTP. Але чи є сенс завантажувати систему непотрібними програмами, оскільки будь-яка операційна система сімейства Windows має власні кошти для цієї мети? Крім того, деякі програмні продукти в цьому плані настільки складні в налаштуванні, що можуть викликати конфлікти на фізичному та програмному рівні, тому краще буде обмежитися тим, що є.

Висновок

Це, власне, все, що стосується протоколу PPTP, створення, налаштування та використання тунельного з'єднання на його основі. Використання цього протоколу для рядового користувача не виправдане. Виникають законні сумніви, що якимось користувачам може знадобитися захищений канал зв'язку. Якщо потрібно захистити свою IP-адресу, краще використовувати для цієї мети анонімні проксі-сервери в інтернеті або анонімайзери. Для забезпечення взаємодії між локальними мережами комерційних підприємств та інших структур, установка з'єднання PPTP може стати простим виходом. Таке підключення, звичайно, не забезпечить на всі сто безпеку, проте частка здорового глузду у його використанні є.

1. Створіть тунель на персональній сторінці системи, а потім

2. Зайдіть до параметрів VPN операційної системи та створіть нове підключення.

Вкажіть адресу сервера msk.сайт,

На вкладці "Безпека" виберіть тип VPN - PPTP

Шифрування поставте у "Необов'язкове"

Дійсність перевірки - CHAP. MS-CHAP v2

3. На вкладці Параметри IP зніміть галочку "Використовувати основний шлюз у віддаленій мережі"

4. За бажання використовувати послугу нашого сервера WINS можете поставити "Увімкнути Netbios поверх TCP/IP" (але для простого підключення тунелю цей пункт не є важливим)

5. Встановіть з'єднання та перевірте, чи виконується пінг адреси 172.16.0.1, потім перевірте, що на ваш комп'ютер автоматично (за протоколом DHCP) надійшли необхідні маршрути:

172.16.0.0 255.255.0.0

Маршрут, який веде до вашої віддаленої домашньої мережі 192.168.x.x 255.255.255.0 (у разі наявності). .

Для цього виконайте команду route printу вашому комп'ютері. Серед маршрутів мають бути перелічені вище.

PS: З метою боротьби із завислими сесіями ми примусово відключаємо тунелі користувача з протоколами PPTP, L2TP, L2TP/IPsec через 24 години після встановлення з'єднання. При правильному налаштуванні з'єднання повинні автоматично перевстановитись.