Sziasztok!
Érdekelne, hogy mennyire rejt valós problémát 2018-ban használni pptp-ét egy Mikrotik routerrel. Valós veszély-e? Felfognak törni napokon belül...Mert olvastam csomót, hogy elavult, könnyen törhető stb. De azért pár dolognak összekell állni, hogy megtörténjen a feltörés...
- 1322 megtekintés
Hozzászólások
Ha nem boldogulsz az L2TP+IPSEC kombóval, ott van még az openVPN és az SSTP. Mindkettő jobb választás a PPtP-nél és egyik sem háklis a NAT-ra. Ha meg nem vagy NAT mögött és stabil az internet mindkét végpontnál fix az IP cím és még Mikrotik eszköz is van mindkét oldalon, akkor ott az IPIP+IPSec, aminél egyszerűbben nem lehet VPN-t csinálni.
- A hozzászóláshoz be kell jelentkezni
SSTP-t ajanlom mindenkepp. Konfigolni egyszerubb mint az L2TP+IPSEC-et, MS cuccokkal megy szepen, mikrotik site to site VPN-t is lehet vele csinalni gond nelkul.
PPTP-t azt sztm felejts el, annal barmi jobb...
Igazabol nem ertem, ha Mikrotik eszkozod van, akkor lehetosegek egesz sora all elotted VPN letrehozasara, miert pont a PPTP-t szurtad ki? :)
- A hozzászóláshoz be kell jelentkezni
Nagyon gyorsan ment, 3 klikk és megvolt :)
- A hozzászóláshoz be kell jelentkezni
OpenVPN elég lazán ment, de folyamatosan duplicate packet, dropping....dobál a log-ba és nem csatlakozik.. :/
- A hozzászóláshoz be kell jelentkezni
Mi változott a lazán menés óta? Milyen kliens?
- A hozzászóláshoz be kell jelentkezni
Egy Ubuntu lenne a kliens, majd később még szenvedek vele, lehet csak valamit benéztem.
- A hozzászóláshoz be kell jelentkezni
OVPN duplicate packet, dropping Mikrotiknel nekem is gyakran van a masik oldalon pfSense-el, de ettol fuggetlenul mukodik. Erdekes ha mindket oldal Mikrotik, akkor nem tapasztaltam ilyet.
- A hozzászóláshoz be kell jelentkezni
Nalam sajnos nem jon letre a kapcsolat, log-bol latom, hogy megerkezem a mikrotikig es ott megall.
- A hozzászóláshoz be kell jelentkezni
mikrotik sajnos csak a tcp-s openvpn-t tudja, meg ha jól emlékszem cpu-ból (nem a célcsippel) csinálja a titkosítást, szóval az felejtős ha sebesség is kell.
- A hozzászóláshoz be kell jelentkezni
Attól függ mire kell, mert pl 1 NAT mögül kell több klienssel VPNezni akkor az ipsec nem fog menni mikrotikkel, csak 1 kliens. Míg a pptp ugye simán, az openvpn is. Viszont az openvpn meg jóval macerásabb mint egy pptp vagy akár l2tp.
Fedora 27, Thinkpad x220
- A hozzászóláshoz be kell jelentkezni
OpenVpn akkor már. Egyszerű beállítani, nagyon szépen működik.
- A hozzászóláshoz be kell jelentkezni
Ez igaz, de sajnos nem tokeletes megoldas, mert:
- nem hardveresen gyorsitott
- csak TCP-t tud
Mindketto sajnos Mikrotik sara.
- A hozzászóláshoz be kell jelentkezni
Viszont nem security hole. Amúgy feltételben egyiket sem írtad, h probléma. :)
- A hozzászóláshoz be kell jelentkezni
Igaz, egyik sem nagy probléma, csak sajnos valamiért nem akar működni az ovpn...
- A hozzászóláshoz be kell jelentkezni
(Volt Linux) Devops akadémiás srácoknak van nagyon jó mikrotik-openvpn videója. Ajánlom.
- A hozzászóláshoz be kell jelentkezni
Mit értesz feltörés alatt? Az auth-ot, vagy magát a forgalmat? Utóbbit tényleg pikkpakk lehet megfejteni, de itt te tudod, hogy milyen info utazik a VPN-ben.
- A hozzászóláshoz be kell jelentkezni
jaja, kerses mi a cel.... ill ha a trafficot esetleg megfejtik, mennyi ideig relevans, illetve erdekes lehet -e...... site2site, source limited, aztan legyen jo helyen aki torni akarja....
- A hozzászóláshoz be kell jelentkezni
Bejutnak a belső hálózatra...
- A hozzászóláshoz be kell jelentkezni
ahhoz azert kell 1-2 dolog..... teszemazt az adott usert limiteled IPre, ES nem az auth cred kompromittalodik, hanem a titkositott adatcsatorna tartalma van megfejtve.... mit akarsz a vpn-en belul forgalmazni? pl ha protokoll szinten titkositott barmit, akkor leszaros.... az auth meg vedve van L3 es L4 szinten is, plusz az usernek / jelszonak is matchelnie kell. Mi a cel?
- A hozzászóláshoz be kell jelentkezni
Csak annyi, hogy kivurol eltudjonak paran erni fontos fileokat, gyorsan es egyszeruen...Jo lenne ha ezek a fileok amiket elernek, ne keruljonek masok kezebe, ezert nem tudok bizni egy pptp-ben, bar sehol nem lattam, hogy a valo eletben hogy tudnak pl. megszerezni ezeket a fileokat az elavult pptp miatt.
- A hozzászóláshoz be kell jelentkezni
na es milyrn protokollon ered el kivulrol? az elavult pptp miatt az kodolt adatstream torheto, HA jo helyen van aki hallgatozik ES epp a te adatod erdekli. ha erre meg rahuzol egy httpst, smb3!, etc akkor mar duplan titkositasz - ne feledd, hogy regen cleartext ment vpn felett tobbnyire.
- A hozzászóláshoz be kell jelentkezni
Foleg smb, egyszerubb jelszoval vedve.
- A hozzászóláshoz be kell jelentkezni
akkor az manapsag smb3, nativan is protokoll oldalon 2felol tls titkositott.... szerintem nem lesz vele gond.
- A hozzászóláshoz be kell jelentkezni