Соединение PPTP - что это такое? Соединение PPTP — что это такое? Общие принципы работы и подключения

, и как его можно использовать? На сегодняшний день немногие современные пользователи знает что это.

Более того, некоторые пользователи, используя его, подчас даже не подозревают, что являются активными его пользователями.

А узнают о его существовании просто случайно, не задаваясь даже целью понять что это, и чем оно так полезно.

Введение в теорию PPTP

Название подключения или соединения PPTP происходит от имени протокола, на основе какового и построено такое подключение.

Полная расшифровка его англоязычной аббревиатуры звучит как point to point tunneling protocol. Что, по сути, означает туннельный протокол от точки к точке.

Точками в этом случае обозначены пара абонентов, которые связываются путем передачи данных зашифрованных в пакеты и передающихся посредством незащищенных сетей, построенных по принципам TCP/IP.

Для кого-то такое определение покажется чересчур сложным, но это всего лишь вершина айсберга.

Если рассматривать соединение PPTP более подробно, окажется, что оно позволяет преобразовывать кадры PPP в IP-пакеты привычного типа.

А именно они передаются по каналу связи, например, по интернету или другой проводной, а также беспроводной сети.

Важно, что PPTP сложно назвать идеальным, и в ряде случаев, этот способ проигрывает в сравнении с другими моделями типа IPSec, поскольку имеет меньший уровень безопасности.

Впрочем, это не мешает его использовать повсюду и достаточно широко. От такого не стоит отказываться, и сейчас рассмотрим почему.

рис. 1 – Схематическое изображение PPTP соединения

Что дает соединение PPTP

Несмотря на некоторые огрехи в безопасности, соединение PPTP позволяет обеспечить базовую защиту данных и поэтому такой протокол имеет широкую сферу применения.

В частности, его можно с успехом использовать для осуществления дальних звонков с ощутимой экономией.

Происходит это потому как этот протокол не требует прямого соединения между двумя абонентами. Оно производится по защищенной линии в интернете, которая и называется туннелем.

Что касается туннеля, то он используется исключительно в роли посредника.

В то же время PPTP с успехом применяется при формировании клиент-серверных соединений. В этом случае соединение происходит несколько иначе.

Абонент, т. е. пользователь подключает свой терминал – рабочее устройство к серверу посредством того же защищенного канала.

Базовые правила подключения PPTP

Но прежде чем начать работу с подключением PPTP, его следует настроить и соблюсти несколько важных условий.

К особенностям настройки используемого туннелирования стоит отнести следующее:

порт TCP № 1723;
порт IP GRE №

При этом чтобы данные настройки работали соответствующим образом параметры встроенного брандмауэра (или сетевого экрана) не должны ограничивать поток IP-пакетов.

Их отправка и прием должна быть свободной.

Впрочем, даже если эти правила будут соблюдены при настройке подключения локально, не факт, что PPTP будет работать корректно.

Важно: Для правильной работы протокола провайдер должен обеспечить полную свободу пересылки туннелированных данных.

Детализация процесса подключения

Упомянутые выше точки соединяются посредством PPP-сессии, которая формируется на платформе протокола GRE.

Его аббревиатура расшифровывается как Generic Routing Encapsulation.

За его менеджмент и инициализацию несет ответственность второе подключение порта TCP.

Информация в форме пакета IPX который передается от точки к точке называется полезной нагрузкой, а дополняется он управляющей информацией.

Когда этот пакет попадает на другой конец линии специальное приложение извлекает содержащиеся в нем данные, после чего они отправляются на постобработку.

Постобработку производятся встроенными средствами системы соответственно указанному протоколу.

Стоит отметить, что взлом данных возможен только в процессе получения. В остальном безопасность обеспечивается за счет туннеля - защитного коридорах.

Поэтому важно использовать хорошо продуманную комбинацию логина и пароля, которые и отвечают за безопасность в процессе отправки/получения данных, а не в процессе пересылки.

рис. 4 – Уязвимые места PPTP

Обеспечение защиты соединения

Как отмечалось выше, данные передаются в форме шифрованного пакета.

Для его шифрования используются специальные средства, полный список которых можно просмотреть в настройках подключений.

Мы же выделим те которые характеризуются высокой степенью защищенности, в частности это:

MSCHAP-v1;
MSCHAP-v2;
EAP-TLS;
MPPE.

Чтобы обеспечить повышенный уровень защиты можно дополнительно использовать дозвоны - звонки ответа, реализованные программным путем.

Они позволяют удостовериться в том, был ли пакет данных передан полностью, и был ли поврежден в процессе пересылки.

А пока рассмотрим, чем выделяются представленные выше варианты.

Стоит отметить, что MSCHAP-v1 не отличается своей надежностью.

Для извлечения парольных хешей из него можно использовать специальные утилиты перехваченного обмена.

MSCHAP-v2 в этом смысле отличается от предшественника, но является уязвимым к словарным атакам на перехваченные пакеты данных, для чего также используются специальные программы, скорость обработки данных в которых может составить всего сутки на расшифровку.

Криптоаналитики могут расшифровать данные и из MPPE, который базируется на использовании потока RC4.

К примеру, расшифровать его можно используя метод подмены битов.

Впрочем, при желании такую уязвимость можно обнаружить, используя соответствующие методы, которые считают контрольные суммы.

Таким образом, становится понятно, что установленную на PPTP защиту можно обойти. И именно поэтому приходится использовать дополнительные средства безопасности.

рис. 5 – Упрощенная схема защищенного PPTP канала

Вам это может быть интересно:

Пример настройки параметров PPTP в OS MS WINDOWS 7

Чтобы понять все тонкости PPTP-соединения стоит попытаться самостоятельно провести настройки такого подключения.

Мы рассмотрим, как этот процесс происходит в системе , в частности, в популярной седьмой ее версии. Сделать это несложно следуя нашим рекомендациям.

Изначально потребуется запустить Панель управления . Произвести это проще всего из меню Пуск .

В ней понадобится выбрать категорию Центр управления сетями .

Попасть туда можно и минуя описанную цепочку. В таком случае следует выбрать из контекстного меню, вызванного сетевому подключению, тот же пункт.

Найти его можно в области уведомлений, расположенной справа в нижней части экрана.

После запуска Центра управления можно будет вносить изменения в свойства сетевого адаптера.

С этой целью понадобится в левой области окна выбрать команду Изменение параметров сетевого адаптера .

Затем можно вызывать пункт Свойства из контекстного меню для имеющегося локального подключения.

При этом большая часть провайдеров позволяет устанавливать адреса на рабочих станциях для DNS и IP серверов в автоматическом режиме.

По завершении внесения изменений в настройки понадобится активизировать подключение.

С этой целью в основном окне Центра управления нужно выделить настроенное ранее подключение и вызвать для него меню правой кнопкой мыши.

В нем следует выбрать пункт Включить .

Настройка параметров для сетевых подключений VPN

В том же разделе Панели управления потребуется создать VPN-подключение, если его еще нет. С этой целью нужно запустить команду Создать новое подключение в правой области окна.

В диалоге задаем подключение к рабочему месту , а далее – Использовать существующее подключение .

На следующем этапе в окошке задаем адрес VPN оператора и вносим придуманное ему название. При этом в диалоге требуется поставить маркер на строчке Не подключаться сейчас.

На последнем этапе необходимо внести логин и соответствующий ему пароль, необходимые для защиты соединения и нажать на кнопку Создать .

Кстати в нашем материале «VPN сервисы бесплатно: параллельная реальность для ПК» вы можете найти много интересного для себя.

После того как подключение создано, его необходимо настроить.

В частности, необходимо задать параметры безопасности.

Для этого нужно вызвать для созданного соединения пункт Свойства из контекстного меню и на вкладке окна Безопасность задать такие значения:

Для поля тип VPN задать значение - автоматический ;
Для поля шифрование данных установить значение - необязательное ;
Для поля разрешения протоколов выбрать из списка значения - CHAP и CHAP версии

Кликнув на кнопке ОК , мы сохраним изменения, а потом потребуется подключить соединение, как это описывалось выше при настройке PPTP. На этом настройка завершается.

VPN подключение что это такое

Что такое VPN подключение. По каким принципам оно устроено и для каких функций служит.

Прочие способы настройки подключения PPTP

Стоит отметить, что помимо встроенных средств для настройки сетевых подключений, которые предоставляют разработчики операционных систем, можно использовать программные средства третьих фирм.

Но при выборе именно таких средств можно столкнуться с рядом непредвиденных сложностей. Одна из них – нестабильность подключения.

Также проблемой может стать для пользователя большое количество настраиваемых параметров.

С подобными сложностями справятся профессионалы, а вот рядовые пользователи защищенных сетей с легкостью в них запутаются.

Поэтому подбирать такой экран-машрутизатор требуется с особой ответственностью.

В качестве примера хорошего программного пакета можно рассматривать pfSense, снабженный клиентом Multilink PPP Daemon.

Он будет без проблем работать на домашнем устройстве, а вот при создании соединений на предприятиях между клиентскими станциями и сервером могут возникнуть непреодолимые трудности, связанные со сбоями в сетевых адресах.

Важно, что такие проблемы при использовании стороннего программного обеспечения не единичны.

И возникнуть они могут у любого пользователя, как на программном уровне, так и на программном, что подтверждает практика.

Рассмотрев в предыдущих частях теоретические вопросы перейдем к практической реализации. Сегодня мы рассмотрим создание VPN сервера PPTP на платформе Ubuntu Server. Данный материал рассчитан на читателей, имеющих навыки работы с Linux, поэтому мы не будем отвлекаться на вещи описанные нами в других статьях, таких как настройку сети и т.п. Если вы испытываете затруднения - предварительно изучите другие наши материалы.

Практическое знакомство с VPN мы начнем с PPTP, как наиболее простого в реализации. Однако следует помнить о том, что это слабозащищенный протокол и его не следует использовать для доступа к критически важным данным.

Рассмотрим схему, которую мы создали в нашей тестовой лаборатории для практического знакомства с данной технологией:

У нас имеется локальная сеть 10.0.0.0/24 с сервером терминалов 10.0.0.2 и 10.0.0.1, который будет выполнять функции VPN сервера, для VPN мы зарезервировали сеть 10.0.1.0/24. Внешний интерфейс сервера имеет условный выделенный IP адрес X.X.X.X. Наша цель - предоставить удаленным клиентам доступ к терминальному серверу и общим ресурсам на нем.

Настройка сервера PPTP

Установим пакет pptpd реализующий функционал PPTP VPN:

Sudo apt-get install pptpd

Теперь откроем файл /etc/pptpd.conf и зададим основные настройки VPN сервера. Перейдем в самый конец файла, где укажем адрес сервера в VPN сети:

Localip 10.0.1.1

И диапазон адресов для выдачи клиентам:

Remoteip 10.0.1.200-250

Адресов нужно выделить не меньше, чем возможных одновременных соединений, лучше с небольшим запасом, так как их увеличение без перезапуска pptpd невозможно. Также находим и раскомментируем строку:

Bcrelay eth1

Это позволит передавать VPN клиентам широковещательные пакеты внутренней сети.

Также можно использовать опции listen и speed , первая позволяет указать IP адрес локального интерфейса для прослушивания входящих PPTP соединений, второй указать скорость VPN соединений в бит/с. Например разрешим серверу принимать PPTP соединения только с внешнего интерфейса:

Listen X.X.X.X

Более тонкие настройки находятся в файле /etc/ppp/pptpd-options . Настройки по умолчанию вполне соответствуют нашим требованиям, однако кратко рассмотрим некоторые из них, чтобы вы имели представление о их назначении.

Секция #Encryption отвечает за шифрование данных и проверку подлинности. Данные опции запрещают использование устаревших и небезопасных протоколов PAP, CHAP и MS-CHAP:

Refuse-pap
refuse-chap
refuse-mschap

Require-mschap-v2
require-mppe-128

Следующая секция #Network and Routing , здесь следует обратить внимание на опцию ms-dns , которая позволяет использовать DNS сервер во внутренней сети. Это может быть полезно при доменной структуре сети или наличия в ней DNS сервера который содержит имена всех ПК сети, что дает возможность обращаться к компьютерам по их именам, а не только по IP. В нашем случае данная опция бесполезна и закомментирована. Подобным образом можно задать и адрес WINS сервера опцией ms-wins .

Здесь же находится опция proxyarp , включающая, как несложно догадаться из названия, поддержку сервером Proxy ARP.

В секции #Miscellaneous содержится опция lock , которая ограничивает клиента одним подключением.

Ivanov * 123 *
petrov * 456 10.0.1.201

Первая запись позволяет подключаться к серверу пользователю ivanov c паролем 123 и присваивает ему произвольный IP адрес, вторая создает пользователя petrov с паролем 456, которому при подключении будет присваиваться постоянный адрес 10.0.1.201.

Перезапускаем pptpd :

Sudo /etc/init.d/pptpd restart

Важное замечание! Если pptpd не хочет перезапускаться, зависая на старте, а в /var/log/syslog добавляя строку long config file line ignored обязательно добавьте в конец файла /etc/pptpd.conf перенос строки.

Наш сервер готов к работе.

Настройка клиентских ПК

В общем случае достаточно настроить VPN соединение с опциями по умолчанию. Однако мы советуем явно указать тип соединения и отключить лишние протоколы шифрования.

Далее, в зависимости от структуры сети, необходимо указать статические маршруты и основной шлюз. Эти вопросы подробно разбирались в предыдущих частях.

Устанавливаем VPN соединение и пробуем пропинговать какой либо ПК в локальной сети, мы без каких либо затруднений получили доступ к терминальному серверу:

Теперь еще одно важное дополнение. В большинстве случаев доступ к компьютерам локальной сети будет возможен только по IP адресам, т.е. путь \\10.0.0.2 будет работать, а \\SERVER - нет. Это может оказаться неудобным и непривычным для пользователей. Существует несколько способов решения данной проблемы.

Если локальная сеть имеет доменную структуру, достаточно указать DNS сервером для VPN подключения DNS сервер контроллера домена. Воспользуйтесь опцией ms-dns в /etc/ppp/pptpd-options сервера и данные настройки будут получены клиентом автоматически.

Если DNS сервер в локальной сети отсутствует, то можно создать и использовать WINS сервер, информацию о нем также можно автоматически передавать клиентам при помощи опции ms-wins . И наконец, если удаленных клиентов немного, использовать на клиентских ПК файлы hosts (C:\Windows\System32\drivers\etc\hosts), куда следует добавить строки вида.

В данной статье мы ознакомимся с тем, как можно организовать собственный VPN сервер на Windows 7 без использования стороннего софта

Напомню, что VPN (Virtual Private Network) этотехнология, используемая для доступа к защищенным сетям через общую сеть Internet. VPN позволяет обеспечить защиту информации и данных, передаваемой по общедоступной сети, путем их шифрования. Тем самым злоумышленник не сможет получить доступ к данным, передаваемым внутри VPN сессии, даже если он получить доступ к передаваемым по сети пакетам. Для расшифровки трафика ему необходимо иметь специальный ключ, либо пытаться расшифровать сессию при помощи грубого брутфорса. Кроме того, это дешевое решение для построения сети предприятия по каналам WAN, без необходимости аренды выделенного дорогостоящего канала связи.

Для чего может понадобиться организация VPN сервера на Windows 7? Наиболее распространенный вариант – необходимость организации удаленного доступа к компьютеру с Windows 7 дома или в малом офисе (SOHO) при нахождении, например, в командировке, в гостях, в общем, не на рабочем месте.

Стоит отметить, что VPN сервер на Windows 7 имеет ряд особенностей и ограничений:

Вы должны четко понимать и принять все потенциальные риски, связанные с VPN подключением
Одновременно возможно только одно подключение пользователя и организовать одновременный VPN доступ к компьютеру с Win 7 нескольким пользователям сразу, легально нельзя.
VPN доступ можно предоставить только локальным учетным записям пользователей, и интеграция с Active Directory невозможна
Для настройки VPN сервера на машине с Win 7 необходимо иметь права администратора
Если вы подключаетесь к интернет через роутер, вам необходимо иметь к нему доступ, и нужно уметь настраивать правила для организации проброса портов (port forward) для разрешения входящих VPN подключений (собственно процедура настройки может существенно отличаться в зависимости от модели роутера)

Данная пошаговая инструкции поможет вам организовать собственный VPN сервер на Windows 7, не используя сторонние продукты и дорогостоящие корпоративные решения.

Откройте панель Network Connections (Сетевые подключения), набрав «network connection» в поисковой строке стартового меню, выберете пункт “View network connections”.

Затем зажмите кнопку Alt , щелкните по меню File и выберете пункт New Incoming Connection (Новое входящее подключение), в результате чего запустится мастер создания подключений к компьютеру.

В появившемся окне мастера укажите пользователя, которому будет разрешено подключаться к этому компьютеру с Windows 7 посредством VPN.

Затем укажите тип подключения пользователя (через Интернет или через модем), в данном случае выберите “Thought the Internet”.

Затем укажите типы сетевых протоколов, которые будут использоваться для обслуживания входящего VPN подключения. Должен быть выбран как минимум TCP/IPv4.

Нажмите кнопку Properties и укажите IP адрес, который будет присвоен подключающемуся компьютеру (доступный диапазон можно задать вручную, либо указать что ip адрес выдаст DHCP сервер).

После того, как вы нажмете кнопку Allow access , Windows 7 автоматически настроит VPN сервер и появится окно с именем компьютера, которое нужно будет использоваться для подключения.

Вот и все VPN север настроен, и в окне сетевых подключений появится новое подключение с именем Incoming connections.

Есть еще несколько нюансов при организации домашнего VPN сервера на Windows 7.

Настройка межсетевых экранов

Между Вашим компьютером с Windows 7 и сетью Интернет могут находится файерволы, и для того, чтобы они пропускали входящее VPN соединение, Вам придется осуществить их донастройку. Настройка различных устройств весьма специфична и не может быть описана в рамках одной статьи, но главное уяснить правило – необходимо открыть порт VPN PPTP с номером 1723 и настроить форвард (переадресацию) подключений на машину с Windows 7, на которой поднят VPN сервер.

Нужно не забыть проверить параметры встроенного брандмауэра Windows. Откройте панель управления Advanced Settings в Windows Firewall, перейдите в раздел Inbound Rules (Входящие правила) и проверьте что правило “Routing and Remote Access (PPTP-In)” включено. Данное правило разрешает принимать входящие подключения по порту 1723

Проброс портов

Ниже я выложил скриншот, показывающий организацию проброса (форвардинг) порта на моем роутере от NetGear. На рисунке видно, что все внешние подключения на порт 1723 перенаправляются на машину Windows 7 (адрес которой статический).

Настройка VPN подключения

Чтобы подключиться к VPN серверу с Windows 7, на подключающейся машине-клиенте необходимо настроить VPN подключение

Для этого для нового VPN соединения задайте следующие параметры:

Щелкните правой кнопкой по VPN подключению и выберите Properties .
На вкладке Security в поле Type of VPN (тип VPN) выберите опцию Point to Point Tunneling Protocol (PPTP) и в разделе Data encryption выберите Maximum strength encryption (disconnect if server declines) .
Нажмите OK , чтобы сохранить настройки

Данная статья будет первая из цикла, про настройку VPN сервера и клиента Mikrotik. В данном случае рассмотрим вариант с PPTP.

Для примера возьмём задачу — Объединить два офиса через интернет по средствам VPN.

1. Начнём с настройки первого роутера.

1.1. Создаём диапазон IP адресов
Во вкладке IP — Pool нажимаем «+»:
Name: pptp_pool
Address: 192.168.4.2-192.168.4.15

1.2. Создадим профиль для тунеля.
Во вкладке PPP — Profiles нажимаем «+»:
Name: pptp_profile
Local Address: 192.168.4.1
Remote Address: pptp_pool - то что сделали в пункте 1.1.
Change TCP MSS: yes

1.3. Включаем сервер PPTP.
Во вкладке PPP нажимаем кнопку PPTP Server. Ставим галку Enable.
Default Profile: pptp_profile
Authentication: mschap2 и mschap 1 — менее уязвимые протоколы аутентификации, но не обязательно.

1.4. Создаём пользователя.
Оставаясь в PPP, переходим во вкладку Secrets. Нажимаем «+» и вносим данные:
Name: tun1
Password: tun1
Service: pptp
Profile: pptp_profile
Local address и Remote address: эти поля не трогаем, т.к. мы настроили их в профиле

1.5. Добавляем правило в фаервол
Открываем IP — Firewall, во вкладке Filter Rules нажимаем «+». Во вкладке General:
C hain: input
Protocol: tcp
Dst.Port: 1723 (порт для PPTP)
Во вкладке Action:
Action: accept
Dst. Address List - INBOUND (это список внешни IP), если он один заполняем поле Dst. Address на вкладке general ВАЖНО! Если не указать адрес назначения или интерфейс — вы не сможете внешние pptp установить с ПК за роутером. Он будет всё заворачивать на себя.

ВНИМАНИЕ!!! После создания правила его нужно поднять выше запрещающих.

1.6 Естественно, если нам надо, что бы впн клиент ходил в интернет, через pptp сервер, на нём надо настроить NAT
IP — Firewall — NAT
Либо добавляем новое правило, либо модифицируем старое
src. address — 192.168.4.0/24
вкладка action — masqurade

2. Переходим к настройки второго роутера он же PPTP клиент.

2.1 Переходим в раздел Interfaces , нажимаем + , выбираем PPTP client

Во вкладке general указываем имя интерфейса

Во вкладке Dial Out:
Connection To: Тут указываем реальный IP адрес настроенный на первом роутере.
User: tun1 — тот которого мы завели на первом роутере.
Password — думаю и так понятно 🙂

2.2 Настройка маршрута
Нам нужно определить что мы завернём в тунель. Для примера возьмём сайт 2ip.ru, который имеет IP адрес 178.63.151.224.
Откроем вкладку IP — Routes и нажмём «+»:
Dst. Address (адрес назначения): 178.63.151.224
Gateway: 192.168.4.1

Второй вариант, вместо IP шлюза можно выбрать соединение.

Виртуальные частные сети снискали заслуженную популярность. Это надежное и
безопасное средство, предназначенное для организации межсайтовой сетевой
инфраструктуры и подключений удаленного доступа. В последние годы среди
существующих VPN-протоколов особое место занимает PPTP. Решения на его базе
распространены, легко внедряются и обеспечивают уровень защиты, достаточный для
большинства компаний.

Почему именно PPTP?

Туннельный протокол PPTP позволяет зашифровать мультипротокольный трафик, а
затем инкапсулировать (упаковать) его в IP-заголовок, который будет отправлен по
локальной или глобальной сети. PPTP использует:

TCP-подключение для управления туннелем;
модифицированную версию GRE (общая инкапсуляция маршрутов) для
инкапсулирования PPP-фреймов туннелированных данных.

Полезная нагрузка передаваемых пакетов может быть зашифрована (с помощью
протокола шифрования данных MPPE), сжата (используя алгоритм MPPC) или
зашифрована и сжата.

PPTP легок в развертывании, не требует инфраструктуры сертификатов и
совместим с подавляющим большинством NAT-устройств. Все версии Microsoft Windows,
начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент. Также клиенты для
подключения по PPTP есть в Linux, xBSD и Mac OS X. Провайдеры знают об этих
преимуществах, и именно поэтому для организации подключения к интернету часто
используют PPTP, даже несмотря на то, что изначально у него защищенность ниже,
чем у L2TP, IPSec и SSTP (PPTP чувствителен к словарным атакам, кроме того,
VPN-подключение, основанное на протоколе PPTP, обеспечивает конфиденциальность,
но не целостность передаваемых данных, так как отсутствуют проверки, что данные
не были изменены при пересылке).

Стоит отметить: в больших сетях PPTP предпочтительнее PPPoE . Ведь при
использовании последнего поиск сервера производится путем рассылки
широковещательных пакетов, которые могут потеряться на свичах, да и сеть такие
пакеты "наводняют" весьма прилично.

Аутентификация и шифрование

В Vista и Win2k8 список опознавательных протоколов PPP заметно сокращен.
Исключены SPAP, EAP-MD5-CHAP и MS-CHAP, которые давно признаны небезопасными (в
них используются алгоритмы хеширования MD4 и шифрования DES). Список доступных
протоколов теперь выглядит так: PAP, CHAP, MSCHAP-v2 и EAP-TLS (требует наличия
пользовательских сертификатов или смарт-карт). Настоятельно рекомендуется
использовать MSCHAP-v2 , поскольку он надежнее и обеспечивает взаимную
аутентификацию клиента и сервера. Также посредством групповой политики предпиши
обязательное применение сильных паролей.

Для шифрования VPN-соединения при помощи MPPE используются 40, 56 и
128-битные RSA RC4 ключи. В первых версиях Windows из-за ограничений на экспорт
военных технологий был доступен только 40-битный ключ и с некоторыми оговорками
– 56-битный. Они уже давно признаны недостаточными, и, начиная с Vista,
поддерживается исключительно 128-битная длина ключа. Может возникнуть ситуация,
что у клиента поддержки такой возможности нет, поэтому для старых версий Windows
надо накатить все сервис-паки или обновления безопасности. Например, WinXP SP2
без проблем подключится к серверу Win2k8.

Чтобы самостоятельно просмотреть список поддерживаемых системой алгоритмов и
длин ключей, обратись к ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL.
В частности, настройки алгоритмов шифрования находятся в ветке Ciphers\RC4.
Принудительно активировать нужную опцию можно, создав параметр dword "Enabled" и
установив его значение в "ffffffff". Есть и другой способ, который Microsoft не
рекомендует, – активировать поддержку 40/56-битных RC4 ключей на сервере Win2k8.
Для этого необходимо установить в "1" параметр реестра HKLM\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto
и перезапустить систему.

Настройка сервера PPTP в Win2k8

Типичная конфигурация для работы VPN состоит из контроллера домена , серверов
RRAS (Routing and Remote Access) и NPS (Network Policy Server) . В процессе
настройки этих ролей дополнительно будут активированы сервисы DHCP и DNS.
Сервер, которому предстоит выполнять роль VPN, перед установкой роли RRAS должен
быть присоединен к домену. В отличие от L2TP и SSTP, сертификаты при работе PPTP
не нужны, поэтому сервер сертификатов (Certificate Services) не потребуется.
Сетевые устройства, которые будут участвовать в построении VPN (в том числе,
ADSL и подобные модемы), должны быть подсоединены и настроены соответствующим
образом (Пуск –> Панель управления –> Диспетчер устройств). Для некоторых схем
VPN (с использованием NAT и при соединении двух сетей) потребуется, как минимум,
два сетевых устройства.

Используя мастер установки ролей (Диспетчер сервера –> Роли –> Установить
роль), устанавливаем роль "Службы политики сети и доступа" (Network Access
Services) и переходим к выбору служб ролей, где отмечаем все компоненты "Службы
маршрутизации и удаленного доступа" (Routing and Remote Access Services).
Нажимаем "Далее" и в следующем окне подтверждаем настройки щелчком по "Установить".

Служба удаленного доступа и маршрутизации установлена, но еще не настроена и
не запущена. Для настройки параметров работы переходим в "Диспетчере сервера" во
вкладку "Роли –> Службы политики сети и доступа -> Службы маршрутизации и
удаленного доступа"; как вариант, можно использовать консоль "Маршрутизация и
удаленный доступ", вызываемую из вкладки "Администрирование" меню "Пуск".

Отмечаем наш сервер в списке (консоль может быть подключена к нескольким
системам) и в контекстном меню щелкаем "Настроить и включить маршрутизацию и
удаленный доступ" (Configure and Enable Routing and Remote Access). Если до
этого предпринимались попытки настроить службу, то для повторной установки
некоторых параметров придется ее остановить, выбрав пункт "Отключить
маршрутизацию и удаленный доступ". При этом все настройки будут сброшены.
Появившийся мастер установки предложит выбрать типичную конфигурацию сервера,
которая наиболее точно соответствует предполагаемым задачам. В меню выбора –
пять пунктов, четыре из них предоставляют готовые установки:

Удаленный доступ (VPN или модем) – позволяет пользователям подключаться
через удаленное (коммутируемое) или безопасное (VPN) подключение;
Преобразование сетевых адресов (NAT) – предназначено для подключения к
интернету нескольких клиентов через один IP-адрес;
Доступ к удаленной сети (VPN) и NAT – является миксом предыдущих
пунктов, предоставляет возможность выхода в интернет с одного IP-адреса и
удаленного подключения;
Безопасное соединение между двумя сетями – подключение одной сети к
другой, удаленной.

Следующий шаг для каждого из этих пунктов будет индивидуальным. Например, при
настройке SSTP (см. статью " ") мы выбирали третий
сценарий. Для PPTP подойдет любой из предложенных вариантов, хотя рекомендуемым
считается пункт "Удаленный доступ", установленный по умолчанию. Если есть
затруднения при выборе схемы, выбери пятый пункт "Особая конфигурация", либо по
окончании работы мастера продолжи настройку в ручном режиме. Кроме того, можно
обратиться к документации, нажав ссылку "Подробнее", расположенную внизу окна.

На следующем шаге отмечаем список служб, которые следует включить на сервере.
Таких пунктов пять, их названия говорят сами за себя:

Доступ к виртуальной частной сети (VPN);
Удаленный доступ (через телефонную сеть);
Подключение по требованию (для маршрутизации отделений организации);
Преобразование сетевых адресов (NAT);
Маршрутизация локальной сети.

Собственно, все предустановки, о которых говорилось выше, сводятся к
активации этих служб в разной комбинации. В большинстве случаев следует выбрать
"Удаленный доступ (VPN или модем)", а затем – "Доступ к виртуальной частной сети
(VPN)". Далее просто нужно указать на сетевой интерфейс, который подключен к
интернету (отметив его мышкой). Если мастер обнаружит только одно активное
соединение, то он закончит работу с предупреждением, что для данного режима
требуется еще одна сетевая карта, либо предложит перейти к настройкам в режиме "Особая конфигурация".

Флажок "Безопасность с использованием фильтра статических пакетов"
рекомендуется оставить взведенным. Такие фильтры пропускают VPN-трафик только с
указанного интерфейса, а исключения для разрешенных VPN-портов придется
настраивать вручную. При этом можно настраивать статические фильтры и брандмауэр
Windows на одном интерфейсе, но не рекомендуется, так как это снизит
производительность.

На шаге "Назначение IP-адресов" выбери способ получения IP-адреса клиентами
при подключении к VPN-серверу: "Автоматически" либо "Из заданного диапазона
адресов". Проверка подлинности учетной записи может быть произведена как
сервером RRAS, так и любым другим сервером, поддерживающим протокол RADIUS. По
умолчанию предлагается первый вариант, но в большой сети с несколькими серверами
RRAS лучше использовать RADIUS. На этом работа мастера заканчивается. Нажимаем
кнопку "Готово", и появившееся окно сообщает, что необходимо настроить "Агент
ретрансляции DHCP". Если RRAS и DHCP-сервер находятся в одном сегменте, и нет
проблем с обменом служебных пакетов, тогда Relay agent настраивать необязательно
(кстати, на внутреннем интерфейсе он активируется по умолчанию).

Настройки в консоли

В окне консоли теперь будет доступно дерево установок. Желательно пройтись по
всем пунктам, чтобы разобраться, что где находится. Так, в пункте "Интерфейсы
сети" будут показаны все настроенные ранее сетевые интерфейсы. Выбрав в меню
пункт "Создать новый интерфейс вызова по требованию", можно добавить подключение
к VPN или PPPoE-серверам. Для просмотра списка протоколов, используемых портов и
их состояния переходим в "Порты". Кнопка "Настроить" в окне "Свойства" позволяет
изменить параметры работы выбранного протокола. Например, по умолчанию
количество PPTP-, L2TP- и SSTP-подключений (портов) ограничено 128, а также
разрешены все подключения (удаленного доступа и по требованию). В качестве
(необязательного) идентификатора сервера используется телефон, введенный в поле
"Номер телефона для этого устройства".

В пункте "Клиенты удаленного доступа" отображается список подключенных
клиентов. Цифра рядом с названием пункта подскажет их количество. При помощи
контекстного меню можно проверить состояние клиента и при необходимости его
отключить. Два пункта IPv4 и IPv6 позволяют настроить IP-фильтры, статические
маршруты, агент DHCP ретрансляции и некоторые другие параметры.

Работа со вкусом

Нельзя не рассказать о еще одной возможности, которая заметно упростит жизнь
администраторам — пакет администрирования диспетчера подключений CMAK (Connection
Manager Administration Kit) . Мастер CMAK создает профиль, который позволит
пользователям входить в сеть только с теми свойствами подключения, которые
определит для них админ. Это не новинка Win2k8 – CMAK был доступен еще для Win2k
и поддерживает клиентов вплоть до Win95. Тем не менее, провайдеры до сих пор
снабжают пользователя мудреными инструкциями вместо того, чтобы предоставить ему
готовые файлы с настройками.

CMAK является компонентом Win2k8, но по умолчанию не инсталлируется. Сам
процесс установки при помощи "Диспетчера сервера" стандартен. Выбираем "Компоненты – Добавить компоненты" и в появившемся мастере отмечаем
"Пакет
администрирования диспетчера подключений". По окончании установки одноименный
ярлык появится в меню "Администрирование".

При вызове СМАК запустится мастер, который поможет создать профиль диспетчера
подключений. На первом шаге выбери ОС, для которой предназначен профиль.
Доступны два варианта: Vista и Windows 2000/2003/XP. Основное их отличие состоит
в том, что Vista поддерживает SSTP. Далее выбираем "Новый профиль". Есть
возможность использовать в качестве шаблона уже имеющийся профиль; последующие
шаги предлагают объединить нескольких профилей. Указываем название службы
(пользователи его увидят после установки пакета) и имя файла, куда будет
сохранен профиль. При создании профиля службы мастер CMAK копирует все входящие
в этот профиль файлы в Program Files\CMAK\Profiles. В некоторых сетях при
проверке подлинности используется имя области (Realm name), например, в Windows
это имя AD домена ([email protected]). Мастер позволяет задать такое имя области,
которое будет автоматически добавлено к логину. И, наконец, добавляем поддержку
VPN-подключений. Активируем флажок "Телефонная книга из этого профиля" и затем
выбираем "Всегда использовать один VPN-сервер" или "Разрешить пользователю
выбирать VPN-сервер перед соединением". Во втором случае требуется заранее
подготовить txt-файл со списком серверов (формат файла).
На этапе "Создать или изменить" выбираем "Изменить", чтобы появилось окно "Правка VPN". Здесь три вкладки (при активном IPv6 – четыре). В
"Общие" отмечаем "Отключить общий доступ к файлам и принтерам" (в большинстве случаев такая
функциональность не требуется). В IPv4 указываются адреса основного и
дополнительного DNS и WINS серверов. Установкой соответствующих флажков можно
указать на использование PPTP-подключения как шлюза по умолчанию и активировать
сжатие IP-заголовков. Настройки безопасности производятся в одноименной вкладке.
Здесь указываем, обязательно ли использовать шифрование, и отмечаем необходимые
методы аутентификации. Список "Стратегия VPN" позволяет указать, какой метод
будет использован при подключении к VPN-серверу. Возможно два варианта: только
один протокол или перебор протоколов до успешной активации соединения. В
контексте статьи нас интересует "Использовать только PPTP" или "Сначала PPTP".
Здесь все, закрываем окно и двигаемся дальше.

Страница "Добавить телефонную книгу" позволяет задать номера, используемые
для подключения к dial-up серверу. При необходимости можно также настроить
автоматическое обновление списка номеров. Страница "Настроить записи удаленного
доступа к сети", а также окно, появляющееся при нажатии "Изменить", сходны по
содержанию с "Создать или изменить". Следующий шаг позволяет модифицировать
таблицы маршрутизации на подключившихся клиентах: в большинстве случаев лучше
оставить "Не изменять таблицы маршрутизации". Если нужно, указываем параметры
прокси для IE. Кроме стандартных установок, мастер позволяет установить
действия, которые могут быть выполнены на разных этапах подключения клиента
(например, запустить программу). Далее задаем значки для разных ситуаций (окна
подключения, телефонной книги и так далее), выбираем файл справки, сведения о
поддержке. При необходимости включаем в профиль диспетчер подключений. Это может
быть полезно для клиентских систем, на которых установлена ОС, не содержащая
диспетчер. Сюда же можно добавить текстовый файл с лицензионным соглашением и
дополнительные файлы, которые будут поставляться с профилем. На этом работа
мастера окончена – в резюме будет показан путь к установочному файлу. Копируем
его в общедоступную папку, чтобы пользователи могли свободно скачать.

Теперь юзерам достаточно запустить исполняемый файл и ответить на
один-единственный вопрос: сделать это подключение доступным для "Всех
пользователей" или "Только мне". После чего значок нового соединения будет
добавлен в "Сетевых подключениях", и появится окно регистрации, в котором
необходимо ввести свой логин и пароль. Очень удобно!

Управление RRAS при помощи Netsh

Некоторыми настройками RRAS-сервера можно управлять при помощи утилиты Netsh
(network shell). Добавить тип проверки подлинности учетной записи можно при
помощи команды:

> Netsh ras add authtype PAP|MD5CHAP|MSCHAPv2|EAP

Для ранних версий Windows еще и MSCHAP|SPAP. Режим проверки:

> Netsh ras set authmode STANDARD|NODCC|BYPASS

Зарегистрировать компьютер как RRAS-сервер в AD:

> Netsh ras add registeredserver

Добавить расширение PPP:

> Netsh ras add link SWC|LCP

Расширение SWC обеспечивает программное сжатие, а LCP активирует одноименное
расширение протокола PPP. Типы многоканальной связи поддерживаемых PPP:

> Netsh ras add multilink MULTI|BACP

Свойства учетной записи задаются следующим образом:

> Netsh ras set user

При помощи "set client" можно просмотреть статистику или отключить клиента.
Сохранить и восстановить конфигурацию RRAS при помощи Netsh также просто: