Не работает PPTP VPN? Реализация PPTP в разных ОС. Общие принципы работы и подключения

, и как его можно использовать? На сегодняшний день немногие современные пользователи знает что это.

Более того, некоторые пользователи, используя его, подчас даже не подозревают, что являются активными его пользователями.

А узнают о его существовании просто случайно, не задаваясь даже целью понять что это, и чем оно так полезно.

Введение в теорию PPTP

Название подключения или соединения PPTP происходит от имени протокола, на основе какового и построено такое подключение.

Полная расшифровка его англоязычной аббревиатуры звучит как point to point tunneling protocol. Что, по сути, означает туннельный протокол от точки к точке.

Точками в этом случае обозначены пара абонентов, которые связываются путем передачи данных зашифрованных в пакеты и передающихся посредством незащищенных сетей, построенных по принципам TCP/IP.

Для кого-то такое определение покажется чересчур сложным, но это всего лишь вершина айсберга.

Если рассматривать соединение PPTP более подробно, окажется, что оно позволяет преобразовывать кадры PPP в IP-пакеты привычного типа.

А именно они передаются по каналу связи, например, по интернету или другой проводной, а также беспроводной сети.

Важно, что PPTP сложно назвать идеальным, и в ряде случаев, этот способ проигрывает в сравнении с другими моделями типа IPSec, поскольку имеет меньший уровень безопасности.

Впрочем, это не мешает его использовать повсюду и достаточно широко. От такого не стоит отказываться, и сейчас рассмотрим почему.

рис. 1 – Схематическое изображение PPTP соединения

Что дает соединение PPTP

Несмотря на некоторые огрехи в безопасности, соединение PPTP позволяет обеспечить базовую защиту данных и поэтому такой протокол имеет широкую сферу применения.

В частности, его можно с успехом использовать для осуществления дальних звонков с ощутимой экономией.

Происходит это потому как этот протокол не требует прямого соединения между двумя абонентами. Оно производится по защищенной линии в интернете, которая и называется туннелем.

Что касается туннеля, то он используется исключительно в роли посредника.

В то же время PPTP с успехом применяется при формировании клиент-серверных соединений. В этом случае соединение происходит несколько иначе.

Абонент, т. е. пользователь подключает свой терминал – рабочее устройство к серверу посредством того же защищенного канала.

Базовые правила подключения PPTP

Но прежде чем начать работу с подключением PPTP, его следует настроить и соблюсти несколько важных условий.

К особенностям настройки используемого туннелирования стоит отнести следующее:

• порт TCP № 1723;
• порт IP GRE №

При этом чтобы данные настройки работали соответствующим образом параметры встроенного брандмауэра (или сетевого экрана) не должны ограничивать поток IP-пакетов.

Их отправка и прием должна быть свободной.

Впрочем, даже если эти правила будут соблюдены при настройке подключения локально, не факт, что PPTP будет работать корректно.

Важно: Для правильной работы протокола провайдер должен обеспечить полную свободу пересылки туннелированных данных.

Детализация процесса подключения

Упомянутые выше точки соединяются посредством PPP-сессии, которая формируется на платформе протокола GRE.

Его аббревиатура расшифровывается как Generic Routing Encapsulation.

За его менеджмент и инициализацию несет ответственность второе подключение порта TCP.

Информация в форме пакета IPX который передается от точки к точке называется полезной нагрузкой, а дополняется он управляющей информацией.

Когда этот пакет попадает на другой конец линии специальное приложение извлекает содержащиеся в нем данные, после чего они отправляются на постобработку.

Постобработку производятся встроенными средствами системы соответственно указанному протоколу.

Стоит отметить, что взлом данных возможен только в процессе получения. В остальном безопасность обеспечивается за счет туннеля - защитного коридорах.

Поэтому важно использовать хорошо продуманную комбинацию логина и пароля, которые и отвечают за безопасность в процессе отправки/получения данных, а не в процессе пересылки.

рис. 4 – Уязвимые места PPTP

Обеспечение защиты соединения

Как отмечалось выше, данные передаются в форме шифрованного пакета.

Для его шифрования используются специальные средства, полный список которых можно просмотреть в настройках подключений.

Мы же выделим те которые характеризуются высокой степенью защищенности, в частности это:

• MSCHAP-v1;
• MSCHAP-v2;
• EAP-TLS;
• MPPE.

Чтобы обеспечить повышенный уровень защиты можно дополнительно использовать дозвоны - звонки ответа, реализованные программным путем.

Они позволяют удостовериться в том, был ли пакет данных передан полностью, и был ли поврежден в процессе пересылки.

А пока рассмотрим, чем выделяются представленные выше варианты.

Стоит отметить, что MSCHAP-v1 не отличается своей надежностью.

Для извлечения парольных хешей из него можно использовать специальные утилиты перехваченного обмена.

MSCHAP-v2 в этом смысле отличается от предшественника, но является уязвимым к словарным атакам на перехваченные пакеты данных, для чего также используются специальные программы, скорость обработки данных в которых может составить всего сутки на расшифровку.

Криптоаналитики могут расшифровать данные и из MPPE, который базируется на использовании потока RC4.

К примеру, расшифровать его можно используя метод подмены битов.

Впрочем, при желании такую уязвимость можно обнаружить, используя соответствующие методы, которые считают контрольные суммы.

Таким образом, становится понятно, что установленную на PPTP защиту можно обойти. И именно поэтому приходится использовать дополнительные средства безопасности.

рис. 5 – Упрощенная схема защищенного PPTP канала

Вам это может быть интересно:

Пример настройки параметров PPTP в OS MS WINDOWS 7

Чтобы понять все тонкости PPTP-соединения стоит попытаться самостоятельно провести настройки такого подключения.

Мы рассмотрим, как этот процесс происходит в системе , в частности, в популярной седьмой ее версии. Сделать это несложно следуя нашим рекомендациям.

Изначально потребуется запустить Панель управления . Произвести это проще всего из меню Пуск .

В ней понадобится выбрать категорию Центр управления сетями .

Попасть туда можно и минуя описанную цепочку. В таком случае следует выбрать из контекстного меню, вызванного сетевому подключению, тот же пункт.

Найти его можно в области уведомлений, расположенной справа в нижней части экрана.

После запуска Центра управления можно будет вносить изменения в свойства сетевого адаптера.

С этой целью понадобится в левой области окна выбрать команду Изменение параметров сетевого адаптера .

Затем можно вызывать пункт Свойства из контекстного меню для имеющегося локального подключения.

При этом большая часть провайдеров позволяет устанавливать адреса на рабочих станциях для DNS и IP серверов в автоматическом режиме.

По завершении внесения изменений в настройки понадобится активизировать подключение.

С этой целью в основном окне Центра управления нужно выделить настроенное ранее подключение и вызвать для него меню правой кнопкой мыши.

В нем следует выбрать пункт Включить .

Что такое Виртуальная частная сеть (VPN)? Что такое PPTP, L2TP, IPSec, SSL?

Что такое Виртуальная частная сеть (VPN)?

Раньше для осуществления безопасной передачи данных возникала необходимость в выделенной линии, связывающей два пункта. Расходы на организацию таких линий довольно велики.
Виртуальная частная сеть дает пользователям безопасный способ доступа к ресурсам корпоративной сети через Интернет или другие общественные или частные сети без необходимости выделения линии.

Безопасная частная виртуальная сеть представляет собой совокупность технологий/служб туннелирования, аутентификации, управления доступом и контроля, используемых для защиты данных и передачи трафика через Интернет.

Существует много причин для использования виртуальных частных сетей. Наиболее типичны следующие из них:

Безопасность (защита данных).
С помощью аутентификации получатель сообщения, являющийся пользователем виртуальной частной сети, может отслеживать источник полученных пакетов и обеспечить целостность данных.
С средств защиты данных в виртуальных частных сетях гарантируется конфиденциальность исходных пользовательских данных.

Стоимость (снижение количества линий доступа и уменьшение расходов на междугороднюю телефонную связь).
Организация виртуальной частной сети позволяет компании передавать данные через линии доступа к Интернету, таким образом уменьшая необходимость в некоторых из существующих линий.
При организации виртуальной частной сети снижаются расходы на междугороднюю телефонную связь, поскольку пользователь обычно получает услуги от местного Интернет-провайдера, а не совершает междугородний звонок для установления прямой связи с компанией.

Известно, что сети, использующие протокол IP, имеют "слабое место", обусловленное самой структурой протокола IP. Разработчики IP не намеревались обеспечивать каких-либо функций безопасности на уровне IP, а гибкость IP позволяет хитроумно использовать особенности данного протокола в целях преодоления контроля за трафиком, управления доступом и других мер безопасности. Поэтому данные в сети, использующей протокол IP, могут быть легко подделаны или перехвачены.
При туннелировании для передачи по сети протокольных пакетов сети одного типа они вставляются или инкапсулируются в протокольные пакеты другой сети. Это обеспечивает безопасность при передаче данных.

Протоколы для построения VPN-туннеля:

PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Протокол PPTP позволяет инкапсулировать (упаковывать или скрыть от использования) пакеты PPP в пакеты протокола Internet Protocol (IP) и передавать их по сетям IP (в том числе и Интернет).

PPTP обеспечивает безопасную передачу данных от удаленного клиента к отдельному серверу предприятия путем создания в сети TCP/IP частной виртуальной сети. PPTP может также использоваться для организации туннеля между двумя локальными сетями. PPTP работает, устанавливая обычную PPP-сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation (GRE). Второе соединение на TCP порту 1723 используется для инициации и управления GRE-соединением. Для защиты данных PPTP-трафика может быть использован протокол MPPE. Для аутентификация клиентов могут использоваться различные механизмы, наиболее безопасные из них - MSCHAPv2 и EAP-TLS.

Для обеспечения работы клиента по протоколу PPTP, необходимо установить IP-соединение с туннельным сервером PPTP. Все передаваемые по этому соединению данные могут быть защищены и сжаты. По туннелю PPTP могут передаваться данные различных протоколоыв сетевого уровня (TCP/IP, NetBEUI и IPX).

Преимущества протокола PPTP:

• Использование частного IP-адреса. Пространство IP-адресов частной сети не должно координироваться с пространством глобальных (внешних) адресов.
• Поддержка множества протоколов. Можно осуществлять доступ к частным сетям, использующим различные комбинации TCP/IP или IPX.
• Безопасность передачи данных. Для предотвращения несанкционированного подключения используются протоколы и политики обеспечения безопасности сервера удаленного доступа.
• Возможность использования аутентификации и защиты данных при передачи пакетов через Интернет.

L2TP (Layer 2 Tunneling Protocol) - протокол туннелирования уровня 2 (канального уровня). Объединяет протокол L2F (Layer 2 Forwarding), разработанный компанией Cisco, и протокол PPTP корпорации Microsoft. Позволяет организовывать VPN с заданными приоритетами доступа, однако не содержит в себе средств для защиты данных и механизмов аутентификации.

Протокол L2TP использует сообщения двух типов: управляющие и информационные сообщения. Управляющие сообщения используются для установления, поддержания и ликвидации туннелей и вызовов. Для обеспечения доставки ими используется надежный управляющий канал протокола L2TP. Информационные сообщения используются для инкапсулирования кадров PPP, передаваемых по туннелю. При потере пакета он не передается повторно.

Структура протокола описывает передачу кадров PPP и управляющих сообщений по управляющему каналу и каналу данных протокола L2TP. Кадры PPP передаются по ненадежному каналу данных, предварительно дополняясь заголовком L2TP, а затем - по транспорту для передачи пакетов, такому как Frame Relay, ATM и т.п. Управляющие сообщения передаются по надежному управляющему каналу L2TP с последующей передачей по тому же транспорту для пересылки пакетов.

Все управляющие сообщения должны содержать порядковые номера, используемые для обеспечения надежной доставки по управляющему каналу. Информационные сообщения могут использовать порядковые номера для упорядочивания пакетов и выявления утерянных пакетов.

Преимущества протокола L2TP:

Разнообразие протоколов. Так как используется кадрирование PPP, удаленные пользователи могут использовать для доступа к корпоративому узлу большое количество различных протоколов, таких как IP, IPX и т.д.

Создание туннелей в различных сетях. L2TP может работать как в сетях IP, так и в сетях ATM, Frame Relay и др.

Безопасность передачи данных. При этом, пользователь не должен иметь никакого специального программного обеспечения.

Возможность аутентификации пользователей.

IPSec (IP Security) - набор протоколов, касающихся вопросов обеспечения защиты данных при транспортировке IP-пакетов. IPSec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Протоколы IPSec работают на сетевом уровне (уровень 3 модели OSI).

Internet-протокол (IP) не имеет средств защиты передаваемых данных. Он даже не может гарантировать, что отправитель является именно тем, за кого он себя выдает. IPSec представляет собой попытку исправить ситуацию. При использовании IPSec весь передаваемый трафик может быть защищен перед передачей по сети. При использовании IPSec получатель сообщения может отслеживать источник полученных пакетов и удостовериться в целостности данных. Необходимо быть уверенным в том, что транзакция может осуществляться только один раз (за исключением случая, когда пользователь уполномочен повторять ее). Это означает, что не должно существовать возможности записи транзакции и последующего ее повторения в записи с целью создания у пользователя впечатления об осуществлении нескольких транзакций. Представьте себе, что мошенник получил информацию о трафике и знает, что передача такого трафика может дать ему какие-то преимущества (например, в результате на его счет будут переведены деньги). Необходимо обеспечить невозможность повторной передачи такого трафика.

С помощью виртуальной частной сети (VPN) можно решать следующие прикладные задачи:

• Виртуальная частная сеть между организациями
• Мобильный пользователь
• Пользователь SOHO

IPSec VPN оптимален для объединения сетей разных офисов через Интернет.

Можно устанавливать VPN-соединение с использованием протокола IPSec.

Для пользователей SMB/SOHO (Малый бизнес/Малый офис/Домашний офис):

• Экономическая эффективность
• Законченное решение для коммерческого использования

Для дистанционных пользователей:

• Интегрированное безопасное решение
• Простота конфигурирования

Для коллективных пользователей:

• Экономически эффективное решение для дистанционных пользователей и филиалов
• Совместимость с решениями большинства поставщиков решений для виртуальных частных сетей.

Существует две разновидности протокола IPSec: ESP (Encapsulation Security Payload, инкапсуляция защищенных данных) и AH (Authentication Header, Аутентифицирующий заголовок). ESP и AH - новые протоколы IP. О том, что пакет является пакетом ESP, говорит значение в поле протокола заголовка IP, равное 50, а для пакета AH - равное 51.

В пакетах ESP и AH между заголовком IP (IP header) и данными протокола верхнего уровня вставляется заголовок ESP/AH (ESP/AH header).
ESP может обеспечивать как защиту данных, так и аутентификацию, а также возможен вариант протокола ESP без использования защиты данных или без аутентификации. Однако, невозможно использовать протокол ESP одновременно без защиты данных и без аутентификации, поскольку в данном случае безопасность не обеспечивается. При осуществлении защиты передаваемых данных заголовок ESP не защищен, но защищены данные протокола верхнего уровня и часть трейлера ESP.
А в случае аутентификации производится аутентификация заголовка ESP, данных протокола верхнего уровня и части трейлера ESP.
Хотя протокол AH может обеспечивать только аутентификацию, она выполняется не только для заголовка AH и данных протокола верхнего уровня, но также и для заголовка IP.

Протоколы семейства IPSec могут использоваться для защиты либо всех полезных данных IP-пакета, либо данных протоколов верхнего уровня в поле полезных данных IP-пакета. Это различие определяется выбором двух различных режимов протокола IPSec: транспортного режима или туннельного режима .
Транспортный режим в основном используется хостом IP для защиты генерируемых им самим данных, а туннельный режим используется шлюзом безопасности для предоставления услуги IPSec другим машинам, не имеющим функций IPSec. Однако функции хоста IPSec и шлюза безопасности могут выполняться одной и той же машиной. Оба протокола IPSec, AH и ESP, могут выполняться в транспортном или туннельном режиме.

SSL VPN

SSL (Secure Socket Layer) протокол защищенных сокетов, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создается защищенное соединение между клиентом и сервером.

SSL использует защиту данных с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.

SSL использует RC4, MD5, RSA и другие алгоритмы защиты данных.
SSL использует два ключа для защиты данных - открытый ключ и закрытый или частный ключ известный только получателю сообщения.

На сегодняшний день, в сети Интернет можно встретить множество сайтов на которых используется протокол SSL для обеспечения безопасности пользовательских данных (например, веб-сайты предоставляющие коммерческие и банковские сервисы). Практически все самые популярные браузеры, почтовые клиенты и интернет-приложения поддерживают работу с протоколом SSL. Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса http, как правило, применяется префикс https (порт 443), указывающий на то, что будет использоваться SSL-соединение.
SSL также может обеспечить защиту протоколов прикладного уровня (уровень 7 модели OSI), например, таких как POP3 или FTP. Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.
Безопасное соединение между клиентом и сервером при использовании SSL выполняет две функции - аутентификацию и защиту данных.

SSL состоит из двух уровней. На нижних уровнях (уровни 4-5) многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов. Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять защиту передаваемых данных и производить обмен ключами, прежде чем протокол прикладной программы начнет передавать и получать данные.

Преимущества протокола SSL:

• Простота использования
• Нет необходимости в дополнительном программном обеспечении
• Безопасный удаленный доступ

SSL VPN оптимален для подключения удаленных пользователей к ресурсам локальной сети офиса через Интернет.

За дополнительной информацией по работе протоколов PPTP, L2TP, IPSec и SSL обращайтесь на официальный сайт организации IETF (Internet Engineering Task Force), занимающейся развитием протоколов и архитектуры Интернета - http://www.ietf.org

PPTP (Point-to-Point Tunneling Protocol) – это туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети.

Описание

Протокол PPTP поддерживает шифрование и инкапсуляцию многопротокольного трафика с использованием IP-заголовка для отправки по IP-сети или общедоступной IP-сети, например по Интернету. Протокол PPTP может использоваться для подключений удаленного доступа и VPN-подключений типа «сеть-сеть». При использовании Интернета в качестве общедоступной сети для VPN-подключений PPTP-сервер представляет собой VPN-сервер с поддержкой PPTP, один интерфейс которого находится в Интернете, а второй - в интрасети.

Протокол PPTP инкапсулирует PPP-кадры в IP-датаграммы для передачи по сети. Протокол PPTP использует TCP-соединение для управления туннелем и измененную версию протокола GRE с целью инкапсуляции PPP-кадров для туннелированных данных. Полезные данные инкапсулированных PPP-кадров могут быть шифрованными, сжатыми или и теми, и другими одновременно.

Кадр PPP (IP-, IPX- или Appletalk-датаграмма) заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. В заголовке IP-адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.

Заголовок GRE состоит из 2 частей по 2 байта: 1-2 байты - флаги:

1. ChecksumPresent – бит 0, если равен 1, то в заголовке GRE присутствует необязательное поле контрольной суммы – Checksumfield;
2. Key Present – бит 2, если равен 1, то в заголовке GRE присутствует необязательное поле, содержащее ключ – Key field;
3. Sequence Number Present – бит 3, если равен 1, то в заголовке GRE присутствует необязательное поле порядкового номера – SequenceNumberfield;
4. Version Number – биты 13–15. Данное поле обозначает версию реализации GRE. Значение 0 обычно используется для GRE. Point-To-Point протокол (PP2P) использует версию 1.

3-4 байты, в свою очередь, содержат тип протокола (ethertype) инкапсулированного пакета.

PPTP является наиболее часто используемым протоколом для построения VPN многие годы. Он опирается на различные методы аутентификации для обеспечения безопасности (как правило, MS-CHAP v.2). Является стандартным протокол почти во всех операционных системах и устройствах, поддерживающих VPN. Его главное преимущество заключается в том, что он использует меньше вычислительных ресурсов, следовательно обладает высокой скоростью работы.

Обычно используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году были найдены ряд уязвимостей. Наиболее серьезной из которых явилась уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. Microsoft сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.

Реализация

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft.

PPTP удалось добиться популярности благодаря тому что это первый VPN протокол, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14.

Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт mpd (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.

Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Настройка (отдельные шаги)

Настройка VPN-сервера

VPN-серверы можно настроить с помощью мастера настройки сервера маршрутизации и удаленного доступа. Этот мастер позволяет настроить следующие параметры:

1. базовый брандмауэр на общем интерфейсе;
2. метод адресации клиентов удаленного доступа VPN-сервером (либо с помощью адресов, получаемых VPN-сервером от DHCP-сервера, либо с помощью адресов из указанного диапазона адресов, настроенного вручную на VPN-сервере);
3. пересылку сообщений авторизации и проверки подлинности на сервер службы RADIUS (Remote Authentication Dial-In User Service - служба проверки подлинности удаленных пользователей), т. е. настройку VPN-сервера как клиента RADIUS.

После выполнения этого мастера автоматически настраиваются следующие параметры маршрутизации и удаленного доступа:

1. сетевые интерфейсы;
2. порты PPTP и L2TP (пять или 128 для каждого протокола, в зависимости от параметров, выбранных в мастере);
3. поддержка многоадресной рассылки на основе протокола IGMP (Internet Group Management Protocol, протокол управления группами Интернета);
4. IP-маршрутизация;
5. установка агента ретранслятора DHCP.

Настройка политики удаленного доступа

Для управления с помощью политики удаленного доступа проверкой подлинности и шифрованием при виртуальных частных подключениях создайте политику удаленного доступа и настройте ее свойства следующим образом:

1. В поле Имя политики введите имя политики, например VPN-доступ.
2. Для атрибута NAS-Port-Type выберите тип Virtual (VPN), а для атрибутаTunnel-Type - тип Point-to-Point Tunneling Protocol.
3. В параметрах профиля выберите необходимые параметры проверки подлинности и шифрования.

Затем либо удалите политики удаленного доступа, используемые по умолчанию, либо разместите их после новой политики. Эта политика удаленного доступа позволяет всем пользователям, имеющим разрешение на удаленный доступ, создавать виртуальные частные подключения.

Чтобы различать пользователей подключений удаленного доступа к сети и пользователей виртуальных частных сетей удаленного доступа, выполните следующие действия. Создайте группу Active Directory, члены которой могут создавать виртуальные частные подключения к VPN-серверу, например, группу «Пользователи_VPN». Добавьте в эту новую группу Active Directory соответствующие учетные записи пользователей.

Создайте новую политику удаленного доступа и настройте ее свойства следующим образом.

1. Введите в поле Имя политики имя новой политики, например Разрешить VPN-доступ членам группы Пользователи_VPN.
2. Для атрибута Windows-Groups выберите группу, например Пользователи_VPN, для NAS-Port-Type выберите тип Virtual (VPN), а для Tunnel-Type - тип Point-to-Point Tunneling Protocol.
3. Установите переключатель в положение Предоставить право удаленного доступа.
4. Разместите политики удаленного доступа, используемые по умолчанию, после новой политики.

Установленные по умолчанию параметры шифрования позволяют использовать все уровни шифрования, в том числе и отсутствие шифрования. Чтобы потребовать использования шифрования, снимите флажок Без шифрования и выберите нужные уровни на вкладке Шифрование в окне параметров профиля политики удаленного доступа.

PPTP (Point-to-Point Tunneling Protocol) - туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями.

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec - протокол защиты сетевого трафика на IP-уровне .

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола GRE туннели по 47 порту. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран , так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них - MS-CHAPv2 и EAP-TLS. Протокол PPTP нельзя считать приемлемым, с точки зрения информационной безопасности, как минимум, без принятия дополнительных мер по обеспечению информационной безопасности каналов связи, либо без применения дополнительных средств защиты информации (например - дополнительного шифрования). Т.о. PPTP не следует применять в общедоступных сетях (Интернет, частные(домашние) сети) для обеспечения конфиденциальности и-или сохранности коммерческой тайны (и особенно - для сохранности государственной тайны).

PPTP - Поддержка встроена в Windows.

Пожалуйста, обратите внимание, что PPTP VPN сервис использует для своей работы порт TCP 1721/TCP и протокол IP GRE (номер 47). Такие пакеты должны проходить через Ваш Firewall/NAT (и соответственно, Firewall/NAT Вашего провайдера), а если по дороге до нашего сервера есть NAT, то он должен корректно обрабатывать VPN соединение в целом (как правило, это осуществляется с помощью модуля PPTP NAT helper).

Реализация PPTP

Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft. PPTP удалось добиться популярности благодаря тому что это первый протокол тоннелирования, поддерживаемый корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

До недавнего времени в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13. Официально поддержка PPTP была начата с версии ядра Linux 2.6.14. Тем не менее, сам факт применения MPPE в PPTP фактически не обеспечивает безопасность протокола PPTP. Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт MPD 5 настройка (/usr/ports/net/mpd), используя подсистему netgraph. В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента. Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS . КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Многие пользователи наверняка слышали о таком термине, как «соединение PPTP». Некоторые даже отдаленно не представляют себе, что это такое. Однако если простым языком описывать принципы установки соединения на основе данного протокола, то понять их совсем нетрудно.

Что такое соединение PPTP?

Подключение данного типа строится на основе одноименного протокола, название которого происходит от английского point-to-pointtunnelingprotocol. Дословно это можно перевести как «туннельный протокол типа «точка-точка». Иначе говоря, это соединение между двумя абонентом посредством передачи в зашифрованном виде пакетов данных через незащищенные сети на основе TCP/IP.Тип соединения PPTP дает возможность осуществлять преобразование так называемых кадров PPP в стандартные пакеты IP, которые передаются посредством того же интернета. Считается, что сам протокол PPTP по уровню безопасности уступает другим вариантам типа IPSec. Однако, несмотря на это он имеет довольно широкое распространение. По сути, пользователь имеет дело с одной из разновидностей подключений VPN (беспроводное подключение).

Для чего нужно использовать соединение PPTP?

Сфера использования протокола PPTP довольно обширна. Прежде всего, стоит отметить, что такой вид соединения между двумя пользователями позволяет защитить информацию, а также значительно сэкономить на дальних звонках. Протокол PPTP довольно часто бывает незаменим при обеспечении связи между двумя локальными сетями посредством передачи в интернете по туннелю или защищенной линии без использования прямого соединения между ними. Это значит, что непосредственного контакта две локальные сети не имеют и в качестве посредника они используют туннель. С другой стороны туннелирование на основе протокола PPTP может использоваться при создании соединения типа клиент-сервер. При таком соединении пользовательский терминал подключается к серверу по защищенному каналу.

Реализация PPTP в различных операционных системах

Отвлечемся немного и взглянем на соединение PPTP с другой стороны. Мало кто понимал, что это такое с момента разработки данного протокола корпорацией Microsoft.В полноценном варианте впервые данный протокол был реализован компанией Cisco, но и специалисты компании Microsoft не отставали. Начиная с версии операционной системы Windows 95 OSR2, возможности создания подключения на основе протокола PPTP появились в более поздних программных продуктах, при этом они имели даже средства настройки сервера PPTP.В качестве примера далее будет рассмотрено соединение PPTP в операционной системе Windows 7.Стоит отметить, что на сегодняшний день данная операционная система считается наиболее популярной. В Linux-системах до недавнего времени полная поддержка протокола PPTP не была предусмотрена. Она появилась только в модификации 2.6.13.Официально поддержка данного протокола была заявлена в версии ядра 2.6.14. Операционные системы MacOSX и Free BSD поставляются со встроенными клиентами PPTP. КПК Palm, которые имеют поддержку беспроводного соединения Wi-Fi, оборудованы специальным клиентом Mergic.

Условия корректного соединения

Процесс использования туннелирования является довольно специфичным. Настройка соединения PPTP предполагает использование порта TCP 1723, а также в обязательном порядке протокола IPGRE с номером 47. Следовательно, настройка межсетевого экрана, если такой есть, и встроенного брэндмауэра операционной системы Windows должна быть такой, чтобы пакеты IP могли свободно проходить без ограничений. Это касается не только машин пользователей, но и локальных сетей. Такая свободная передача туннелированных данных в равной степени должна обеспечиваться на уровне провайдера. При использовании NAT на промежуточной стадии передачи данных должна быть настроена соответствующим образом обработка VPN.

PPTP: общие принципы подключения и работы

Мы рассмотрели соединение PPTP достаточно кратко. Многим, наверное, уже хоть немного понятно, что это такое. Чтобы внести полную ясность в этот вопрос, рассмотрим основные принципы функционирования протокола и связи на его основе. Также подробно рассмотрим процесс установки соединения PPTPGRE.Соединение между двумя точками устанавливается на основе обычной сессии PPP на базе протокола GRE (инкапсуляция). Второе подключение осуществляется непосредственно на порте TCP, который отвечает за инициацию и управление GRE.Сам по себе передаваемый пакет IPX состоит непосредственно из данных, которые иногда называют полезной нагрузкой, и дополнительной управляющей информации. Что же происходит на другом конце линии при получении пакета? Соответствующая программа для соединения PPTP как бы извлекает информацию, содержащуюся в пакете IPX,и отправляет ее на обработку с помощью средств, которые соответствуют собственному протоколу системы. Помимо этого, одним из важных компонентов туннельной передачи и приема основной информации является обязательное условие использования доступа с помощью комбинации «логин-пароль». Если взломать пароли и логины на стадии получения еще можно, то в процессе передачи информации по защищенному коридору или туннелю это сделать невозможно.

Средства защиты соединения

Как уже было сказано ранее, туннелирование на основе протокола PPTP не является защищенным абсолютно во всех аспектах. Если учитывать, что при шифровании данных используются такие средства, как MSCHAP-v2, EAP-TLS или даже MPEE,то можно говорить о довольно высокой степени защиты. В некоторых случаях для увеличения уровня безопасности могут быть использованы ответные звонки, при которых принимающая или передающая сторона осуществляет подключение и передачу информации программным способом.

Как настроить PPTP собственными средствами операционной системы Windows 7: параметры сетевого адаптера

В любой операционной системе семейства Windows настроить соединение PPTP достаточно просто. Как уже было сказано ранее, в качестве примера мы рассмотрим Windows 7.Прежде всего, необходимо зайти в «Центр управления сетями и общим доступом». Это можно сделать при помощи «Панели управления», или при помощи меню, вызываемого путем правого клика мыши на значке сетевого или интернет-подключения. Слева в меню находится строка для изменения параметров сетевого адаптера. Необходимо задействовать ее, а после этого путем правого клика мыши на подключении по локальной сети вызвать контекстное меню и выбрать строку свойств. В открывшемся окне необходимо использовать свойства протокола TCP/IPv4.В окне настроек необходимо прописать параметры, которые предоставлены провайдером при подключении. Как правило, устанавливается автоматическое получение адресов для DNS и IP-серверов. Необходимо сохранить выполненные изменения и вернуться к подключению по локальной сети, где необходимо проверить, активно ли оно в данный момент времени. Для этого необходимо использовать правый клик мыши. Если в верхней строке будет указано «Отключить», то значит соединение активно. В противном случае необходимо включить его.

Создание и настройка VPN

Следующим этапом является создание VPN-подключения. Для этого необходимо в разделе «Центр управления» в правой части окна использовать строку создания нового подключения. После этого необходимо выбрать подключение к рабочему месту, а после этого – использование существующего подключения к интернету.Затем необходимо отложить настройку интернет-соединения. В следующем окне необходимо указать интернет-адрес оператора VPN и указать произвольное имя. Снизу обязательно нужно поставить галочку напротив строки «Не подключаться сейчас». Поле этого снова необходимо снова ввести логин и пароль, если они предусмотрены договором на предоставление услуг, а после этого нажать на кнопку «Создать». После этого нужно выбрать в списке доступных подключений, только что созданное и нажать на кнопку свойств в новом окне. Далее необходимо действовать предельно аккуратно. В обязательном порядке на вкладке безопасности необходимо установить следующие параметры:

— тип VPN – автоматический;

— шифрование данных – необязательно;

— разрешение протоколов: CHAP и CHAP версии 2.

Теперь необходимо подтвердить выполненные изменения и перейти к окну установки соединения, где нужно нажать на кнопку подключения. Если настройки выполнены должным образом, будет выполнено подключение к интернету. Стоит ли использовать для этой цели сторонние утилиты? Пользователи по-разному реагируют на вопрос установки дополнительных PPTP серверов или клиентов. Однако большинство из них сходятся во мнении, что настройка и использование встроенного модуля Windows выглядит в плане простоты намного предпочтительнее. Конечно, можно установить что-то вроде пакета pfSense, который представляет собой межсетевой экран-маршрутизатор. Однако его «родной» клиент Multilink PPP Daemon имеет множество проблем, связанных с использованием Windows-серверов на основе PPTP в плане распределения использования протокола аутентификации между сервером и клиентом в корпоративных системах. Стоит отметить, что в домашних пользовательских терминалах таких проблем отмечено не было. Данная утилита в настройке гораздо сложнее, без использования специальных знаний указать правильные параметры или исправить регулярный «слет» пользовательского IP, невозможно. Можно попробовать некоторые другие серверные или клиентские утилиты, которые предназначены для установки соединения PPTP. Но есть ли смысл загружать систему ненужными программами, поскольку в любой операционной системе семейства Windows имеются собственные средства для этой цели? Кроме того, некоторые программные продукты в этом плане настолько сложны в настройке, что могут вызвать конфликты на физическом и программном уровне, так что лучше будет ограничиться тем, что есть.

Заключение

Это собственно все, что касается протокола PPTP, создания, настройки и использования туннельного соединения на его основе. Использование данного протокола для рядового пользователя не оправдано. Возникают законные сомнения в том, что каким-то пользователям может потребоваться защищенный канал связи. Если требуется защитить свой IP-адрес, то лучше использовать для данной цели анонимные прокси-серверы в интернете или анонимайзеры. Для обеспечения взаимодействия между локальными сетями коммерческих предприятий и других структур, то установка соединения PPTP может стать простым выходом. Такое подключение, конечно, не обеспечит на все сто безопасность, однако доля здравого смысла в его использовании есть.