[freebsd] Нагруженный VPN сервер

[Eugene Grosbein]

04.10.2018 19:49, Alexander Andreyev пишет:

>>>> Учитывая, что GRE почти везде заблокирован, остают7ся варианты:
>>> Неправда, что "GRE почти везде заблокирован" - правда, что он не пролазит через NAT
>>> мобильных операторов связи (и ещё у некоторых). С публичными IP у GRE нет проблем.
>> Правда, и NAT в моём случае (и не только в моём) был не при чём: тесты были и с NAT'ом и без NAT'a и на разных провайдерах.
>> Осталось ещё пару провайдеров, где нормально проходит GRE, но таких единицы.
> 
> А по моим наблюдениям единицы тех провайдеров где точно не пролазит...
> Обычно вполне работает.
> Есть такой нюанс, что GRE пролазит через NAT в одном экземпляре, т.е. если кто-нибудь из той-же сети уже подключен, то второму не получается.
> 
> И если игнорировать небезопасность PPTP (а ведь во многих случаях, это действительно не важно, важен сам транспорт),
> то я этот протокол таки в лидерах по простоте настроек. Обычно может быть настроен даже самым неискушенным пользователем.

Во-первых, протокол PPtP использует модифицированный протокол GRE под названием PPTPGRE
и это позволяет NAT-у пропускать сколько угодно независимых паралельных подключений PPtP,
в отличие от "простого" GRE-туннеля. Но, разумеется, NAT должен уметь транслировать PPTPGRE
и наш libalias это умеет где-то с версии FreeBSD2, поэтому это умеет и natd, и нынче ipfw nat.

Во-вторых, вся "небезопасность" PPtP заключается только в том, что сложность его взлома
зависит от сложности используемых паролей (а не должна бы). Если использовать не словарные
пароли для PPtP, то никакой небезопасности в нём нет.