[freebsd] Нагруженный VPN сервер
Eugene Grosbein
eugen at grosbein.net
Thu Oct 4 21:00:56 EEST 2018
04.10.2018 19:49, Alexander Andreyev пишет:
>>>> Учитывая, что GRE почти везде заблокирован, остают7ся варианты:
>>> Неправда, что "GRE почти везде заблокирован" - правда, что он не пролазит через NAT
>>> мобильных операторов связи (и ещё у некоторых). С публичными IP у GRE нет проблем.
>> Правда, и NAT в моём случае (и не только в моём) был не при чём: тесты были и с NAT'ом и без NAT'a и на разных провайдерах.
>> Осталось ещё пару провайдеров, где нормально проходит GRE, но таких единицы.
>
> А по моим наблюдениям единицы тех провайдеров где точно не пролазит...
> Обычно вполне работает.
> Есть такой нюанс, что GRE пролазит через NAT в одном экземпляре, т.е. если кто-нибудь из той-же сети уже подключен, то второму не получается.
>
> И если игнорировать небезопасность PPTP (а ведь во многих случаях, это действительно не важно, важен сам транспорт),
> то я этот протокол таки в лидерах по простоте настроек. Обычно может быть настроен даже самым неискушенным пользователем.
Во-первых, протокол PPtP использует модифицированный протокол GRE под названием PPTPGRE
и это позволяет NAT-у пропускать сколько угодно независимых паралельных подключений PPtP,
в отличие от "простого" GRE-туннеля. Но, разумеется, NAT должен уметь транслировать PPTPGRE
и наш libalias это умеет где-то с версии FreeBSD2, поэтому это умеет и natd, и нынче ipfw nat.
Во-вторых, вся "небезопасность" PPtP заключается только в том, что сложность его взлома
зависит от сложности используемых паролей (а не должна бы). Если использовать не словарные
пароли для PPtP, то никакой небезопасности в нём нет.
More information about the freebsd
mailing list