ipoe или l2tp что лучше

IPoE. Переход провайдеров преимущества, недостатки, как откреститься.

Собственно, сабж. Хочу послушать уважаемую публику по поводу наметившейся (очередной) смены протоколов подключения провайдерами. Что это несет мне как пользователю и как дальше жить?

Товарищу майору чуть проще жить, домохозяйкам и законопослушным гражданам переходить на IPoE обязательно, ресурсы государства экономятся.

Даже не помню, когда PPPoE в последний раз видел. Те провайдеры, которыми пользуюсь сейчас как минимум 15 лет на IPoE. Не знаю что сказать, все работает. Для пользователя поменяется только то, что нужно будет отключить PPPoE в настройках роутера.

В теории, соседи смогут воровать у тебя трафик, т.к. доступ к твоему линку будет без пароля. Но на практике, часто пароль можно было перехватить и в PPPoE, т.к. он далеко не всегда шифровался.

В теории, соседи смогут воровать у тебя трафик, т.к. доступ к твоему линку будет без пароля. Но на практике, часто пароль можно было перехватить и в PPPoE, т.к. он далеко не всегда шифровался.

практически никогда не шифруется ты хотел сказать
а ipoe вполне может быть безопаснее, если провайдер выделяет по вилану на юзера

По-моему, только проще будет. Мне вообще как-то повезло, что я еще в далеком уже 2004-м году сразу с диалапа на ethernet кабель без всяких ppp перешел. Никаких *DSL и прочих инкапсуляций.

В теории, соседи смогут воровать у тебя трафик, т.к. доступ к твоему линку будет без пароля.

А чем он лучше PPPoE? Зачем менять то что работает?

для pppoe нужен сервер, а ipoe коммутаторы не приходя в сознание разруливают

Mac-адрес легко меняется. В свое время у меня в скрипте подключения к интернету даже была прописана его смена. Потому что комп поменял, а звонить провайдеру и привязывать новый желания не было, показалось проще лишний ifconfig написать.

Сейчас уже не привязывают, у нормальных провайдеров давно привязка к порту на роутере, а не MAC. Так что сосед нахаляву интернетом просто так не попользуется, ему надо будет лезть к роутеру или проводам, а это слишком палевно и бессмысленно.

Потому что комп поменял, а звонить провайдеру и привязывать новый желания не было

Так что сосед нахаляву интернетом просто так не попользуется, ему надо будет лезть к роутеру или проводам, а это слишком палевно и бессмысленно.

Ну если уж так сильно захотеть, то можно в любой порт рядом воткнуться и послушать трафик даже без авторизаций и выдачи IP адреса. Широковещательный DHCP запрос разлетится по всем портам, а там и MAC будет. Да собственно, даже не надо DHCP ждать, там хватит запросов-ответов и без него. При этом предполагая даже, что остальной трафик недоступен.

В старых домах я всё так-же вижу провода подключенные скрутками по стенам подъезда, не знаю что тут может помешать какому-нибудь мамкиному хацкеру получить тырнет нахаляву.

Ну получит он нахаляву на несколько часов, а потом по своей попе получит от мамки с папкой. В лучшем случае. Потому что сосед заметит, что у него с инетом проблемы, а ремонтники провайдера заметят куда провели инет нахаляву. Не, можно конечно изощриться и вместо кабеля wi-fi роутер воткнуть, но зачем и опять же очень не надолго, пока ремонтировать не придут.

Сильно зависит от локации, в иных многоквартирных домах такой кабельный ад, что спрятать лишние несколько проводов можно просто элементарно. Так что твое «недолго» может продолжаться годами.

А если я устройство сменю? Ну или там шейпинг и бан торрент-траффика?

Так что твое «недолго» может продолжаться годами

… входит в привычку, теряется бдительность, а потом в один прекрасный день 13.2 КоАП РФ, 1064, 1102, 1107, 395 ГК РФ, а то и 165, 272 УК РФ

поренты шустрее будут работать, даже на самом днищерутере 10-летней давности.

Кажется, ты установил причину процесса перехода на IPoE

Минусы у реализаций ipoe были в прибивании к nat и странными captive portal (хотя это разово), а сеть ipv6 зажимали. Это раньше слышал.

Даже не помню, когда PPPoE в последний раз видел.

Мой местячковый провайдер до сих пор PPPoE использует.

К нам в деревню пришёл Мегафон(NetbyNet) сначала был DHCP без пароля, потом начались привязки к MAC’у, уже 4-5 лет как так. IPoE врезки будут делать, в моей деревне точно.

А если я устройство сменю? Ну или там шейпинг и бан торрент-траффика?

Шейпинг и бан не зависят от типа подключения, а только от провайдера.

В принципе в нулевых у некоторых провайдеров было такое, что позволялось только одно устройство (комп) подключать, за дополнительные подключения просили денег. Но сейчас не знаю остались ли где такие жлобы среди проводных.

Сейчас еще вспомнил из приколов тех лет. Так как тарифы для физлиц и юриков для коммерческой деятельности (включая ИП) различались на порядок (теоретически зато юриками гарантировалась ширина канала), некоторые борзели до того, что проверяли, чтобы коммерцией не занимались. Сам не сталкивался, слышал такие истории.

Более адекватное решение

PPPoE это нехорошо в современном Ethernet-пространстве. Всё-таки этот протокол для коммутируемых линий был придуман, а не для широкополосного интернета.

Ну, а потом пользователь который остался без ынтернета звонит в службу поддержки провайдера, потом приходит мастер, делает на камеру снимки покоцанного провода, провайдерского свитча, и соседа. Провод после этого подключается вназад, а к соседу потом приходят менты…

И вставляет себе все выше указанное в зад, вместе с «ментами», так как нет состава уголовного преступления.

Источник

Ipoe или l2tp что лучше

Справочник абонента

Интернет

Телефония

Телевидение

Топ статей

Описание по протоколам L2TP и IPoE

При работе по протоколу L2TP клиент обязан тратить аппаратные ресурсы своего оборудования (ПК, маршрутизатора) для тоннелирования данных (процесс организации тоннелирования требует как программной поддержки протокола L2TP, так и при начале работы организации авторизованного РРР соединения).

Протокол IPoE (частный случай ISG) не требует дополнительных ресурсов оборудования со стороны клиента (ПК, маршрутизатора) при работе в сети. Клиент первоначально должен пройти процедуру регистрации на портале (процедура не отличается от процедуры регистрации на каком-то форуме или сайте) и работать в сети до момента пока не сменится MAC адрес клиентского оборудования (фактически установится другое оборудование), номер порта клиента на коммутаторе оператора или сам коммутатор.

Кратко плюсы и минусы протоколов в реализации К Телекома.

L2TP

— Необходимость довольно значительных аппаратных ресурсов от клиента,

— Необходимость процесса авторизации каждый раз при доступе к сети,

+ Возможность «ночного удвоения» полосы пропускания для клиента,

+ Предоставление клиенту при авторизации «публичного динамического ip-адреса из пула».

IPoE

— Необходимость разовой авторизации, которая привязана к 3-м параметрам (MAC абонента, коммутатор оператора и номер порта на коммутаторе оператора),

— Клиенту для работы в сети предоставляется «внутренний динамический ip-адрес из пула», выходящий во внешнюю сеть из-под NAT (при этом возможны проблемы с игровыми серверами требующим прямого доступа до клиентского оборудования, раздачи в торрент-клиентах и невозможность организовать сервисы на стороне клиента, на которые есть необходимость доступа их внешней сети).

+ Простота первичной авторизации (не сложнее чем регистрация на форумах и сайтах), отсутствие необходимости такой авторизации каждый раз при необходимости доступа в сеть

+ Нет необходимости иметь со стороны клиента значительных аппаратных ресурсов, которые нужны для работы по протоколу L2TP

Для того, чтобы сменить протокол подключения самостоятельно, можно воспользоваться инструкцией.

Источник

Проблема IPoE

В последнее время очень популярна стала технология IPoE. Популярна настолько, что некоторые провайдеры решились внедрить её в существующую сеть. И ведь действительно, на первый взгляд сплошные плюсы.

Приведу несколько плюсов на вскидку: в отличии, от PPPoE, не нужен дорогостоящий BRAS, не нужно тратиться на подсети внешних адресов, меньшая нагрузка на оборудование, за счет отсутствия тоннелей, нет необходимости гонять внутренний трафик через BRAS. Плюсов можно найти кучу, но, почему-то, мало кто задумался о минусах. На данную технологию даже нет RFC, не говоря уже о том, что многое дешевое оборудование, использующееся на доступе, не всегда корректно работает с options 82.
Самый главный минус, на мой взгляд – безопасность конечных пользователей.

Рассмотрим для примера metro ethernet сеть, в которой услуга предоставляется по технологии PPPoE (рис.1).

рис.1

Далее, на L3 коммутаторе агрегации, это собирается в C-Vlan вида 33290101, 33290102 итд.
В таком виде, это отправляется к BRAS. Причем, оборудование, которое стоит на канале между BRAS и роутером в кольце агрегации может и не поддерживать Q-in-Q.
При такой схеме, у каждого пользователя есть свой логин/пароль. И, даже если его украдет злоумышленник, то использовать он его сможет только с порта абонента. Если включится в другой порт, логин/пароль будет бесполезен.

Теперь, рассмотрим ситуацию, Когда пришел начальник Ибрагим Аврамович и сказал – я хочу IPoE (рис.2).

рис.2

Сказано – сделано. Вы перетрясли всю сеть. Сделали IPoE. В наиболее распространенном варианте, привязка будет идти к порту и маку коммутатора доступа. Завязали ваш dhcp сервер с биллингом, причем, вся завязка состоит в том, что биллинг отправляет куски конфига на dhcp сервер.
Поставили NAT! Теперь можно давать хомячкам серые адреса и натить, экономия же! Ибрагим Аврамович доволен, но замечает, что можно выдавать и белые адреса особо ретивым пользователям, за отдельную плату конечно.
Q-in-Q вы решили оставить, чтобы хоть как-то разделить пользователей.
Вы все сделали – вы молодец. От пользователей теперь не требуется вбивать логин и пароль, тех. поддержка забыла про ошибки 691. Ибрагим Аврамович выбирает новый Лексус. Вам дали прtмию 2048 рублей. Все счастливы.

Казалось бы, что может нарушить данную стройную идиллию? А нарушить её может схема, изображенная на рисунке 3.

рис.3

Пока, тетя Глаша и прочие жильцы на работе, Василий нагло врезается в кабель тети Глаши. Проводит кабель к себе домой. По 1,2,3,6 жиле, он будет сосать халявный интернет, а по оставшимся, он подключит тётю Глашу (что называется – по обратке), чтобы она ничего не заподозрила и не вызвала монтажника. Так как, никаких логин/паролей нет. Ничто не помешает Василию получить свой бесплатный интернет. А далее – дело техники. На роутере поднимается dhcp и NAT. Причем, при желании ip тете Глаше можно выдать из той же подсети, что использует провайдер, чтобы свести подозрения к минимуму. В случае, если серые ip выдаются не из пула, а существует жесткая привязка ip к порту, все ещё проще.

И так, Вася получил халявный интернет. Тетя Глаша ничего не заметила, только стала удивляться столь частым взломам любимых однакласников и – «картинкидолгогрузятся».

Послесловие:
Согласен, что некоторые делают ещё и привязку к mac адресу абонента. Но, господа, вы создаете себе геморрой. А если у хомячка нет локалки/роутера, а компьютера два, три итд? А если сгорела сетевая? Каждый раз звонить в тех/ поддержку и диктовать mac. И хорошо, если хомячек не впадет в панику, при слове mac. К тому же, Васе mac узнать не составляет труда, а подменить ещё проще.

К вопросу о СОРМЕ и кровавой Гэбне. Что мешает потомственному ваххабиту Ашоту прийти в любой подъезд, скрутить кабель, написать похабщины в интернете /накачать торрентов и скрыться не пойманным? Здесь не будет стопорных механизмов публичных wi-fi сетей.

На какое-то серьёзное исследование по безопасности естественно не претендую, но, на мой взгляд, есть повод задуматься.

Источник

Разбираемся в VPN протоколах

В последние месяцы армия пользователей VPN значительно увеличилась. И речь не о любителях обходить блокировки и посещать запрещенные сайты, а о тех, кто использует VPN для безопасной работы (да-да, удаленной работы). Это повод еще раз посмотреть на арсенал доступных протоколов и сравнить их с точки зрения безопасности.

Для начала — немного общих положений о VPN. Сценарии использования VPN могут быть разными, самые популярные их них:

Для реализации этих сценариев существуют различные виды VPN протоколов — для связи, для шифрования трафика и другие. И уже на основании подходящего протокола можно «строить» свое решение. Два самых известных и широко используемых протокола — OpenVPN и IPSec, а сравнительно недавно появился WireGuard, вызвавший некоторые разногласия. Есть и другие альтернативы, уже устаревшие, но вполне способные решать определенные задачи.

Преимущество того или иного протокола VPN зависит от ряда факторов и условий использования:

Устройства — разные устройства поддерживают разные протоколы.

Сеть — если определенные сервисы не доступны в вашей локации, некоторые протоколы могут не подойти. Например, есть VPN Providers, которые работают в Китае, тогда как большинство существующих провайдеров заблокированы.

Производительность — некоторые протоколы обладают бОльшей производительностью, особенно на мобильных устройствах. Другие — более удобны для использования в больших сетях.

Модель угроз — некоторые протоколы менее безопасны, чем другие, поэтому и злоумышленники могут воздействовать на них по-разному.

Итак, с общей частью закончили, теперь переходим к подробному описанию и сравнению протоколов.

Point-to-Point Tunneling Protocol (PPTP) — один из старейших VPN протоколов, используемых до сих пор, изначально был разработан компанией Microsoft.

PPTP использует два соединения — одно для управления, другое для инкапсуляции данных. Первое работает с использованием TCP, в котором порт сервера 1723. Второе работает с помощью протокола GRE, который является транспортным протоколом (то есть заменой TCP/UDP). Этот факт мешает клиентам, находящимся за NAT, установить подключение с сервером, так как для них установление подключения точка-точка не представляется возможным по умолчанию. Однако, поскольку в протоколе GRE, что использует PPTP (а именно enhanced GRE), есть заголовок Call ID, маршрутизаторы, выполняющие натирование, могут идентифицировать и сопоставить GRE трафик, идущий от клиента локальной сети к внешнему серверу и наоборот. Это дает возможность клиентам за NAT установить подключение point-to-point и пользоваться протоколом GRE. Данная технология называется VPN PassTrough. Она поддерживается большим количеством современного клиентского сетевого оборудования.

PPTP поддерживается нативно на всех версиях Windows и большинстве других операционных систем. Несмотря на относительно высокую скорость, PPTP не слишком надежен: после обрыва соединения он не восстанавливается так же быстро, как, например, OpenVPN.

В настоящее время PPTP по существу устарел и Microsoft советует пользоваться другими VPN решениями. Мы также не советуем выбирать PPTP, если для вас важна безопасность и конфиденциальность.

Конечно, если вы просто используете VPN для разблокировки контента, PPTP имеет место быть, однако, повторимся: есть более безопасные варианты, на которые стоит обратить внимание.

Secure Socket Tunneling Protocol (SSTP) — проприетарный продукт от Microsoft. Как и PPTP, SSTP не очень широко используется в индустрии VPN, но, в отличие от PPTP, у него не диагностированы серьезные проблемы с безопасностью.

SSTP отправляет трафик по SSL через TCP-порт 443. Это делает его полезным для использования в ограниченных сетевых ситуациях, например, если вам нужен VPN для Китая. Несмотря на то, что SSTP также доступен и на Linux, RouterOS и SEIL, по большей части он все равно используется Windows-системами.

С точки зрения производительности SSTP работает быстро, стабильно и безопасно. К сожалению, очень немногие VPN провайдеры поддерживают SSTP.

SSTP может выручить, если блокируются другие VPN протоколы, но опять-таки OpenVPN будет лучшим выбором (если он доступен).

IPsec

Internet Protocol Security (IPsec) — это набор протоколов для обеспечения защиты данных, передаваемых по IP-сети. В отличие от SSL, который работает на прикладном уровне, IPsec работает на сетевом уровне и может использоваться нативно со многими операционными системами, что позволяет использовать его без сторонних приложений (в отличие от OpenVPN).

IPsec стал очень популярным протоколом для использования в паре с L2TP или IKEv2, о чем мы поговорим ниже.

IPsec шифрует весь IP-пакет, используя:

Обсуждение IPsec было бы неполным без упоминания утечки презентации Агентства Национальной Безопасности США, в которой обсуждаются протоколы IPsec (L2TP и IKE). Трудно прийти к однозначным выводам на основании расплывчатых ссылок в этой презентации, но если модель угроз для вашей системы включает целевое наблюдение со стороны любопытных зарубежных коллег, это повод рассмотреть другие варианты. И все же протоколы IPsec еще считаются безопасными, если они реализованы должным образом.

Теперь мы рассмотрим, как IPsec используется в паре с L2TP и IKEv2.

L2TP/IPsec

Layer 2 Tunneling Protocol (L2TP) был впервые предложен в 1999 году в качестве обновления протоколов L2F (Cisco) и PPTP (Microsoft). Поскольку L2TP сам по себе не обеспечивает шифрование или аутентификацию, часто с ним используется IPsec. L2TP в паре с IPsec поддерживается многими операционными системами, стандартизирован в RFC 3193.

L2TP/IPsec считается безопасным и не имеет серьезных выявленных проблем (гораздо безопаснее, чем PPTP). L2TP/IPsec может использовать шифрование 3DES или AES, хотя, учитывая, что 3DES в настоящее время считается слабым шифром, он используется редко.

У протокола L2TP иногда возникают проблемы из-за использования по умолчанию UDP-порта 500, который, как известно, блокируется некоторыми брандмауэрами.

Протокол L2TP/IPsec позволяет обеспечить высокую безопасность передаваемых данных, прост в настройке и поддерживается всеми современными операционными системами. Однако L2TP/IPsec инкапсулирует передаваемые данные дважды, что делает его менее эффективным и более медленным, чем другие VPN-протоколы.

IKEv2/IPsec

Internet Key Exchange version 2 (IKEv2) является протоколом IPsec, используемым для выполнения взаимной аутентификации, создания и обслуживания Security Associations (SA), стандартизован в RFC 7296. Так же защищен IPsec, как и L2TP, что может говорить об их одинаковом уровне безопасности. Хотя IKEv2 был разработан Microsoft совместно с Cisco, существуют реализации протокола с открытым исходным кодом (например, OpenIKEv2, Openswan и strongSwan).

Благодаря поддержке Mobility and Multi-homing Protocol (MOBIKE) IKEv2 очень устойчив к смене сетей. Это делает IKEv2 отличным выбором для пользователей смартфонов, которые регулярно переключаются между домашним Wi-Fi и мобильным соединением или перемещаются между точками доступа.

IKEv2/IPsec может использовать ряд различных криптографических алгоритмов, включая AES, Blowfish и Camellia, в том числе с 256-битными ключами.

IKEv2 поддерживает Perfect Forward Secrecy.

Во многих случаях IKEv2 быстрее OpenVPN, так как он менее ресурсоемкий. С точки зрения производительности IKEv2 может быть лучшим вариантом для мобильных пользователей, потому как он хорошо переустанавливает соединения. IKEv2 нативно поддерживается на Windows 7+, Mac OS 10.11+, iOS, а также на некоторых Android-устройствах.

OpenVPN

OpenVPN — это универсальный протокол VPN с открытым исходным кодом, разработанный компанией OpenVPN Technologies. На сегодняшний день это, пожалуй, самый популярный протокол VPN. Будучи открытым стандартом, он прошел не одну независимую экспертизу безопасности.

В большинстве ситуаций, когда нужно подключение через VPN, скорее всего подойдет OpenVPN. Он стабилен и предлагает хорошую скорость передачи данных. OpenVPN использует стандартные протоколы TCP и UDP и это позволяет ему стать альтернативой IPsec тогда, когда провайдер блокирует некоторые протоколы VPN.

Для работы OpenVPN нужно специальное клиентское программное обеспечение, а не то, которое работает из коробки. Большинство VPN-сервисов создают свои приложения для работы с OpenVPN, которые можно использовать в разных операционных системах и устройствах. Протокол может работать на любом из портов TCP и UPD и может использоваться на всех основных платформах через сторонние клиенты: Windows, Mac OS, Linux, Apple iOS, Android.

Но если он не подходит для вашей ситуации, стоит обратить внимание на альтернативные решения.

WireGuard

Самый новый и неизведанный протокол VPN — WireGuard. Позиционируется разработчиками как замена IPsec и OpenVPN для большинства случаев их использования, будучи при этом более безопасным, более производительным и простым в использовании.

Все IP-пакеты, приходящие на WireGuard интерфейс, инкапсулируются в UDP и безопасно доставляются другим пирам. WireGuard использует современную криптографию:

Код WireGuard выглядит куда скромнее и проще, чем код OpenVPN, в результате чего его проще исследовать на уязвимости (4 тысячи строк кода против нескольких сотен тысяч). Также многие отмечают, что его гораздо легче развернуть и настроить.

Результаты тестов производительности можно увидеть на официальном сайте (как не сложно догадаться, они хороши). Стоит отметить, что лучшие результаты WireGuard покажет на Linux системах, т.к. там он реализован в виде модуля ядра.

Совсем недавно был представлен WireGuard 1.0.0, который отметил собой поставку компонентов WireGuard в основном составе ядра Linux 5.6. Включенный в состав ядра Linux код прошел дополнительный аудит безопасности, выполненный независимой фирмой, который не выявил каких-либо проблем. Для многих это отличные новости, но сможет ли WireGuard стать достойной заменой IPsec и OpenVPN покажет время и независимые исследования безопасности.

Мы постарались охарактеризовать самые популярные VPN протоколы, надеемся, обзор был для вас полезен. В качестве резюме приводим сравнительную таблицу, где еще раз обозначены важные, на наш взгляд, показатели.

Материал подготовлен совместно с veneramuholovka

Источник