Настройка VPN на Windows 2008 R2, я должен использовать PPTP или SSTP?

Question

Настройка VPN на Windows 2008 R2, я должен использовать PPTP или SSTP?

Я настраиваю тестовый сервер VPN на Windows 2008 R2. Кажется, я помню, что PPTP не идеален, так как на брандмауэре Cisco вам нужно разрешить открывать довольно большой диапазон портов (также с протоколом GRE?)

Во всяком случае, мои смутные воспоминания об этом не являются блестящими, поэтому я хотел бы знать, что является более безопасным протоколом для настройки удаленного доступа VPN (от пользователей, звонящих из дома, поэтому не VPN-туннель или что-то еще).

1

ssl windows-server-2008-r2 vpn pptp sstp

Источник

kafka 03 окт '12 в 13:19

3 ответа

Другие вопросы по тегам ssl windows-server-2008-r2 vpn pptp sstp

rmalayter 03 окт '12 в 14:09 2012-10-03 14:09 · Answer 1 · 2012-10-03 14:09

Вероятно, вам следует использовать IKEv2 в качестве основного, если у вас есть клиенты Windows Vista/7 и серверы 2008r2, с запасным вариантом к SSTP, если по какой-либо причине UDP-порт 500 заблокирован на сайте клиента.

SSTP имеет серьезную проблему производительности в том, что вы получаете TCP-in-TCP для большей части трафика данных. Это приводит к тому, что "внутренний" уровень TCP неверно информируется о фактической потере пакетов в сети, что приводит к огромным задержкам или отключениям. Смотрите эту ссылку для получения подробной информации по этому вопросу.

Наши собственные тесты показали, что SSTP ужасно работает в сетях с потерями, особенно в беспроводных сетях в отелях, кафе, мобильных широкополосных сетях и т. Д. Таким образом, мы изначально выбрали IKEv2 в качестве основного механизма, а SSTP - запасной вариант. Ни SSTP, ни IKEv2 не требуют развертывания клиентских сертификатов, но они требуют, чтобы все клиенты доверяли сертификату VPN-сервера. Сертификат сервера VPN легко развертывается с помощью групповой политики.

Другая проблема, общая для PPTP, SSTP и IKEv2 в реализациях Windows, заключается в том, что они не проверяют, что клиентский компьютер является доверенным, а только то, что подключающийся пользователь знает пароль и имеет разрешения VPN. Эта проблема в конечном итоге заставила нас вернуться к L2TP с развертыванием сертификатов на стороне клиента с использованием Microsoft Certificate Authority для выдачи сертификатов доверенным компьютерам. Вы можете настроить обход NAT для L2TP с параметром реестра (снова развернутым через групповую политику).

Quinten 03 окт '12 в 13:41 2012-10-03 13:41 · Answer 2 · 2012-10-03 13:41

Не используйте PPTP- это совершенно небезопасно, если вы используете протокол MSChapv2. https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/

Если вы используете другой метод шифрования, такой как сертификаты - это значительно более сложная настройка, в первую очередь устраняющая любые преимущества PPTP.

Я планирую заменить PPTP в своей организации на OpenVPN. IPSec / L2TP - еще один хороший вариант.

TheCleaner 03 окт '12 в 13:43 2012-10-03 13:43 · Answer 3 · 2012-10-03 13:43

Если у вас более новый брандмауэр Cisco, вы можете использовать функции SSL VPN, если вы его лицензируете. Вы также можете использовать обычную настройку клиента / сервера Cisco VPN.

Для использования W2k8 R2 я бы рекомендовал перейти по SSTP-маршруту через PPTP. PPTP может быть проще в развертывании, но, кроме безопасности, в настоящее время существует довольно много мест (другие компании, отели и т. Д.), Которые не позволяют подключиться к одному из них (исходящему), что расстраивает сотрудников и гостей.