Назад | Перейти на главную страницу

При настройке VPN в Windows 2008 R2 следует использовать PPTP или SSTP?

Я настраиваю тестовый сервер VPN на Windows 2008 R2. Кажется, я помню, что PPTP не идеален, поскольку на брандмауэре Cisco вам нужно разрешить открывать довольно большой диапазон портов (с протоколом GRE тоже?)

В любом случае, мои смутные воспоминания об этом не блестящие, поэтому я хотел бы знать, какой протокол более безопасен для настройки удаленного доступа к VPN (от пользователей, подключающихся из дома, а не через туннель VPN или что-то еще).

Вероятно, вам следует использовать IKEv2 в качестве основного, если у вас есть клиенты Windows Vista / 7 и серверы 2008r2, с откатом к SSTP, если по какой-либо причине UDP-порт 500 заблокирован на сайте клиента.

SSTP имеет серьезную проблему с производительностью, поскольку вы получаете TCP-in-TCP для большей части трафика данных. Это приводит к тому, что «внутренний» уровень TCP получает неверную информацию о фактической потере пакетов в сети, что приводит к огромным задержкам или отключениям. Видеть эта ссылка для получения подробной информации по этому вопросу.

Наши собственные тесты показали, что SSTP ужасно работает в сетях с потерями, особенно в беспроводных сетях в отелях, кафе, мобильном широкополосном доступе и т. Д. Поэтому мы изначально выбрали IKEv2 в качестве основного механизма с SSTP в качестве запасного. Ни SSTP, ни IKEv2 не требуют клиент развертывание сертификата, но они требуют, чтобы все клиенты доверяли сертификату сервера VPN. Сертификат сервера VPN легко развертывается с помощью групповой политики.

Другая проблема, характерная для PPTP, SSTP и IKEv2 в реализациях Windows, заключается в том, что они не проверяют, что клиент компьютер является доверенным, только то, что подключающийся пользователь знает пароль и имеет разрешения VPN. Эта проблема в конечном итоге заставила нас вернуться к L2TP с развертыванием сертификатов на стороне клиента с использованием центра сертификации Microsoft для выдачи сертификатов доверенным машинам. Вы можете настроить прохождение NAT для L2TP с помощью параметра реестра (снова развернутого через групповую политику).

Не используйте PPTP - это совершенно небезопасно, если вы используете протокол MSChapv2. https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/

Если вы используете другой метод шифрования, такой как сертификаты, это значительно усложняет настройку, в первую очередь устраняя любые преимущества PPTP.

Я планирую заменить PPTP в своей организации на OpenVPN. IPSec / L2TP - еще один хороший вариант.

Если у вас есть более новый брандмауэр Cisco, вы можете использовать функции SSL VPN при наличии лицензии. Вы также можете использовать обычную настройку клиент / сервер Cisco VPN.

Для использования W2k8 R2 я бы рекомендовал использовать маршрут SSTP через PPTP. PPTP может быть проще развернуть, но, помимо безопасности, в настоящее время довольно много мест (другие предприятия, отели и т. Д.), Которые не позволяют вам подключиться к одному из них (исходящее), что расстраивает сотрудников и гостей.