Comments
Чтоб не потерялось это, прошу выслать его разрабам, думаю многие поддержат :) ну или хотя бы выложить на какой-нить лаунчпад/сурсфорж, куда-нибудь еще, крмое хабра
Отписал в https://bugs.launchpad.net/ubuntu/+source/ppp/+bug/88986 — баг открыт с 2007-03-01

правда, несколько смущает

cygnus wrote on 2008-11-06
… I tried to contact the Original Author, but didn't receive any answers.

но все равно попробую c ним связаться, если не получится — обращусь к маинтейнеру пакета в debian
Это решение рассматривалось. Насторожило, что последний патч — к ядру 2.6.13, последняя запись в changelog датирована 2005-02-02. Похоже, пациент скорее мертв чем жив.
Патчить ядро надо было чтобы получить поддержку mppe/mppc, современные ядра включают поддержку mppe «из коробки». Можно использовать только патч pppd, он с небольшими изменениями накладывается на pppd 2.4.4. У меня именно так все и работает.
Хм, вы молодец, проделали работу, разобрались :) Но я склонен согласится с мнением что опциональное шифрование действительно не очень нужно: если это корпоративная сеть — шифрование обязательно, дешевые маршрутизаторы без поддержки MPPE — в топку; если это доступ в интернет (мини-ISP) — шифрование не нужно совсем, если не противопоказано (расходовать ресурсы концентратора и клиента на обогрев помещения?)

Сам пользую в обоих вариантах, но без опциональности :)
> если это доступ в интернет (мини-ISP) — шифрование не нужно совсем

ровно до того момента, пока какой-то умник не начнет баловаться с arp-spoofing, а прецеденты уже были.

вводить обязательное шифрование и терять из-за этого клиентов с дешевыми роутерами тоже не всем хочется — проще предупредить что вот мол ваш роутер дешевый и убогий, если нужна безопасность — покупайте cisco или ставьте *nix тазик
Видно, вы в теме глубже :)
Но вы же не гарантируете польвователю конфиденциальность данных передаваемых через Интернет. А каким образом с помощью arp-spoofing'а можна увести логины-пароли от самого VPN-акаунта, точнее чем MPPE может помочь?
если используется mschap-v2, то только атакой перехваченного хеша по словарю.
но ведь есть еще и почта, аська, фтп и прочие сервисы, в которых пароль летает в открытом виде. Мы, конечно, не гарантируем конфиденциальности, но если есть техническая возможность обезопасить клиента от детей, просмотревших видео «как юзать Cain&Abel» — думаю, грех ею не воспользоваться.
Убедили :) Если есть возможность, то можна и обезопасить. «Знають у садочку малі діти, що краще перебдіть, ніж недобдіти» :)

офф-топ (но близко): Если вы используете PPTP-концентратор на базе Linux, не могли бы рассказать как у вас организована «раздача шейперов», тоесть автоматичесая установка ограничений скорости?
в двух словах — pppd плагины radius.so и radattr.so. Радиус общается с биллингом и отдает pppd соответствующие атрибуты. в /etc/ppp/ip-up.d лежит скрипт который парсит /var/run/radattr.pppX и уже исходя из этого манипулирует tc/iptables. Ну и в ip-down.d — аналогичный который подметает правила при падении интерфейса. Все остальное уже зависит от этого скрипта.
Спасибо, идея понятна. Интересовался не из простого любопытства, но и не для конкретного решения. Пока у наших клиентов хватает денег на NAS-ы от Cisco, но не исключено что в связи с кризисом, прийдется строить более дешевые решения на Linux.
когда денег появиться побольше, у вас не будет больших проблем с миграцией на cisco при использовании этой схемы. всего-лишь придется отдавать NAS-у более другие radius-атрибуты для установки скорости
Нам (разработчикам и сопровождающим билинговой системы) действительно практически всеравно :) RADIUS есть везде. У клиента сейчас Cisco, а дальше будет видно, будет финансирование — мигрируем на Cisco ISG, не будет финансирования — построим на Linux :)
Отличная статья. А можно куда-нибудь выложить уже собранный пакет для lenny? А то я смотрю так никто и не попросил.
Ребята, а как сейчас обстоят дела с поддержкой mppe, mppc в pppd и ядре? Нативно все включено или по прежнему нужно патчить/компилить??
Only those users with full accounts are able to leave comments. Log in, please.