Как видишь, пакет размером 1492 не прошел. По умолчанию в Windows устанавливается MTU для протокола РРРоЕ равное 1480 байт, но некоторые программы или драйвера могут его изменить.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Еще одна проблема, которая иногда всплывает — это размер MTU. Дело в том, что максимальный размер Ethernet-пакета равен 1500 байт, а максимальный размер пакета, передаваемого через PPPoE, равен 1492 байта (заголовок PPPoE — 6 байт и PPP Protocol ID — 2 байта). Некоторые роутеры поддерживают технологию Path MTU Discovery, которая запрещает фрагментацию пакетов. При этом оптимальный размер пакета определяется автоматически на основе сообщений ICMP (тип 3, код 4: ). То есть если на каком-то этапе ICMP пакеты блокируются, между хостами могут возникнуть проблемы с обменом данными. Проверить MTU очень просто. Например, введем:
Недостатки PPPoE вытекают из его достоинств. Так как он работает только в сети Ethernet, то использование транзитных IP-маршрутизаторов недопустимо. В крупных, разветвленных сетях поиск сервера обычно затягивается, а широковещательные пакеты могут «застревать» в роутерах. Поэтому PPPoE эффективен при использовании в относительно небольших или средних обособленных сетях. Также стоит отметить, что стабильная работа PPPoE через WiFi не гарантируется: через некоторое время может возникнуть подвисание соединения. Для решения этой проблемы придется ставить дополнительный роутер на границе WiFi и Wired LAN, который и будет подключаться к PPPoE серверу.
Использование второго сервера позволит также зарезервировать и другие полезные сервисы: DHCP, DNS и прочие. Для PPPoE еще одним очевидным преимуществом является возможность использования простых средств аутентификации и проверки полномочий на базе протокола RADIUS.
# nano /etc/ppp/peers/dsl-provider
Если в сети несколько PPPoE серверов, и нужно подключиться к определенному, явно указываем его в настройках /etc/ppp/peers/dsl-provider:
Это и есть наш сервер.
Просмотреть список доступных серверов в *nix можно запустив утилиту pppoe-discovery, которая отправляет PADI пакет и выводит результат, имя сервера и его MAC-адрес.
Подключение по протоколу PPPoE (Point-to-point protocol over Ethernet, RFC 2516) у клиентов обычно вызывает меньше проблем, поскольку пользователю всего лишь нужно помнить свой логин и пароль. Причем процесс настройки прост как в Windows, так и в *nix системах. Учитывая, что PPP соединение можно шифровать, раскрыть передаваемые данные нельзя. Поиск сервера провайдера производится автоматически при помощи широковещательного PADI пакета (PPPoE Active Discovery Initiation), передаваемого на канальном уровне, то есть клиенту не нужно задавать IP-адрес сервера доступа, как при настроке PPTP. Более того, в сети параллельно может работать несколько серверов, которые одновременно отвечают клиенту на запрос, а клиент сам решает, к какому из них он будет подключаться. Сервера никак не мешают друг другу, поэтому достаточно просто организовать резервирование PPPoE подключения.
А вот что выбрать из PPPoE или PPTP, зависит от топологии и особенностей сети.
Конечно, это не догма, и часто выбор протокола зависит от предпочтений сисадмина, который будет все настраивать. Многие из администраторов посчитают более «удобным» OpenVPN, который отлично защищен, прост в настройке и адаптирован для работы из-за NAT. Но такое решение все-таки ориентировано именно на построение VPN подключения, а не как средство организации доступа в интернет, со всеми вытекающими отсюда последствиями, в частности, отсутствием готового и удобного биллинга. К тому же клиентам потребуется установка дополнительного ПО, что многими не приветствуется. Другой вариант — L2TP/IPsec — предпочтительнее с точки зрения безопасности, но значительно сложнее в настройках, поэтому если его и предлагают провайдеры, то только как альтернативу PPPoE или PPTP для продвинутых и/или параноидальных пользователей. Если ты решил поднять платный VPN, чтобы другие юзеры или мелкие фирмы могли безопасно подключаться к сервисам интернета, скрывать свой IP, или же обходить блокировку IP на сайтах, отслеживающих регион посетителя, то кроме «традиционного» в таких случаях PPTP, следует обязательно предложить более защищенную альтернативу, вроде OpenVPN или L2TP/IPsec, снабдив пользователей подробными инструкциями по подключению.
Причины популярности PPPoE и PPTP банальны: клиенты имеются во всех популярных ОС, включая *nix. Процесс настройки подключения достаточно прост и не требует особой подготовки. В Windows PPPoE и PPTP поддерживаются из коробки, пользователю стоит лишь настроить новое подключение в разделе «Сетевые подключения».
Типичная для небольших городов или удаленных районов ситуация: кто-то покупает жирный канал и затем перепродает его желающим подключиться к интернет. Как правило, в этом случае параллельно создается локалка, через которую и обеспечивается подключение. Внутри LAN пользователи сами организуют внутренние сервисы, что является дополнительным стимулом к подключению. Для раздачи интернета в таком варианте лучше всего «подойдут» протоколы PPPoE и PPTP, наиболее популярные и удобные в классе host-to-network. Почему эти, а не другие? Давай разберем.
Какой тип VPN использовать провайдеру?
Технология виртуальных частных сетей сегодня как никогда пользуется большой популярностью. Ее применяют провайдеры для подключения пользователей к интернет, системные администраторы объединяют при помощи VPN удаленные офисы, командировочные и надомные сотрудники, работающие вне корпоративной сети, подключаются ко внутренним ресурсам компании по безопасному каналу. Технологий и протоколов разработано не мало, каждые из них имеют свои особенности, достоинства и недостатки, требуют специфических настроек роутеров. Попробуем навести порядок в знаниях.
Сергей «grinder» Яремчук (grinder@synack.ru), Мартин «urban.prankster» Пранкевич (martin@synack.ru)
Настройка VPN в вопросах и ответах
журнал Хакер, SYN/ACK, Xakep.PRO
SYN/ACK » X_04_2010: Теневые магистрали сети
Комментариев нет:
Отправить комментарий