[beroland]

Citiraj:

Autor daigu

Ne, to znači da enkripcija podataka odnosno enkriptirani podatkovni "tunel" kod IPSECA počinje već prije ostvarivanja PPP konekcije odnosno autentifikacije, a da kod PPTP počinje nakon PPP konekcije odnosno autentifikacije. I to zbog toga što se kod L2TP/IPSEC VPN-a prvo autentificira stroj. Za L2TP/IPSEC VPN to znači da se sama autentifikacija odvija u već uspostavljenom VPN tunelu. Za PPTP, to ne znači da ti password putuje mrežom u nekriptiranom obliku i da je autentifikacija nekriptirana, osim ako ne koristiš PAP, odnosno:

"PAP is a simple, clear-text authentication scheme. The NAS requests the user name and password, and PAP returns them in clear text (unencrypted)."

PPTP VPN po defaultu koristi MSCHAP, što prema MS znači (za MSCHAP v.2):

"MS-CHAP v2 is an updated encrypted authentication mechanism that provides stronger security for the exchange of user name and password credentials and determination of encryption keys. With MS-CHAP v2, the NAS sends a challenge to the access client that consists of a session identifier and an arbitrary challenge string. The remote access client sends a response that contains the user name, an arbitrary peer challenge string, an encrypted form of the received challenge string, the peer challenge string, the session identifier, and the user’s password.
The NAS checks the response from the client and sends back a response containing an indication of the success or failure of the connection attempt and an authenticated response based on the sent challenge string, the peer challenge string, the encrypted response of the client, and the user’s password.
The remote access client verifies the authentication response and, if correct, uses the connection. If the authentication response is not correct, the remote access client terminates the connection."

Dakle, kod MSCHAP-a inicijalno klijent šalje samo zahtjev serveru, a on mu natrag šalje "izazov" (challenge) sa session id i challenge string, pa se tek onda oni "rukuju" itd...

Izvor:

Deploying Virtual Private Networks with Microsoft Windows Server 2003 / Joe Davies, Elliot Lewis. MSPress.

Naravno da PPTP ima svoje sigurnosne rupe, i što se tiče MSCHAP-a i što se tiče same MPPE enkripcije podataka. Ali, koja tehnologija nema? MS je u više navrata i krpao te rupe. No opet, za pojedinačni pristup se rijetko koristi L2TP/IPSec.

Al' sam se raspisao...

Da, jesi, ali hvala lijepa na info. Ovo mi je koristilo.

Citiraj:

Autor daigu

Onda još ako na notebooku imaš fingerprint scanner kao ja na svom HP-u, možeš iskoristiti EAP. Pa onda nek ti neko probije i lozinku i biometrijske podatke, kako bi došao do esencijalnih podataka od nacionalne sigurnosti koji se nalaze na tvom LAN-u.

Nemoj dalje, da se ne uvrijedim...

Citiraj:

Autor daigu

Probaj ovo: otvori group policy editor klijentskoga računala (Start -> Run -> gpedit.msc), pod Windows settings-> Security-> IP Security Policies možda trebalo na stavci "Client" desnim klikom odabrati Assign i odabrati iste postavke kao i na serveru što se tiče enkripcije itd... Pretpostavljam da ako napraviš Active Directory domain, i uključiš notebook u njega, ovo nije potrebno jer će ti u tom slučaju notebook povući default policy sa servera. U slučaju da ti računalo nije u AD domain nisam baš siguran da IPSEC ide bez ikakvog naštelavanja. Po rezultatima kontrole prometa vidi se da uopće nije došlo do uspostave IPSEC tunela.

Nije mi na domeni lap jer je Win XP Home na njemu.

Uf, zakompliciralo se sve ovo skupa. Gotovo da i ne znam od kud dalje krenuti.
Ovo što govoriš za neuspješnu uspostavu tunela, da jedino je promet išao na udp 500 prema serveru i od servera. i ništa drugo osim toga.