Соединение PPTP - что это такое? Как настроить VPN с помощью PPTP Почему именно PPTP.
В данной статье мы ознакомимся с тем, как можно организовать собственный VPN сервер на Windows 7 без использования стороннего софта
Напомню, что VPN (Virtual Private Network) этотехнология, используемая для доступа к защищенным сетям через общую сеть Internet. VPN позволяет обеспечить защиту информации и данных, передаваемой по общедоступной сети, путем их шифрования. Тем самым злоумышленник не сможет получить доступ к данным, передаваемым внутри VPN сессии, даже если он получить доступ к передаваемым по сети пакетам. Для расшифровки трафика ему необходимо иметь специальный ключ, либо пытаться расшифровать сессию при помощи грубого брутфорса. Кроме того, это дешевое решение для построения сети предприятия по каналам WAN, без необходимости аренды выделенного дорогостоящего канала связи.
Для чего может понадобиться организация VPN сервера на Windows 7? Наиболее распространенный вариант – необходимость организации удаленного доступа к компьютеру с Windows 7 дома или в малом офисе (SOHO) при нахождении, например, в командировке, в гостях, в общем, не на рабочем месте.
Стоит отметить, что VPN сервер на Windows 7 имеет ряд особенностей и ограничений:
- Вы должны четко понимать и принять все потенциальные риски, связанные с VPN подключением
- Одновременно возможно только одно подключение пользователя и организовать одновременный VPN доступ к компьютеру с Win 7 нескольким пользователям сразу, легально нельзя.
- VPN доступ можно предоставить только локальным учетным записям пользователей, и интеграция с Active Directory невозможна
- Для настройки VPN сервера на машине с Win 7 необходимо иметь права администратора
- Если вы подключаетесь к интернет через роутер, вам необходимо иметь к нему доступ, и нужно уметь настраивать правила для организации проброса портов (port forward) для разрешения входящих VPN подключений (собственно процедура настройки может существенно отличаться в зависимости от модели роутера)
Данная пошаговая инструкции поможет вам организовать собственный VPN сервер на Windows 7, не используя сторонние продукты и дорогостоящие корпоративные решения.
Откройте панель Network Connections (Сетевые подключения), набрав «network connection» в поисковой строке стартового меню, выберете пункт “View network connections”.
Затем зажмите кнопку Alt , щелкните по меню File и выберете пункт New Incoming Connection (Новое входящее подключение), в результате чего запустится мастер создания подключений к компьютеру.
В появившемся окне мастера укажите пользователя, которому будет разрешено подключаться к этому компьютеру с Windows 7 посредством VPN.
Затем укажите тип подключения пользователя (через Интернет или через модем), в данном случае выберите “Thought the Internet”.
Затем укажите типы сетевых протоколов, которые будут использоваться для обслуживания входящего VPN подключения. Должен быть выбран как минимум TCP/IPv4.
Нажмите кнопку Properties и укажите IP адрес, который будет присвоен подключающемуся компьютеру (доступный диапазон можно задать вручную, либо указать что ip адрес выдаст DHCP сервер).
После того, как вы нажмете кнопку Allow access , Windows 7 автоматически настроит VPN сервер и появится окно с именем компьютера, которое нужно будет использоваться для подключения.
Вот и все VPN север настроен, и в окне сетевых подключений появится новое подключение с именем Incoming connections.
Есть еще несколько нюансов при организации домашнего VPN сервера на Windows 7.
Настройка межсетевых экранов
Между Вашим компьютером с Windows 7 и сетью Интернет могут находится файерволы, и для того, чтобы они пропускали входящее VPN соединение, Вам придется осуществить их донастройку. Настройка различных устройств весьма специфична и не может быть описана в рамках одной статьи, но главное уяснить правило – необходимо открыть порт VPN PPTP с номером 1723 и настроить форвард (переадресацию) подключений на машину с Windows 7, на которой поднят VPN сервер.
Нужно не забыть проверить параметры встроенного брандмауэра Windows. Откройте панель управления Advanced Settings в Windows Firewall, перейдите в раздел Inbound Rules (Входящие правила) и проверьте что правило “Routing and Remote Access (PPTP-In)” включено. Данное правило разрешает принимать входящие подключения по порту 1723
Проброс портов
Ниже я выложил скриншот, показывающий организацию проброса (форвардинг) порта на моем роутере от NetGear. На рисунке видно, что все внешние подключения на порт 1723 перенаправляются на машину Windows 7 (адрес которой статический).
Настройка VPN подключения
Чтобы подключиться к VPN серверу с Windows 7, на подключающейся машине-клиенте необходимо настроить VPN подключение
Для этого для нового VPN соединения задайте следующие параметры:
- Щелкните правой кнопкой по VPN подключению и выберите Properties .
- На вкладке Security в поле Type of VPN (тип VPN) выберите опцию Point to Point Tunneling Protocol (PPTP) и в разделе Data encryption выберите Maximum strength encryption (disconnect if server declines) .
- Нажмите OK , чтобы сохранить настройки
1. Создате туннель на личной странице системы, а затем
2. Зайдите в настройки VPN своей операционной системы и создайте новое подключение.
Укажите адрес сервера msk.сайт,
На вкладке "Безопасность" выберите - тип VPN - PPTP
Шифрование поставьте в "Необязательное"
Проверка подлинности - CHAP. MS-CHAP v2
3. На вкладке Параметры IP снимите галочку "Использовать основной шлюз в удаленной сети"
4. При желании использовать услугу нашего сервера WINS можете поставить "Включить Netbios поверх TCP/IP" (но для простого подключения туннеля этот пункт не является важным)
5. Установите соединение и проверьте, что выполняется пинг адреса 172.16.0.1, затем проверьте, что на ваш компьютер автоматически (по протоколу DHCP) поступили необходимые маршруты:
172.16.0.0 255.255.0.0
Маршрут, который ведет к вашей удаленной домашней сети 192.168.x.x 255.255.255.0 (в случае его наличия). .
Для этого выполните команду route print в вашем компьютере. Среди маршрутов должны оказаться перечисленные выше.
PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколами PPTP, L2TP, L2TP/IPsec через 24 часа после установления соединения. При правильной настройке соединения должны автоматически переустановиться.
, и как его можно использовать? На сегодняшний день немногие современные пользователи знает что это.Более того, некоторые пользователи, используя его, подчас даже не подозревают, что являются активными его пользователями.
А узнают о его существовании просто случайно, не задаваясь даже целью понять что это, и чем оно так полезно.
Введение в теорию PPTP
Название подключения или соединения PPTP происходит от имени протокола, на основе какового и построено такое подключение.
Полная расшифровка его англоязычной аббревиатуры звучит как point to point tunneling protocol. Что, по сути, означает туннельный протокол от точки к точке.
Точками в этом случае обозначены пара абонентов, которые связываются путем передачи данных зашифрованных в пакеты и передающихся посредством незащищенных сетей, построенных по принципам TCP/IP.
Для кого-то такое определение покажется чересчур сложным, но это всего лишь вершина айсберга.
Если рассматривать соединение PPTP более подробно, окажется, что оно позволяет преобразовывать кадры PPP в IP-пакеты привычного типа.
А именно они передаются по каналу связи, например, по интернету или другой проводной, а также беспроводной сети.
Важно, что PPTP сложно назвать идеальным, и в ряде случаев, этот способ проигрывает в сравнении с другими моделями типа IPSec, поскольку имеет меньший уровень безопасности.
Впрочем, это не мешает его использовать повсюду и достаточно широко. От такого не стоит отказываться, и сейчас рассмотрим почему.
рис. 1 – Схематическое изображение PPTP соединения
Что дает соединение PPTP
Несмотря на некоторые огрехи в безопасности, соединение PPTP позволяет обеспечить базовую защиту данных и поэтому такой протокол имеет широкую сферу применения.
В частности, его можно с успехом использовать для осуществления дальних звонков с ощутимой экономией.
Происходит это потому как этот протокол не требует прямого соединения между двумя абонентами. Оно производится по защищенной линии в интернете, которая и называется туннелем.
Что касается туннеля, то он используется исключительно в роли посредника.
В то же время PPTP с успехом применяется при формировании клиент-серверных соединений. В этом случае соединение происходит несколько иначе.
Абонент, т. е. пользователь подключает свой терминал – рабочее устройство к серверу посредством того же защищенного канала.
Базовые правила подключения PPTP
Но прежде чем начать работу с подключением PPTP, его следует настроить и соблюсти несколько важных условий.
К особенностям настройки используемого туннелирования стоит отнести следующее:
- порт TCP № 1723;
- порт IP GRE №
При этом чтобы данные настройки работали соответствующим образом параметры встроенного брандмауэра (или сетевого экрана) не должны ограничивать поток IP-пакетов.
Их отправка и прием должна быть свободной.
Впрочем, даже если эти правила будут соблюдены при настройке подключения локально, не факт, что PPTP будет работать корректно.
Важно: Для правильной работы протокола провайдер должен обеспечить полную свободу пересылки туннелированных данных.
Детализация процесса подключения
Упомянутые выше точки соединяются посредством PPP-сессии, которая формируется на платформе протокола GRE.
Его аббревиатура расшифровывается как Generic Routing Encapsulation.
За его менеджмент и инициализацию несет ответственность второе подключение порта TCP.
Информация в форме пакета IPX который передается от точки к точке называется полезной нагрузкой, а дополняется он управляющей информацией.
Когда этот пакет попадает на другой конец линии специальное приложение извлекает содержащиеся в нем данные, после чего они отправляются на постобработку.
Постобработку производятся встроенными средствами системы соответственно указанному протоколу.
Стоит отметить, что взлом данных возможен только в процессе получения. В остальном безопасность обеспечивается за счет туннеля - защитного коридорах.
Поэтому важно использовать хорошо продуманную комбинацию логина и пароля, которые и отвечают за безопасность в процессе отправки/получения данных, а не в процессе пересылки.
рис. 4 – Уязвимые места PPTP
Обеспечение защиты соединения
Как отмечалось выше, данные передаются в форме шифрованного пакета.
Для его шифрования используются специальные средства, полный список которых можно просмотреть в настройках подключений.
Мы же выделим те которые характеризуются высокой степенью защищенности, в частности это:
- MSCHAP-v1;
- MSCHAP-v2;
- EAP-TLS;
- MPPE.
Чтобы обеспечить повышенный уровень защиты можно дополнительно использовать дозвоны - звонки ответа, реализованные программным путем.
Они позволяют удостовериться в том, был ли пакет данных передан полностью, и был ли поврежден в процессе пересылки.
А пока рассмотрим, чем выделяются представленные выше варианты.
Стоит отметить, что MSCHAP-v1 не отличается своей надежностью.
Для извлечения парольных хешей из него можно использовать специальные утилиты перехваченного обмена.
MSCHAP-v2 в этом смысле отличается от предшественника, но является уязвимым к словарным атакам на перехваченные пакеты данных, для чего также используются специальные программы, скорость обработки данных в которых может составить всего сутки на расшифровку.
Криптоаналитики могут расшифровать данные и из MPPE, который базируется на использовании потока RC4.
К примеру, расшифровать его можно используя метод подмены битов.
Впрочем, при желании такую уязвимость можно обнаружить, используя соответствующие методы, которые считают контрольные суммы.
Таким образом, становится понятно, что установленную на PPTP защиту можно обойти. И именно поэтому приходится использовать дополнительные средства безопасности.
рис. 5 – Упрощенная схема защищенного PPTP канала
Вам это может быть интересно:
Пример настройки параметров PPTP в OS MS WINDOWS 7
Чтобы понять все тонкости PPTP-соединения стоит попытаться самостоятельно провести настройки такого подключения.
Мы рассмотрим, как этот процесс происходит в системе , в частности, в популярной седьмой ее версии. Сделать это несложно следуя нашим рекомендациям.
Изначально потребуется запустить Панель управления . Произвести это проще всего из меню Пуск .
В ней понадобится выбрать категорию Центр управления сетями .
Попасть туда можно и минуя описанную цепочку. В таком случае следует выбрать из контекстного меню, вызванного сетевому подключению, тот же пункт.
Найти его можно в области уведомлений, расположенной справа в нижней части экрана.
После запуска Центра управления можно будет вносить изменения в свойства сетевого адаптера.
С этой целью понадобится в левой области окна выбрать команду Изменение параметров сетевого адаптера .
Затем можно вызывать пункт Свойства из контекстного меню для имеющегося локального подключения.
При этом большая часть провайдеров позволяет устанавливать адреса на рабочих станциях для DNS и IP серверов в автоматическом режиме.
По завершении внесения изменений в настройки понадобится активизировать подключение.
С этой целью в основном окне Центра управления нужно выделить настроенное ранее подключение и вызвать для него меню правой кнопкой мыши.
В нем следует выбрать пункт Включить .
Настройка параметров для сетевых подключений VPN
В том же разделе Панели управления потребуется создать VPN-подключение, если его еще нет. С этой целью нужно запустить команду Создать новое подключение в правой области окна.
В диалоге задаем подключение к рабочему месту , а далее – Использовать существующее подключение .
На следующем этапе в окошке задаем адрес VPN оператора и вносим придуманное ему название. При этом в диалоге требуется поставить маркер на строчке Не подключаться сейчас.
На последнем этапе необходимо внести логин и соответствующий ему пароль, необходимые для защиты соединения и нажать на кнопку Создать .
Кстати в нашем материале «VPN сервисы бесплатно: параллельная реальность для ПК» вы можете найти много интересного для себя.
После того как подключение создано, его необходимо настроить.
В частности, необходимо задать параметры безопасности.
Для этого нужно вызвать для созданного соединения пункт Свойства из контекстного меню и на вкладке окна Безопасность задать такие значения:
- Для поля тип VPN задать значение - автоматический ;
- Для поля шифрование данных установить значение - необязательное ;
- Для поля разрешения протоколов выбрать из списка значения - CHAP и CHAP версии
Кликнув на кнопке ОК , мы сохраним изменения, а потом потребуется подключить соединение, как это описывалось выше при настройке PPTP. На этом настройка завершается.
VPN подключение что это такое
Что такое VPN подключение. По каким принципам оно устроено и для каких функций служит.
Прочие способы настройки подключения PPTP
Стоит отметить, что помимо встроенных средств для настройки сетевых подключений, которые предоставляют разработчики операционных систем, можно использовать программные средства третьих фирм.
Но при выборе именно таких средств можно столкнуться с рядом непредвиденных сложностей. Одна из них – нестабильность подключения.
Также проблемой может стать для пользователя большое количество настраиваемых параметров.
С подобными сложностями справятся профессионалы, а вот рядовые пользователи защищенных сетей с легкостью в них запутаются.
Поэтому подбирать такой экран-машрутизатор требуется с особой ответственностью.
В качестве примера хорошего программного пакета можно рассматривать pfSense, снабженный клиентом Multilink PPP Daemon.
Он будет без проблем работать на домашнем устройстве, а вот при создании соединений на предприятиях между клиентскими станциями и сервером могут возникнуть непреодолимые трудности, связанные со сбоями в сетевых адресах.
Важно, что такие проблемы при использовании стороннего программного обеспечения не единичны.
И возникнуть они могут у любого пользователя, как на программном уровне, так и на программном, что подтверждает практика.
Рассмотрев подробно в предыдущей статье, как поднять серверную часть VPN-соединения на платформе Windows, мы переходим к настройке клиентского подключения PPTP. Для начала хотелось бы вспомнить на всякий случай, что для работы протокола PPTP используется две сетевых сессии: для передачи данных устанавливается PPP сессия с помощью протокола GRE, и соединение на ТСР порту 1723 для инициализации и управления соединением.
Соответственно не забываем создавать правило для GRE. Как создать такие правила в штатном фаерволе, если вы напрямую подключены к интернету, можно почитать . Если вы находитесь за маршрутизатором, то можно почитать тут.
Но мы же все это уже читали-знаем. Поэтому примемся за настройку клиентского VPN соединения под PPTP.
Для начала необходимо зайти в Панель управления , в Win7 для этого стоит всего лишь нажать Пуск . и перейти в Панель управления . Далее в зависимости от настроек отображения мы либо нажимаем Сеть и Интернет -> -> . Либо же переходим сразу в Центр управления сетями и общим доступом -> Настройка нового подключения или сети .
Появится мастер Установка и подключения и сети . Выбираем Подключение к рабочему месту
Далее вводим Интернет-адрес (адрес сервера) и название создаваемого подключения, лучше всего Разрешить использование этого подключение другими пользователями . Также на всякий случай советую поставить галочку на Не подключаться сейчас. Т.к мы будем настраивать параметры VPN вручную.
Подключение у нас успешно создалось. Теперь необходим его настроить. Переходим в раздел Изменение параметров адаптеров с окна Центр управления сетями и общим доступом .
Там ищем наше VPN подключение и с помощью ПКМ переходим в пункт меню Свойства . На вкладке Безопасность в тип VPN выбираем PPTP.По сути это и все. На стороне клиента по протоколу PPTP больше настраивать и нечего.
Сегодня мы настроим .
Те действия которые мы сегодня будем производить для настройки VPN на сервере под управлением Windows Server 2008R2 , могут быть применены и на Windows Server 2003 , хотя и будет выглядеть в некоторых местах по другому, но логика действий очень схожа.
Для начала нам потребуется поднять роль .
Установка роли
В Диспетчере сервера переходим в Роли - Добавить роли .
Выбираем из списка
Откроется информационное окно где вы можете ознакомиться с информацией о Службе политики сети и доступа , после нажимаем «Далее ».
Выбираем из списка “Службы маршрутизации и удаленного доступа” и все вложенные подпункты, нажимаем Далее .
Все необходимые данные собраны, нажимаем кнопку “Установить” .
Роль успешно установлена нажимаем кнопку “Закрыть”
После установки роли необходимо настроить ее, чем мы и займемся.
Настройка роли “Службы маршрутизации и удаленного доступа”
Переходим в диспетчер сервера, раскрываем ветку “Роли” , выбираем роль “Службы политики сети и доступа” , разворачиваем, кликаем правой кнопкой по “Маршрутизация и удаленный доступ” и выбираем “Настроить и включить маршрутизацию и удаленный доступ” , выставляем следующие параметры:
Откроется окно “Мастера установки сервера маршрутизации и удаленного доступа” после ознакомления нажимаем кнопку “Далее”
В окне “Конфигурация” выбираем пункт “Особая Конфигурация” нажимаем “Далее”
В окне “Настраиваемая конфигурация” выбираем “Доступ к виртуальной частной сети (VPN)” нажимаем “Далее”
В следующем окне нажимаем “Готово”
Вам будет предложено запустить службу, что мы и сделаем нажав на кнопку “Запустить службу”
Ну вот у нас все готово для того чтобы перейти непосредственно к настройке PPTP VPN на сервере под управлением Windows Server 2008R2 .
Настройка PPTP VPN на сервере под управлением Windows Server 2008R2 .
В том случае если у вас уже была установлена роль “Службы политики сети и доступа ” убедитесь в том, что увас выставлены следующие настройки:
Открываем Диспетчер сервера - Роли - Маршрутизация и удаленный доступ , щелкаем по роли правой кнопкой мыши и выбираем Свойства , на вкладке Общие проверяем, что стоит галочка в поле IPv4-маршрутизатор , выбрана опция “локальной сети и вызова по требованию” , а так же IPv4-сервер удаленного доступа :
Теперь нам необходимо проверить настройки Безопасности подключений . Для этого переходим на вкладку Безопасность и проверяем параметры для Методы проверки подлинности , должны стоять следующие галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2) :
Далее переходим на вкладку IPv4 , там проверяем какой интерфейс будет принимать подключения VPN и пул адресов для выдачи VPN клиентам (Интерфейсом выставьте Разрешить RAS выбирать адаптер ):
После нажатия на кнопку ОК служба будет перезаружена, и роль VPN сервера будет добавлена. Теперь у вас появился новый пункт под названием Порты . Теперь нам необходимо отключить службы которые мы не планируем использовать и настроить PPTP. Нажмите на пункт Порты - правой клавишей мыши и выберите пункт свойства . В открывшемся окне выберите WAN Miniport (PPTP) и нажмите настроить внизу формы. Выставьте все как на скриншоте ниже:
Максимальное число портов, это количество клиентов которые могут к Вам подключится. Даже если пул адресов больше этого значения, сервер будет отвергать подключения свыше этого числа .
Следующим этапом будет настройка разрешений для пользователей. Переходим в “Диспетчер сервера – Конфигурация- Локальные пользователи и группы – Пользователи”, Выберите пользователя которому вы хотите разрешить подключатся к данному серверу по VPN и нажмите на пользователе правой кнопкой мыши - Свойства. На вкладке Входящие звонки - Права доступа к сети - выставьте Разрешить доступ . (Если Ваш сервер работает под управлением Active Directory, то настройки необходимо вводить в оснастке Active Directory ):
Для нормального функционирования vpn-сервера необходимо открыть следующие порты:
Для PPTP: 1723 (TCP);
Для L2TP: 1701 (TCP) и 500 (UDP);
Для SSTP: 443 (TCP).
На этом настройка закончена. Можете создать подключение и попробовать подключится. Что бы посмотреть подключенных клиентов на данный момент используйте оснастку Маршрутизация и удаленный доступ - Клиенты Удаленного доступа . Так же для контроля и диагностики используйте журнал событий Служб политики сети и доступа.
Хотелось бы напомнить, что подключение с использованием PPTP VPN являются не самыми безопасными , так как авторизация происходит по паре Логин - Пароль. Лучше для более безопасной работы настроить L2TP соединение по предварительному ключу, что позволит существенно повысить безопасность VPN соединения и использовать IPSec .
Не забудьте пробросить порт на Вашем маршрутизаторе и открыть его в FireWall:
- PPTP - TCP порт 1723 (Прием\Отправка)
О том, как подключиться к vpn-серверу из Windows 7 можно прочитать .
О том, как подключиться к vpn-серверу из Mac OS X можно прочитать .
О том, как настроить VPN сервер - L2TP на платформе Windows server 2008 / 2008R2 можно прочитать .
