Общие сведения о системе
Дерево команд
Сетевые технологии
Аппаратная часть
Немного линукса
Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: _common-nodes.ppp
DIR
IMPORTED-NODE
aaa-POLICY
adm-state
bond-group
bridge-group
debug-level
description
event-generator
ifAddress
ip
launch
link
macvlan
mpls-in
netflow
netns
phy
port
ppp
show
sms-handler
tcp
udp
vlan
vrrp
.main
add-nat
aux
del-nat
log
main
priority
show
.encrypt-mppe
attempts
authentication-scheme
authentication
chat
connection
data-compression
debug-level
default-route-metric
default-route
encrypt-mppe-mode
encrypt-mppe
idle-time
ip-address
ipcp
lcp-echo-failure
lcp-echo-interval
min-success-time
mtu
options
peer-ip-address
refuse-auth
sent-password
sent-username
session-time

Что это такое?

Это шифрование MPPE.

Зачем это нужно?

Чтобы разрешить и потребовать согласование шифрования MPPE (Microsoft Point-to-Point Encryption) для защиты передаваемых данных.

Как это настроить?

40
Обязательно использовать шифрование с длиной ключа 40 бит.
128
Обязательно использовать шифрование с длиной ключа 128 бит.
auto
Автоматическое согласование факта шифрования и длины ключа.
no
Не использовать шифрование.

В режиме auto выбирается максимально безопасный режим передачи, т.е. шифрование включается всегда, если оно допускается противоположной стороной, и длина ключа устанавливается максимальной из разрешённых для обеих сторон. В реализациях MPPE других производителей есть различия, приводящие к тому, что в некоторых случаях эти продукты при соединении друг с другом выбирают режим без шифрования или с минимальной длиной ключа. Во избежание проблем, рекомендуется всегда указывать режим шифрования явным образом на обеих сторонах.

Инициатором аутентификации при этом может быть любая сторона. Возможности использования MPPE связаны с выбранным протоколом аутентификации:

ПРИМЕЧАНИЕ. C точки зрения протокола PPP, MPPE есть частный случай сжатия данных, поэтому для его работы необходимо, в первую очередь, установить data-compression=true.
ПРИМЕЧАНИЕ. Протокол MPPE на сегодняшний день имеет доказанные уязвимости и не может считаться безопасным для критически важных данных. Рекомендуется использовать его только для простых задач, не требующих высокой степени защищённости. В остальных случаях следует предпочесть Wireguard (наиболее современный и защищённый тип туннелей, рекомендуется для новых инсталляций), IPsec или туннели 4 уровня на основе SSL (STunnel, OpenVPN).

Что делать, если это не работает?

  1. Смотреть журнал порта (желательно — на обеих сторонах).
  2. Проверить согласованность параметров шифрования и аутентификации на обеих сторонах. По возможности, указать их явным образом.
  3. Если удалённая сторона является продуктом компании Microsoft, установить режим encrypt-mppe-mode=stateful.
© Network Systems Group 2015–2024 Отдел документации