Для перемещения по дереву справки используйте строки заголовка.

Справка по NSG Linux 2.1.6
Дерево команд: _common-nodes.ppp.main.encrypt-mppe

Что это такое?

Это шифрование MPPE.

Зачем это нужно?

Чтобы разрешить и потребовать согласование шифрования MPPE (Microsoft Point-to-Point Encryption) для защиты передаваемых данных.

Как это настроить?

40
Обязательно использовать шифрование с длиной ключа 40 бит.
128
Обязательно использовать шифрование с длиной ключа 128 бит.
auto
Автоматическое согласование факта шифрования и длины ключа.
no
Не использовать шифрование.

В режиме auto выбирается максимально безопасный режим передачи, т.е. шифрование включается всегда, если оно допускается противоположной стороной, и длина ключа устанавливается максимальной из разрешённых для обеих сторон. В реализациях MPPE других производителей есть различия, приводящие к тому, что в некоторых случаях эти продукты при соединении друг с другом выбирают режим без шифрования или с минимальной длиной ключа. Во избежание проблем, рекомендуется всегда указывать режим шифрования явным образом на обеих сторонах.

Инициатором аутентификации при этом может быть любая сторона. Возможности использования MPPE связаны с выбранным протоколом аутентификации:

ПРИМЕЧАНИЕ. C точки зрения протокола PPP, MPPE есть частный случай сжатия данных, поэтому для его работы необходимо, в первую очередь, установить data-compression=true.
ПРИМЕЧАНИЕ. Протокол MPPE на сегодняшний день имеет доказанные уязвимости и не может считаться безопасным для критически важных данных. Рекомендуется использовать его только для простых задач, не требующих высокой степени защищённости. В остальных случаях следует предпочесть Wireguard (наиболее современный и защищённый тип туннелей, рекомендуется для новых инсталляций), IPsec или туннели 4 уровня на основе SSL (STunnel, OpenVPN).

Что делать, если это не работает?

  1. Смотреть журнал порта (желательно — на обеих сторонах).
  2. Проверить согласованность параметров шифрования и аутентификации на обеих сторонах. По возможности, указать их явным образом.
  3. Если удалённая сторона является продуктом компании Microsoft, установить режим encrypt-mppe-mode=stateful.

© Network Systems Group 2015–2024 Отдел документации