Microsoft VPN a source NAT

[Jan Houstek]

Peter Surda wrote:
> Za prve, aby to fungovalo riadne, potrebujes moduly (ip_conntrack_proto_gre,
> ip_conntrack_pptp, ip_nat_proto_gre, ip_nat_pptp).
> 
> Za druhe, mari sa mi ze MS-PPTP ma nejake obmedzenia co sa tyka zdielania IP
> adries, ale mozno sa to tvojho pripadu netyka.

PPTP je zkriplene GRE a jeho mppe sifrovani neni az tak tezke napadnout. 
Nefunguje rozumne pro klienty za NATem (coz je dnes bohuzel drtiva 
vetsina koncovych zarizeni). Presneji receno, funguje, pokud je za 
jednou adresou schovany jeden klient pristupujici ke konkretni IP. 
Maji-li tu smulu, ze se ke serveru se stejnou IP snazi pristupovat dva 
klienti za stejnou maskaradou, maji problem, protoze ten maskaradovaci 
stroj typicky nevidi do vnitrnosti GRE protokolu a neumi ty dva klienty 
odlisit.

Vrele doporucuju poridit si misto PPTP nejakou poradnou VPN, ktera bude 
jednak rozumne bezpecna, a druhak bude dostatecne funkci v kontextu 
toho, cemu se dnes mnozi nestydi rikat "internetova konektivita".

-- Honza Houstek