Možná ještě uvést k čema a jak se ta VPNka používá.
Pokud to je jen obálka pro vzdálenou plichu a podobné, tak máme nasazeno NX v placené verzi ( http://www.nomachine.com/ - existuje i free klon FreeNX nebo X2go, ale tne je dost jednoúčelový). Fakticky je to SSH tunel.
Kde to bylo nasazneo právě na takovémto, kde IPsec z klientských noťasů pořád padal (nativní L2TP/IPsec klient v XP/7), po použití NX je klid. 400 ms je už trošku na hraně, záleží právě, k čemu by to bylo. Jak jsme pak zjistil, tak stejné řešení používá i O2 pro své pobíhající techniky, akorát oni mají NX server na Sunech pod Solarisem, my pod Linuchem.
Pokud jde pouze o RDP přístup, tak pro Win7 (asi i XP SP3) klienta a server W2K3R2 a výš, tak jde přímo RDP spojení korektně nastavit, aby bylo bezpečné a použilo TLS obálku nativně.
V čem nevyhovuje zabezpečení PPP? Tím máš na mysli asi PPTP klienta ve woknech nebo holé L2TP (po vypnutí IPsec obálky)? Ano, pokud ověřování dělá to Cisco nebo routerboard přímo, tka je problém. Pokud máš Radius server a ověření deleguješ na něj, tak můžeš použít EAP autorizaci místo holého MS-CHAPv1/2 a to už je jiné. Vlastní bezpečnost RC4 proudové šifry je pak pro běžný komerční sektor víc než dostačující, slabá je ta ověřovací fáze, což při použití EAP s certifikáty padá.
U Win7 máš i SSTP klienta, což je PPP skrz HTTPS kanál, ten je bezpečnostně v pořádku i při použití MS-CHAPv1/2, neboť je už tunelováno uvnitř TLS obálky (pokud na serveur trošku omeíš pokusy o hádání hesel).
Jo, jediné s čím jsme si trošku nabil držku je, že NX (klient pro Windows) nepodporuje IPv6 spojení. Win7 jako klient pro své nativní VPN klienty už Ipv6 použit umí, ale to zase neumí Mikrotik jako server... Ale s tím byl probém v číně, kde bylo k mání IPv6 only připojení.
