... Bezpečně to ve vlastní sítí považují dosti.
Aha tak že paranoici si nastaví fw. pravidla pro povolení PPtP tunelu tak, že budou platit jen pro příchozí provoz z vlastní sítě, ostatní ho povolí i z WANu, aby v případě nutnosti fungovaly backup linky. Takhle to bylo myšleno?
A hodně zajímavá myšlenka je ta, nad kterou jsem doteď neuvažoval : použít PPtP tunel jako řešení dostupnosti veřejné IP zákazníka při výpadu trasy někde mezi iGW a koncovým bodem zákazníka (teda pokud má nějakou backup linku). Může mít třeba menší rychlost, ale pojede na "svých" IP adresách.
Když je mikrotik jako koncový bod u zákazníka, je to easy. Ale dá se přes PPtP tunel řešit situace, když zákazník nechce jako firewall mého mikrotika, ale chce použít nějaký svůj hardwarový box? Tj. veřejku(-ky) z PPtP tunelu dostat přímo až do zákazníkova zařízení?
Já vím že to je milionkrát omleté téma, ale chápu dobře, že pokud hlavní router dělá src/dst nat pro zákazníky s veřejkou, maškarádu pro ty ostatní, tak uděláš tunel na WAN port a tunelem posíláš vybrané IP adresy z rozsahu 85.85.85.0/24?
To sice funguje s PPtP tunelem, ale je otázkou nakolik v dnešní době je bezpečné PPtP ještě používat.
Ano.
Bezpečně to ve vlastní sítí považují dosti.
Z venku běžně l2tp+ipsec.
I to pptp pokud je to prez backup linku třeba na hodinu dvě do roka tak to považují za malé riziko.
Samozřejmě kdo chce bezpečnost použije se l2tp s ipsec ale musí mít na to hw aby to zvládl a tudíž si to i zaplatit.
Hromada firem si od nás pořizuje verejku jenom kvůli propojeni vlastních poboček zkrze tunely, a kolikrát mu přijde dosti zbytečně aby se prez l2tp+ipsec ještě posílal eoip nebo jiný tunel na jejich gw ale hold to tak je.....