Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Sonywalkman

Интернет без VPN-соединения

Отношение к VPN  

1 236 пользователей проголосовало

У вас нет прав на голосование в этом опросе, или на просмотр результатов опроса. Пожалуйста, войдите или зарегистрируйтесь для голосования в опросе.

Рекомендованные сообщения

Кстати, я подумал, что с VPN им было бы легче - я один раз настроил бы им подключение и им не пришлось бы выяснять MAC каждого нового устройства, что для них сделать абсолютно нереально.

привязка к маку как бе не обязательна...

 

Все таки вопрос с авторизацией сложный...

Вот бы вообще сделать так, что если кто то чужой пытается на твоей линии законнектиться, или под твоим логином - его бы током било, вольт эдак 700-900... а при попытке "врезаться" в кабель - можно и все 3000...

простите за оффтоп.

 

P.S. был 12 апреля на пресс-конференции Билайна в Орле, поговорил с директорами-инженерами-умными_дядьками... По их словам ВПН не из за того что технически адово сложно что то другое забацать, а вроде как раз таки из за безопасности, авторизации, контроля и т.п.

Стоимость организации решения "бить током" многотысячекратно выше потерь от таких врезаний :) Это даже без учета того что будет в случае если действительно кого-то стукнет :)

 

Пресс-конференция с инженерами??? :rolleyes: Это где такое??? Обычно на пресс-конференции бывают либо продажники либо пиар-менеджеры!

 

а что удобного в авторизации через браузер? аргументируйте =) и как быть тем, у кого несколько устройств? а как та же самая безопасность?

Как раз авторизация через браузер есть оптимальное решение с точки зрения безопасности.

Появился левый мак на порту - надо авторизовываться. Иначе не пускать в инет.

 

У кого несколько девайсов - роутер в помощь. С любого компа авторизовался и на всех девайсах появились интернетики

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Стоимость организации решения "бить током" многотысячекратно выше потерь от таких врезаний :) Это даже без учета того что будет в случае если действительно кого-то стукнет :)

 

Пресс-конференция с инженерами??? :rolleyes: Это где такое??? Обычно на пресс-конференции бывают либо продажники либо пиар-менеджеры!

 

Как раз авторизация через браузер есть оптимальное решение с точки зрения безопасности.

Появился левый мак на порту - надо авторизовываться. Иначе не пускать в инет.

 

У кого несколько девайсов - роутер в помощь. С любого компа авторизовался и на всех девайсах появились интернетики

 

 

про ток это я пошутил.

Пресс-конфа была с пиарастами как раз, но я там был вообще не по теме конференции, а по другим не менее интересным вопросам. Ну и удалось пообщаться с директором нашего подразделения Билайна, он же в свою очередь любезно выцепил персонально для меня пару ведущих_инженегров/умных_дядек/начальников_всяких_железяк =)

Ну и в числе прочего я спросил про L2TP и многое другое... ;)

 

 

и что же в авторизации через браузер оптимального? а вот "У кого несколько девайсов - роутер в помощь. С любого компа авторизовался и на всех девайсах появились интернетики" - феерический ад. То есть мне каждый раз надо будет авторизовываться и тд и тп? нифига это не удобно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Пресс-конфа была с пиарастами как раз, но я там был вообще не по теме конференции, а по другим не менее интересным вопросам. Ну и удалось пообщаться с директором нашего подразделения Билайна, он же в свою очередь любезно выцепил персонально для меня пару ведущих_инженегров/умных_дядек/начальников_всяких_железяк =)

Ну и в числе прочего я спросил про L2TP и многое другое... ;)

А, ну тогда ясно :) На самом деле такие вопросы решаются на уровне Штаб-Квартиры а не на местном уровне, поэтому если будет изменена схема авторизации то она будет меняться в рамках РФ.

 

и что же в авторизации через браузер оптимального? а вот "У кого несколько девайсов - роутер в помощь. С любого компа авторизовался и на всех девайсах появились интернетики" - феерический ад. То есть мне каждый раз надо будет авторизовываться и тд и тп? нифига это не удобно.

Да, "каждый раз надо будет авторизовываться", но этот каждый раз наступает когда меняется устройство или его мак-адрес.

Ну т.е. поменял компьютер - авторизовался.

В случае роутера придется авторизоваться один раз при первом его включении.

 

Не удобно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не удобно?

 

Не очень удобно, все же лучше доверить авторизацию и т.п. железке. Ибо и ТВ еще есть и какие то еще "обстоятельства" наверняка выплывут(напр выключение/перезагрузка роутера по причине наличия отсутствия электроэнергии)

 

Ну понятно что РЕШАЮТСЯ такие вопросы не на местном уровне) Однако ж пока что вроде как особо кошерной альтернативы l2tp Полосатые не видят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Написали же вам, что в данном случае привязка сессии идет к мак адресу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Написали же вам, что в данном случае привязка сессии идет к мак адресу.

а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Написали же вам, что в данном случае привязка сессии идет к мак адресу.

а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

 

 

Почему чукча не читатель, но писатель? Логин и пароль не в роутере набирается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Написали же вам, что в данном случае привязка сессии идет к мак адресу.

а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

 

 

Почему чукча не читатель, но писатель? Логин и пароль не в роутере набирается.

 

вы меня не хотите понимать, видимо.

я о том речь и веду, что логин и пароль вбиваются НЕ В РОУТЕРЕ. а если сессия разорвалась, а я с мобилки, подцепившись по wi-fi, пытаюсь выйти? вспоминай логин/пароль. или с другого компьютера(у нас в доме их 3) так же. Или с планшета.

Не айс это как то. Вроде бы "мелочь", но неприятная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

Когда ты авторизовался в веб-браузере, то в БД создается запись "Порт X:свитч Y:мак Z:абонент M".

Соответственно если совпадают параметры Z,X,Y, то считается что это хочет попасть в интернетик абонент M.

Если один из параметров поменялся - то это не понятно что за абонент и надо бы узнать кто это - выдается Web-форма авторизации.

 

Соответственно в случае использования роутера сеть будет видеть только мак роутера. Поэтому с роутером никаких проблем не возникнет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

Когда ты авторизовался в веб-браузере, то в БД создается запись "Порт X:свитч Y:мак Z:абонент M".

Соответственно если совпадают параметры Z,X,Y, то считается что это хочет попасть в интернетик абонент M.

Если один из параметров поменялся - то это не понятно что за абонент и надо бы узнать кто это - выдается Web-форма авторизации.

 

Соответственно в случае использования роутера сеть будет видеть только мак роутера. Поэтому с роутером никаких проблем не возникнет.

 

Вот так бы сразу и расписали ;) тогда, конечно, ок. Не считая того, что мак-адрес легко подделывается)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вот так бы сразу и расписали ;) тогда, конечно, ок. Не считая того, что мак-адрес легко подделывается)

Я кстати теперь понял почему тебе "пара ведущих_инженегров/умных_дядек/начальников_всяких_железяк" сказали что l2tp используется безопасности ради :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вот так бы сразу и расписали ;) тогда, конечно, ок. Не считая того, что мак-адрес легко подделывается)

Я кстати теперь понял почему тебе "пара ведущих_инженегров/умных_дядек/начальников_всяких_железяк" сказали что l2tp используется безопасности ради :)

 

да да, именно поэтому ;) ведь l2tp(ага, без шифрования) - это самая безопасная технология

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вот так бы сразу и расписали ;) тогда, конечно, ок. Не считая того, что мак-адрес легко подделывается)

Я кстати теперь понял почему тебе "пара ведущих_инженегров/умных_дядек/начальников_всяких_железяк" сказали что l2tp используется безопасности ради :)

 

да да, именно поэтому ;) ведь l2tp(ага, без шифрования) - это самая безопасная технология

 

Как же она вас обезопасит от такого явления как http://lurkmore.to/%D0%A5%D0%B0%D0%BB%D1%8F%D0%B2%D0%BD%D1%8B%D0%B9_%D1%81%D0%BE%D1%81%D0%B5%D0%B4%D1%81%D0%BA%D0%B8%D0%B9_%D0%B2%D0%B0%D0%B9%D1%84%D0%B0%D0%B9?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Кстати, я подумал, что с VPN им было бы легче - я один раз настроил бы им подключение и им не пришлось бы выяснять MAC каждого нового устройства, что для них сделать абсолютно нереально.

привязка к маку как бе не обязательна...

Вполне верю.

Просто тут многие утверждают, что именно настройка авторизации в VPN представляет основную сложность для клиента.

Я и привёл пример, когда никакого VPN нет, а клиент всё равно подключиться не может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Вот так бы сразу и расписали ;) тогда, конечно, ок. Не считая того, что мак-адрес легко подделывается)

Я кстати теперь понял почему тебе "пара ведущих_инженегров/умных_дядек/начальников_всяких_железяк" сказали что l2tp используется безопасности ради :)

 

да да, именно поэтому ;) ведь l2tp(ага, без шифрования) - это самая безопасная технология

 

Как же она вас обезопасит от такого явления как http://lurkmore.to/%D0%A5%D0%B0%D0%BB%D1%8F%D0%B2%D0%BD%D1%8B%D0%B9_%D1%81%D0%BE%D1%81%D0%B5%D0%B4%D1%81%D0%BA%D0%B8%D0%B9_%D0%B2%D0%B0%D0%B9%D1%84%D0%B0%D0%B9?

 

от этого явления ничто не спасет нуникаквоще

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

Когда ты авторизовался в веб-браузере, то в БД создается запись "Порт X:свитч Y:мак Z:абонент M".

Соответственно если совпадают параметры Z,X,Y, то считается что это хочет попасть в интернетик абонент M.

Если один из параметров поменялся - то это не понятно что за абонент и надо бы узнать кто это - выдается Web-форма авторизации.

 

Соответственно в случае использования роутера сеть будет видеть только мак роутера. Поэтому с роутером никаких проблем не возникнет.

И умолчали про подключение "как_все_хотят через_свитч/точку доступа" ;)

Авторизация с каждого отдельно подключенного пк?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

Когда ты авторизовался в веб-браузере, то в БД создается запись "Порт X:свитч Y:мак Z:абонент M".

Соответственно если совпадают параметры Z,X,Y, то считается что это хочет попасть в интернетик абонент M.

Если один из параметров поменялся - то это не понятно что за абонент и надо бы узнать кто это - выдается Web-форма авторизации.

 

Соответственно в случае использования роутера сеть будет видеть только мак роутера. Поэтому с роутером никаких проблем не возникнет.

И умолчали про подключение "как_все_хотят через_свитч/точку доступа" ;)

Авторизация с каждого отдельно подключенного пк?

За хотелками сюда - http://b2b.beeline.ru/index.wbp

Там исполняют любые желания заказчика :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а если сессия разорвана? роутер сам в веб-морде ж не авторизируется

Когда ты авторизовался в веб-браузере, то в БД создается запись "Порт X:свитч Y:мак Z:абонент M".

Соответственно если совпадают параметры Z,X,Y, то считается что это хочет попасть в интернетик абонент M.

Если один из параметров поменялся - то это не понятно что за абонент и надо бы узнать кто это - выдается Web-форма авторизации.

 

Соответственно в случае использования роутера сеть будет видеть только мак роутера. Поэтому с роутером никаких проблем не возникнет.

И умолчали про подключение "как_все_хотят через_свитч/точку доступа" ;)

Авторизация с каждого отдельно подключенного пк?

 

Авторизует всех после первого авторизовавшегося компа за роутером.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Авторизует всех после первого авторизовавшегося компа за роутером.

При чем здесь роутер? В случае с роутером и мак и ип будет 1 (опять же если по дефолту = ipv4 NAT), а что делать в том случае, который вы цитируете?

Тот же лимон много где хвалят за то, что можно коммутатором/ТД подцепить до 5 устройств на порт свитча доступа оператора.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Авторизует всех после первого авторизовавшегося компа за роутером.

При чем здесь роутер? В случае с роутером и мак и ип будет 1 (опять же если по дефолту = ipv4 NAT), а что делать в том случае, который вы цитируете?

Тот же лимон много где хвалят за то, что можно коммутатором/ТД подцепить до 5 устройств на порт свитча доступа оператора.

 

Прошу прощения, не смогу обсуждать с вами на равных технические тонкости, но и тот и тот вариант выглядит на голову круче vpn smile.gifsmile.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошу прощения, не смогу обсуждать с вами на равных технические тонкости, но и тот и тот вариант выглядит на голову круче vpn smile.gifsmile.gif

1 IP для устройств юзера на порту свитча уровня доступа - более простой для провайдера и опять же менее удобный для пользователя способ. Ему тогда все равно требуется NAT (читать роутер), но это же все равно не решает проблемы с авторизацией, все равно хоть раз требуется где-то нажать "пустите меня в антырнет" и соотв-но желательно логин-пароль. ВПН в этом плане - технология "в коробке", потому как авторизация через веб-страницу - не совсем секьюрно (ну только с шифрованием тогда; однако чтобы юзер не набирал каждый раз пароль его к тому же нужно сохранять, сохранять ес-но будет во временных файлах, хотя и пароль впн скорее всего можно свободно достать из конфига).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кому конкретно есть что скрывать-то? О какой такой безопасности речь? От каких таких атак нас так заботливо обезопашивает VPN- ка что нужно доплатить 2 куска за продвинутую железяку?

на дебиане как показано выше прописано в конфиге, да. Но здравый смысл подсказывает мне что для физиков-домохозяек безопасность, которую предоставляет VPN - избыточна, в то время как за роутером, где никакого VPN уже естественно нет, а висит все на WEP c открытым SSID или вообще open о безопасности VPN-а говорить уже неуместно и даже смешно. Все попытки украсть драгоценный 450 рублевый канал у физика путем врезки в канал и т.п. палева выглядит еще смешнее.

Например у меня в квартире сканер ловит в различных точках до 30 сетей. Из них как минимум 1-2 вообще открытых, а еще пара на WEP который при желании ломается на раз. И это замечу не центр и малоэтажная застройка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кому конкретно есть что скрывать-то? О какой такой безопасности речь? От каких таких атак нас так заботливо обезопашивает VPN- ка что нужно доплатить 2 куска за продвинутую железяку?

на дебиане как показано выше прописано в конфиге, да. Но здравый смысл подсказывает мне что для физиков-домохозяек безопасность, которую предоставляет VPN - избыточна, в то время как за роутером, где никакого VPN уже естественно нет, а висит все на WEP c открытым SSID или вообще open о безопасности VPN-а говорить уже неуместно и даже смешно. Все попытки украсть драгоценный 450 рублевый канал у физика путем врезки в канал и т.п. палева выглядит еще смешнее.

Например у меня в квартире сканер ловит в различных точках до 30 сетей. Из них как минимум 1-2 вообще открытых, а еще пара на WEP который при желании ломается на раз. И это замечу не центр и малоэтажная застройка.

2 куска совсем не за это ес-но платиться, но я еще раз говорю НАДО КАК-ТО АВТОРИЗОВАТЬ. КАК? Вбивать каждый раз в веб-страничке свои данные (или выбирать уже вбитые)? Это что, сильно удобно? У тех у кого роутер сейчас вообще ничего не "вбивают", роутер сам поднимает сессию. В случае с веб-страницей надо будет все равно каждый раз при запросе авторизации ее снова вбивать. А сессии провайдеру надо будет просто обязательно периодически сбрасывать (хоть даже и раз в день), чтобы пул использованных ip-адресов не рос бесконечно. Может конечно и можно переделать dhcp на практически выдачу статики (то есть определенный IP определенному порту определенного коммутатора), но это уже опять частности - надо рассматривать подробнее и т.п.

ВПН имеет кое-какое преимущество в безопасности - если злоумышленник поднимает ваш впн, то ваш обязательно прервется, а это сигнал юзеру позвонить в ТП, где подобная проблема будет очевидна.

Могу конечно придумать способ взлома и пользования чужим впн-интернетом навскидку, но сильно она замороченная.

А открытые точки доступа и прочее - это все с больной головы на здоровую. Оператору надо озаботиться хоть какой-то секьюрностью подключения в своей ЗО, ему же меньше мороки потом в поисках кулхацкеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 куска совсем не за это ес-но платиться, но я еще раз говорю НАДО КАК-ТО АВТОРИЗОВАТЬ. КАК? Вбивать каждый раз в веб-страничке свои данные (или выбирать уже вбитые)? Это что, сильно удобно? У тех у кого роутер сейчас вообще ничего не "вбивают", роутер сам поднимает сессию. В случае с веб-страницей надо будет все равно каждый раз при запросе авторизации ее снова вбивать. А сессии провайдеру надо будет просто обязательно периодически сбрасывать (хоть даже и раз в день), чтобы пул использованных ip-адресов не рос бесконечно. Может конечно и можно переделать dhcp на практически выдачу статики (то есть определенный IP определенному порту определенного коммутатора), но это уже опять частности - надо рассматривать подробнее и т.п.

ВПН имеет кое-какое преимущество в безопасности - если злоумышленник поднимает ваш впн, то ваш обязательно прервется, а это сигнал юзеру позвонить в ТП, где подобная проблема будет очевидна.

 

Ну если авторизуешься не по впн т.е. не "клиент-сервено", а например по связке мак-свич-абонент, то соответственно о каком перенаборе идет речь? Наоборот сессия практически не ограничена, главное не менять элементы в схеме. Спрашивал у нашей техподдержки, с поправкой на собственное "невсепонимание", в целом, так и есть и работает массово месяцами, без переавторизации.smile.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё одна проблема конкретно l2tp это её сырость и мало распространённость в мире. По этому и железки специально подпиливают для билайна и в альтернативных ОС (ну и не только) столько трудностей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оператору надо озаботиться хоть какой-то секьюрностью подключения в своей ЗО, ему же меньше мороки потом в поисках кулхацкеров.

 

 

 

Пожалуйста, но зачем же реализовывать это за счет пользователя?

 

И сколько же другие провайдеры все вместе взятые имеют исков и претензий при потере секретности данных при передаче через незашифрованное соединение?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оператору надо озаботиться хоть какой-то секьюрностью подключения в своей ЗО, ему же меньше мороки потом в поисках кулхацкеров.

Пожалуйста, но зачем же реализовывать это за счет пользователя?

 

И сколько же другие провайдеры все вместе взятые имеют исков и претензий при потере секретности данных при передаче через незашифрованное соединение?

А при чем тут шифрование? Смысл не в защите данных пользователя, а в защите его возможности авторизоваться в сети.

И исков наверняка не будет - домохозяйка не знает что такое IP-адрес и провайдеру просто нет нужды объяснять, что другой пользователь воспользовался вашим интернетом, он просто пофиксит и скажет "проверьте, все работает?". Даже пользователю с хорошими знаниями будет проблематично "от себя" правильно продиагностировать подобную проблему.

И поймите, я не "защищаю впн", но нужно же давать какую-то авторизацию поудобнее для пользователя. Ну никак это не привязка к мак-адресу, это пережиток пионернетов, который к тому же весьма уязвим для злоумышленников.

И еще - надоело мне тут писать, тема бестолковая и уже не первый раз поднимается. Дальнейшее продолжение разговора вижу бессмысленным и не хочу тратить на него время.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Оператору надо озаботиться хоть какой-то секьюрностью подключения в своей ЗО, ему же меньше мороки потом в поисках кулхацкеров.

Пожалуйста, но зачем же реализовывать это за счет пользователя?

 

И сколько же другие провайдеры все вместе взятые имеют исков и претензий при потере секретности данных при передаче через незашифрованное соединение?

А при чем тут шифрование? Смысл не в защите данных пользователя, а в защите его возможности авторизоваться в сети.

И исков наверняка не будет - домохозяйка не знает что такое IP-адрес и провайдеру просто нет нужды объяснять, что другой пользователь воспользовался вашим интернетом, он просто пофиксит и скажет "проверьте, все работает?". Даже пользователю с хорошими знаниями будет проблематично "от себя" правильно продиагностировать подобную проблему.

И поймите, я не "защищаю впн", но нужно же давать какую-то авторизацию поудобнее для пользователя. Ну никак это не привязка к мак-адресу, это пережиток пионернетов, который к тому же весьма уязвим для злоумышленников.

 

А пользователь может авторизоватся и там и там по логину и и паролю. Кому они нужны-то не понимаю вас ?

 

 

 

 

Ещё одна проблема конкретно l2tp это её сырость и мало распространённость в мире. По этому и железки специально подпиливают для билайна и в альтернативных ОС (ну и не только) столько трудностей.

 

Да в итоге как уже говорилось в этой теме, даже на тех прошивках, на которых опция есть, все через пень-колоду может работать, т.к. полукустарные прошивки. ну и конечно все эти ребуты-перешивки ничем хорошем на сроке службы оборудования не отражаются.sad.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А пользователь может авторизоватся и там и там по логину и и паролю. Кому они нужны-то не понимаю вас ?

На веб странице?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А пользователь может авторизоватся и там и там по логину и и паролю. Кому они нужны-то не понимаю вас ?

На веб странице?

 

На веб странице, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.