VPN em servidor Linux com estações windows de clientes.

Question

Boa tarde a todos.

Para Morimoto ou qualquer um que possa ajudar.

Instalei uma VPN num servidor LInux, com PPTP + gre, seguindo um tutorial muito bom do Morimoto --> https://www.hardware.com.br/artigos/277/ , est&aacute; funcionando tudo ok conforme ele diz as configura&ccedil;&otilde;es que devem ser feitas nos clientes quando Winxp/2000 e Win98.

Por&eacute;m, as op&ccedil;&otilde;es que s&atilde; obrigat&oacute;rias estarem selecionadas para funcionarem quando se utiliza Winxp/2000, acho que desabilitam a criptografia de dados, que no meu caso &eacute; o que mais necessito. Ent&atilde;o primeiramente queria saber se realmente desabilita a criptografia ou n&atilde;o.

E, se realmente desabilitar, gostaria de saber se h&aacute; como configurar algo no servidor (pptp.conf, etc) para o Servidor Linux com VPN aceitar conex&otilde;es de clientes Winxp/2000 sem mudar as op&ccedil;&otilde;es de Criptografia, usando protocolo padr&atilde;o do Windows ou ent&atilde;o usando protocolo que feche um t&uacute;nel criptografado.
Atualmente, depois que conecta (noXP), e vejo os detalhes da conex&atilde;o, ele diz ter conectado por PAP, na parte de PPP Multilink ele diz Desligado, e Compacta&ccedil;&atilde;o nenhum. 

Obs: Se com pptp n&atilde;o for poss&iacute;vel se conectar por clientes winxp/2000 com criptografia, favor me informar se existe algum outro (ipsec + freeswam por ex.) que seja poss&iacute;vel.

Muito obrigado.

Danilo.

Answer

algu&eacute;m ?

Answer

Oi danilosk8reggae, eu fui ler esse documento que voc&ecirc; citou, o documento n&atilde;o disse nada sobre desabilitar a criptografia. Na verdade o que ele faz &eacute; at&eacute; o contr&aacute;rio: numa conex&atilde;o discada, normalmente se usa o protocolo PAP, que prev&ecirc; o envio das senhas em texto aberto. A orienta&ccedil;&atilde;o que o documento d&aacute; &eacute; que se ative o protocolo CHAP, que criptografa as senhas antes de envi&aacute;-las. Mas, independente disso, a conex&atilde;o vai ser criptografada, pois ela est&aacute; sendo feita por um canal que j&aacute; &eacute; criptografado.

Se voc&ecirc; quiser, voc&ecirc; pode fazer um teste: experimente sniffar sua rede a partir de uma m&aacute;quina que n&atilde;o fa&ccedil;a parte da VPN, e vc vai ver s&oacute; pacotes de protocolo IP 47, e de vez em quando um ou outro TCP 1783, mas o conte&uacute;do dos pacotes estar&aacute; encoberto.

Answer

Oi jqueiroz, origado pela aten&ccedil;&atilde;o.

Na verdade ele diz sobre a criptografia, mas n&atilde;o no servidor, e sim no cliente, quando for Winxp ou Win2000 . Tem umas telas gr&aacute;ficas mostrando como configurar no final da tela, e s&oacute; funciona daquela forma l&aacute; mesmo, s&oacute; que dentre as op&ccedil;&otilde;es que devem ser alteradas, uma delas &eacute; mudar o Exigir criptografia, para Criptografia Opcional -  Conecte mesmo sem criptografia, ent&atilde;o &eacute; isso que eu queria saber se compromete realmente ou n&atilde;o a conex&atilde;o.
Digo isso porque depois que conecto na VPn de alguma m&aacute;quina XP, nos detalhes da conex&atilde;o ele mostra que est&aacute; conectado via PAP (que &eacute; sem criptografia). E dentre as op&ccedil;&otilde;es Permitir esses protocolos, o Morimoto diz pra selecionar tamb&eacute;m o PAP que n&atilde;o criptografa a senha.
Queria tirar essa preocupa&ccedil;&atilde;o da cabe&ccedil;a ou resolver de alguma outra forma se &eacute; q tem alguma coisa pra resolver realmente ou n&atilde;o.. =) .
Ah, vou fazer o teste do Sniffer, to baixando o Ethereal numa m&aacute;quina Linux aqui e vou Sniffar uma com Win98 conectada na VPN do servidor que mencionei que &eacute; externo, e vou testar num Windows Xp tamb&eacute;m. Valeu a dica.

Answer

ele mostra que est&aacute; conectado via PAP (que &eacute; sem criptografia). E dentre as op&ccedil;&otilde;es Permitir esses protocolos, o Morimoto diz pra selecionar tamb&eacute;m o PAP que n&atilde;o criptografa a senha. 
O lance &eacute; esse, o PAP n&atilde;o criptografa a senha, o t&uacute;nel vai ser criptografado de qualquer jeito.

Answer

Hum, entendi agora.

Eu fiz o teste e sniffei uma m&aacute;quina da minha rede interna com Win98, conectando na VPn do servidor Linux externo e peguei o usu&aacute;rio e senha numa boa na parte que ele fala do PAP. 

Agora ser&aacute; que algu&eacute;m snifando minha rede externamente (no meu ip v&aacute;lido) pegaria tamb&eacute;m?

Answer

voc&ecirc; sniffou a pr&oacute;pria m&aacute;quina, ou a partir de outra? E foi s&oacute; a senha, ou conseguiu ver alguma coisa al&eacute;m disso?

Answer

Sniffei da minha m&aacute;quina, uma outra m&aacute;quina da rede conectada na vpn de fora, de um servidor em um ip externo e em outro lugar f&iacute;sico, consegui ver o usuario e a senha na parte que ele fala de PAP .

Mas ainda estou sem ter como Sniffar meu ip v&aacute;lido pra saber se daria pra ver tamb&eacute;m. N&atilde;o sei se tem diferen&ccedil;a, apesar que acho que mesmo dentro aqui da rede interna n&atilde;o era pra ter dado pra ver o usu&aacute;rio e senha, pq tudo bem que o PAP n&atilde;o criptografa, mas se a vpn com pptp+gre funciona conforme voc&ecirc; citou, o t&uacute;nel tem que criptografar tudo que passa dentro dele, na teoria o t&uacute;nel &eacute; formado quando sai da minha placa de rede e n&atilde;o da minha rede interna n&atilde;o?

Obs: Fiz alguns teste mudando o arquivo de configura&ccedil;&atilde;o pptpd.conf mas n&atilde;o conseguia conectar de jeito nenhum sem ser s&oacute; com as tr&ecirc;s op&ccedil;&otilde;es que o Morimoto fala pra deixar habilitadas.

Obrigado .

Answer

Bom dia &aacute; todos.

Algu&eacute;m sabe como configurar o pptpd.conf para funcionar com Chap ?

Da forma que explica o tutorial do Morimoto s&oacute; funciona com PAP quando o cliente &eacute; Windows.

Obrigado.

Ferramentas

Mover Tópico