Configurando uma VPN no Windows 2008 R2, devo usar o PPTP ou o SSTP?

Question

Configurando uma VPN no Windows 2008 R2, devo usar o PPTP ou o SSTP?

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)

1

Estou configurando um servidor de teste VPN no Windows 2008 R2. Eu pareço lembrar que o PPTP não é ideal, como em um firewall da Cisco você precisa permitir uma grande variedade de portas abertas (com o protocolo GRE também?)

De qualquer forma, minhas lembranças vagas não são brilhantes, então gostaria de saber qual é o protocolo mais seguro para configurar o acesso VPN remoto (de usuários discando de casa, portanto não um túnel VPN ou qualquer coisa).

ssl vpn pptp windows-server-2008-r2 sstp

por kafka 03.10.2012 / 15:19

3 respostas

Tags ssl vpn pptp windows-server-2008-r2 sstp

Obtenha arquitetura do SO remotamente via PowerShell ambos ssl e não-ssl em uma única porta

score 3 · Answer 1

Você provavelmente deve usar o IKEv2 como primário se tiver clientes Windows Vista / 7 e 2008r2, com um retorno ao SSTP se, por qualquer razão, a porta UDP 500 estiver bloqueada no site do cliente.

O SSTP tem um grave problema de desempenho, pois você obtém o TCP-in-TCP para a maioria do tráfego de dados. Isso faz com que a camada TCP "interna" seja mal informada sobre a perda real de pacotes na rede, resultando em grandes atrasos ou desconexões. Consulte este link para obter informações detalhadas sobre esse assunto.

Nossos próprios testes mostraram o desempenho de SSTP terrivelmente em redes com perdas, particularmente redes sem fio em hotéis, lanchonetes, banda larga móvel, etc. Portanto, escolhemos inicialmente o IKEv2 como nosso mecanismo principal com o SSTP como alternativa. Nem o SSTP nem o IKEv2 exigem a implantação de certificado cliente , mas exigem que todos os clientes confiem no certificado do servidor VPN. O certificado do servidor VPN é facilmente implantado por meio da Política de Grupo.

Outro problema comum ao PPTP, SSTP e IKEv2 nas implementações do Windows é que eles não verificam se o computador do cliente é confiável, apenas que o usuário que está se conectando sabe uma senha e tem VPN permissões. Esse problema nos levou a voltar ao L2TP com a implantação do certificado do lado do cliente usando a Autoridade de Certificação da Microsoft para emitir certificados para máquinas confiáveis. Você pode configurar o NAT traversal para L2TP com uma configuração de registro (novamente implantada através da Diretiva de Grupo).

score 2 · Answer 2

Não use o PPTP - é completamente inseguro se você estiver usando o protocolo MSChapv2. link

Se você estiver usando um método de criptografia diferente, como certificados, é muito mais trabalhoso configurar, eliminando qualquer benefício do PPTP.

Estou planejando substituir o PPTP em minha própria organização pelo OpenVPN. O IPSec / L2TP é outra boa opção.

score 1 · Answer 3

Se você tiver um firewall Cisco mais recente, poderá usar os recursos de SSL VPN se licenciá-lo. Você também pode usar a configuração cliente / servidor Cisco VPN normal.

Para usar o W2k8 R2, recomendo ir a rota SSTP pelo PPTP. O PPTP pode ser mais fácil de implantar, mas, à parte a segurança, há poucos lugares hoje em dia (outros negócios, hotéis, etc.) que não permitem a conexão com um deles (saída) que frustra funcionários, convidados.