我正在Windows 2008 R2上设置一个VPNtesting服务器。 我似乎记得PPTP并不理想,因为在思科防火墙上,您需要允许相当多的端口打开(使用GRE协议呢?)
无论如何,我对此的模糊记忆并不是很辉煌,所以我想知道什么是更安全的远程VPN访问协议(从用户从家里拨入,所以不是VPN隧道或任何东西)。
如果您有Windows Vista / 7客户端和2008r2服务器,则应该使用IKEv2作为主服务器,如果出于某种原因UDP端口500在客户端站点被阻止,则可以使用Ipsec作为SSTP。
SSTP有一个严重的性能问题,因为你在大多数数据通信中获得TCP-in-TCP。 这导致“内部”TCP层被错误地通知networking上的实际分组丢失,导致巨大的延迟或断开。 有关该问题的详细信息,请参阅此链接 。
我们自己的testing表明,SSTP在有损networking,特别是酒店,咖啡店,移动宽带等无线networking上performance极其糟糕。所以我们selectIKEv2作为我们的主要机制,SSTP作为后备。 SSTP或IKEv2都不需要部署客户端证书,但它们要求所有客户端都信任VPN服务器的证书。 VPN服务器证书很容易通过组策略部署。
在Windows实现中,PPTP,SSTP和IKEv2的另一个常见问题是,它们不validation客户端计算机是否受信任,只是连接的用户知道密码并具有VPN权限。 这个问题最终导致我们回到使用Microsoft证书颁发机构向客户端证书部署颁发证书给可信计算机的L2TP。 您可以使用registry设置(通过组策略再次部署)为L2TPconfigurationNAT穿越。
不要使用PPTP – 如果您使用MSChapv2协议,则完全不安全。 https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/
如果您使用的是不同的encryption方法(如证书),则需要设置更多的工作,首先避免使用PPTP的任何好处。
我打算用OpenVPNreplace我自己组织中的PPTP。 IPSec / L2TP是另一个不错的select。
如果您拥有较新的思科防火墙,则可以使用SSL VPNfunction。 您也可以使用普通的Cisco VPN客户端/服务器设置。
对于使用W2k8 R2,我build议通过PPTP进行SSTP路由。 PPTP可能更容易部署,但除了安全性外,现在有不less地方(其他商业,酒店等)不允许你连接到他们(出站),这阻碍了员工,客人。