Ожидание подключения ppp клиента: Двухфакторная аутентификация пользователей VPN посредством MikroTik и SMS / Хабр

Двухфакторная аутентификация пользователей VPN посредством MikroTik и SMS / Хабр

Здравствуйте коллеги! Сегодня, когда накал страстей вокруг «удалёнки» немного спал, большинство админов победило задачу удаленного доступа сотрудников к корпоративной сети, пришло время поделиться моей давней наработкой по повышению безопасности VPN. В этой статье не будет модных ныне IPSec IKEv2 и xAuth. Речь пойдет о построении системы

двухфакторной аутентификации (2FA)

пользователей VPN, когда MikroTik выступает в качестве VPN-сервера. А именно, когда используются «классические» протоколы типа PPP.



Сегодня я расскажу как защитить MikroTik PPP-VPN даже в случае «угона» пользовательской учётки. Когда эта схема была внедрена одному из моих заказчиков, он охарактеризовал его коротко «ну, теперь прямо как в банке!».

Метод не использует внешних сервисов-аутентификаторов. Задачи выполняются внутренними средствами самого маршрутизатора. Без затрат для подключаемого клиента. Способ работает как для клиентов PC, так и для мобильных устройств.

Общая схема защиты выглядит следующим образом:

  1. Внутренний IP-адрес пользователя успешно подключившегося к в VPN-серверу, автоматически попадает в «серый» список.
  2. Событие подключения автоматически генерирует одноразовый код, который пересылается пользователю одним из доступных способов.
  3. Адресам, находящимся в этом списке ограничен доступ к ресурсам локальной сети, за исключением сервиса «аутентификатора», ожидающего получение одноразового кода-пароля.
  4. После предъявления кода, пользователю открывается доступ к внутренним ресурсам сети.

Первая

самая маленькая проблема с которой пришлось столкнуться, это хранение контактной информации о пользователе для пересылки ему кода 2FA. Поскольку, произвольных полей данных, соответствующих пользователям в микротике создать нельзя, было использовано существующее поле «comment»:

/ppp secrets add name=Petrov [email protected]! comment=«89876543210»

Вторая проблема оказалась посерьёзнее — выбор пути и способа доставки кода. В текущий момент реализованы три схемы: а) SMS через USB-модем б) e-mail в) SMS via e-mail доступный для корпоративных клиентов красного сотового оператора.

Да, схемы с SMS приносят затраты. Но если разобраться, «безопасность это всегда про деньги» (с).
Схема с e-mail лично мне не нравится. Не потому, что требует доступности почтового сервера для аутентифицируемого клиента — это не проблема разделить трафик. Однако, если клиент беспечно сохранял пароли на и на vpn и на почту в браузере, а затем потерял свой ноутбук, злоумышленник получит с него полный доступ к корпоративной сети.

Итак, решено — доставляем одноразовый код при помощи SMS-сообщений.

Третья проблема была в том, где и как в MikroTik сгенерировать псевдослучайный код для 2FA. В скриптовом языке RouterOS нет аналога функции random() и прежде я видел несколько костыльных скриптовых генераторов псевдослучайных чисел. Ни один из них мне не понравился по разным причинам.

На самом деле, генератор псевдослучайных последовательностей в MikroTik ЕСТЬ! Припрятан он от поверхностного взгляда в контексте /certificates scep-server. Первый способ

получить одноразовый пароль легок и прост — командой /certificates scep-server otp generate. Если выполнить простую операцию присвоения переменной, то мы получим значение типа array, которое можно использовать в дальнейшем в скриптах.

Второй способ получения одноразового пароля который тоже легко применить — использование внешнего сервиса random.org для генерации желаемого вида последовательности псевдослучайных чисел. Вот упрощенный консольный пример получения данных в переменную:

Код

:global rnd1 [:pick ([/tool fetch url="https://www.random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user ]->"da
ta") 1 6]
:put $rnd1

Запрос сформатированный для консоли (в теле скрипта потребуется экранирование спецсимволов) получает строку из шести символов-цифр в переменную $rnd1. Следующая команда «put» просто отображает переменную в консоли MikroTik.

Четвертая проблема, которую пришлось оперативно решать — это каким образом и куда подключенный клиент будет передавать свой одноразовый код на второй стадии аутентификации.

На роутере MikroTik должна существовать служба способная принять код и сопоставить его с конкретным клиентом. При совпадении предоставленного кода с ожидаемым адрес клиента должен попасть в некий «белый» список, адресам из которого разрешен доступ к внутренней сети компании.

Ввиду небогатого выбора служб, было принято решение принимать коды по http при помощи встроенного в микротик webproxy. А поскольку фаервол умеет работать с динамическими списками IP-адресов, то поиск кода, сопоставление его с клиентским IP и внесение в «белый» список выполняет именно фаервол посредством Layer7 regexp. Самому маршрутизатору присвоено условное DNS-имя «gw.local», на нем создана статическая А-запись для выдачи PPP-клиентам:

DNS

/ip dns static add name=gw.local address=172.31.1.1


Захват на прокси трафика непроверенных клиентов:

/ip firewall nat add chain=dstnat dst-port=80,443 in-interface=2fa protocol=tcp !src-address-list=2fa_approved action=redirect to-ports=3128

В данном случае у прокси две функции.

1. Открывать tcp-соединения с клиентами;

2. В случае успешной авторизации переадресовать клиентский браузер на страничку или картинку извещающую об успешном прохождении аутентификации:

Proxy config

/ip proxy
set enabled=yes port=3128
/ip proxy access
add action=deny disabled=no redirect-to=gw.local./mikrotik_logo.png src-address=0.0.0.0/0

Перечислю важные элементы конфигурации:

  1. interface-list «2fa» — динамический список клиентских интерфейсов, трафик с которых требует обработки в рамках 2FA;
  2. address-list «2fa_jailed» — «серый» список туннельных IP-адресов клиентов VPN;
  3. address_list «2fa_approved» — «белый» список туннельных IP-адресов клиентов VPN, успешно прошедших двухфакторную аутентификацию.
  4. цепочка фаервола «input_2fa» — в ней происходит проверка tcp-пакетов на наличие кода авторизации и совпадение IP-адреса отправителя кода с требуемым. Правила в цепочку добавляются и удаляются динамически.

Упрощенная блок-схема обработки пакета выглядит так:

Для попадания в проверку по Layer7 трафика от клиентов из «серого» списка еще не прошедших второй этап аутентификации, в стандартной цепочке «input» создано правило:

Код

/ip firewall filter add chain=input !src-address-list=2fa_approved action=jump jump-target=input_2fa

Теперь начнем прикручивать всё это богатство к сервису PPP. MikroTik позволяет использовать скрипты в профилях (ppp-profile) и назначать их на события установки и разрыва ppp-соединения. Настройки ppp-profile могут применяться как для PPP-сервера в целом, так и для отдельных пользователей. При этом назначенный пользователю profile имеет приоритет перекрывая своими заданными параметрами параметры profile выбранного для сервера в целом.

В результате такого подхода, мы можем создать специальный профиль для двухфакторной аутентификации и назначить его не всем пользователям, а только тем, кому считаем нужным это сделать. Это может быть актуально в случае если службы PPP у вас используются не только для подключения конечных пользователей, но одновременно и для построения site-to-site соединений.

Во вновь созданном специальном профиле используем динамическое добавление адреса и интерфейса подключившегося пользователя в «серые» списки адресов и интерфейсов:

winbox

Код

/ppp profile add address-list=2fa_jailed change-tcp-mss=no local-address=192.0.2.254 name=2FA interface-list=2fa only-one=yes remote-address=dhcp_pool1 use-compression=no use-encryption= required use-mpls=no use-upnp=no dns-server=172.31.1.1

Использовать совместно списки «address-list» и «interface-list» необходимо, чтобы определять и захватывать трафик от не прошедших вторичную авторизацию VPN-клиентов в цепочке dstnat (prerouting).

Когда подготовка закончена, дополнительные цепочки фаервола и профиль созданы, напишем скрипт отвечающий за автогенерацию кода 2FA и отдельных правил фаервола.

Документация wiki.mikrotik.com на PPP-Profile обогащает нас информацией о переменных, связанных с событиями подключения-отключения PPP-клиента «Execute script on user login-event. These are available variables that are accessible for the event script: user, local-address, remote-address, caller-id, called-id, interface»

. Некоторые из них нам очень пригодятся.

Код, используемый в профиле для события подключения PPP on-up
#Логируем для отладки полученные переменные 
:log info ($"local-address")
:log info ($"remote-address")
:log info ($"caller-id")
:log info ($"called-id")
:log info ([/int pptp-server get ($"interface") name])
#Объявляем свои локальные переменные
:local listname "2fa_jailed"
:local viamodem false
:local modemport "usb2"
#ищем автоматически созданную запись в адрес-листе "2fa_jailed"
:local recnum1 [/ip fi address-list find address=($"remote-address") list=$listname]

#получаем псевдослучайный код через random.org 
#:local rnd1 [:pick ([/tool fetch url="https://www. random.org/strings/?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value output=user]->"data") 0 4]
#либо получаем псевдослучайный код через локальный генератор
#:local rnd1 [pick ([/cert scep-server otp generate as-value minutes-valid=1]->"password") 0 4 ]

#Ищем и обновляем коммент к записи в адрес-листе. Вносим искомый код для отладки  
/ip fir address-list set $recnum1 comment=$rnd1
#получаем номер телефона куда слать SMS
:local vphone [/ppp secret get [find name=$user] comment]

#Готовим тело сообщения. Если клиент подключается к VPN прямо с телефона ему достаточно
#будет перейти прямо по ссылке из полученного сообщения
:local msgboby ("Your code: ".$comm1."\n Or open link http://gw.local/otp/".$comm1."/")

# Отправляем SMS по выбранному каналу - USB-модем или email-to-sms
if $viamodem do={ \
/tool sms send phone-number=$vphone message=$msgboby port=$modemport } \
else={ \
/tool e-mail send server=a.b.c.d [email protected] [email protected]
ru subject="@".$vphone body=$msgboby } #Генерируем Layer7 regexp local vregexp ("otp\\/".$comm1) :local vcomment ("2fa_".($"remote-address")) /ip firewall layer7-protocol add name=($"vcomment") comment=($"remote-address") regexp=($"vregexp") #Генерируем правило проверяющее по Layer7 трафик клиента в поисках нужного кода #и небольшой защитой от брутфорса кодов с помощью dst-limit /ip firewall filter add action=add-src-to-address-list address-list=2fa_approved address-list-timeout=none-dynamic chain=input_2fa dst-port=80,443,3128 layer7-protocol=($"vcomment") protocol=tcp src-address=($"remote-address") dst-limit=1,1,src-address/1m40s

Специально для любителей бездумно копипастить предупреждаю — код взят с тестовой версии и может содержать незначительные очепятки. Разобраться где именно понимающему человеку труда не составит.

При отключении пользователя генерируется событие «On-Down» и вызывается соответствующий скрипт с параметрами. Задача этого скрипта — почистить за собой правила фаервола, созданные для отключившегося пользователя.

Код, используемый в профиле для события подключения PPP on-down
:local vcomment ("2fa_".($"remote-address"))
/ip firewall address-list remove [find address=($"remote-address") list=2fa_approved]
/ip firewall filter remove [find chain="input_2fa" src-address=($"remote-address") ]
/ip firewall layer7-protocol remove [find name=$vcomment]

После этого можно создавать пользователей и назначать всем или некоторым из них профиль с двухфакторной аутентификацией.

winbox

Код

/ppp secrets set [find name=Petrov] profile=2FA


Как это выглядит на стороне клиента.

При установке VPN-соединения, на телефон/планшет на андроид/iOS с сим-картой приходит SMS примерно такого вида:

SMSка

Если соединение установлено непосредственно с телефона/планшета, то можно пройти 2FA просто кликнув по ссылке из сообщения. Это удобно.

Если VPN-соединение устанавливается с PC, то для пользователя потребуется минимальная форма ввода пароля. Небольшая форма в виде файла HTML передается пользователю при настройке VPN. Файлик можно даже по почте переслать, чтобы пользователь сохранил его у себя и создал ярлык в удобном месте. Примерно так это выглядит:

Ярлык на столе

Пользователь щёлкает мышкой по ярлыку, открывается простая форма ввода кода, которая вставит код в открываемый URL:

Скрин формы

Форма самая примитивная, дана для примера. Желающие могут доработать под себя.

2fa_login_mini.html
<html>
<head> <title>SMS OTP login</title> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> </head>
<body>
<form name="login" action="location.href='http://gw.local/otp/'+document.getElementById(‘text').value"  method="post"
 <input type="text"/> 
<input type="button" value="Login"/> 
</form>
</body>
</html>

Если авторизация прошла успешно, пользователь в браузере увидит лого MikroTik, что должно послужить сигналом об успешной аутентификации:

Замечу, что картинка возвращается из встроенного web-сервера MikroTik с помощью WebProxy Deny Redirect.

Полагаю, картинку можно кастомизировать, используя инструмент «hotspot», загрузив туда свой вариант и задав на него Deny Redirect URL с WebProxy.

Большая просьба к тем, кто пытается купив самый дешевый «игрушечный» микротик за $20, заменить им маршрутизатор за $500 — не надо так поступать. Устройства типа «hAP Lite»/«hAP mini» (home access point) имеют очень слабый CPU(smips), и вполне вероятно не справятся с нагрузкой в бизнес-сегменте.

Warning! У данного решения есть один минус: при подключении-отключении клиентов происходят изменения конфигурации, которую маршрутизатор пытается сохранять в своей энергонезависимой памяти. При большом количестве клиентов и частых подключениях-отключениях, это может привести к деградации внутреннего накопителя в маршрутизаторе.

P.S.: методы доставки кода клиенту могут быть расширены и дополнены насколько хватит ваших возможностей в программировании. Например, можно отправлять сообщения в telegram или… предлагайте варианты!

Надеюсь статья окажется вам полезной и поможет сделать сети малого и среднего бизнеса еще чуть безопаснее.

Коды ошибок для подключений удаленного доступа или VPN - Windows Client

В этой статье перечислены коды ошибок, которые могут возникать при создании подключения удаленного доступа или VPN-подключения.

Исходная версия продукта:   Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер статьи базы знаний:   824864

Приведенный ниже список содержит коды ошибок для подключений удаленного доступа или VPN-подключений.

  • 600

    Ожидается операция.

  • 601

    Недопустимый дескриптор порта.

  • 602

    Порт уже открыт.

  • 603

    Буфер вызывающего абонента слишком мал.

  • 604

    Указаны неверные данные.

  • 605

    Не удается задать сведения о порте.

  • 606

    Порт не подключен.

  • 607

    Недопустимое событие.

  • 608

    Устройство не существует.

  • 609

    Тип устройства не существует.

  • 610

    Недопустимый буфер.

  • 611

    Маршрут недоступен.

  • 612

    Маршрут не выделен.

  • 613

    Указано недопустимое сжатие.

  • 614

    Недостаточно буферов.

  • 615

    Порт не найден.

  • 616

    Ожидается асинхронный запрос.

  • 617

    Порт или устройство уже отключены.

  • 618

    Порт не открыт.

  • 619

    Порт отключен.

  • 620

    Конечные точки отсутствуют.

  • 621

    Не удается открыть файл телефонной книги.

  • 622

    Не удается загрузить файл телефонной книги.

  • 623

  • Не удается найти запись телефонной книги.

  • 624

    Не удается записать файл телефонной книги.

  • 625

    В телефонной книге обнаружены недопустимые данные.

  • 626

    Не удается загрузить строку.

  • 627

    Не удается найти ключ.

  • 628

    Порт отключен.

  • 629

    Порт отключен удаленным компьютером.

  • 630

    Порт был отключен из-за сбоя оборудования.

  • 631

    Порт отключен пользователем.

  • 632

    Недопустимый размер структуры.

  • 633

    Порт уже используется или не настроен для удаленного доступа.

  • 634

    Не удается зарегистрировать компьютер в удаленной сети.

  • 635

    Неизвестная ошибка.

  • 636

    К порту подключено неправильное устройство.

  • 637

    Не удалось преобразовать строку.

  • 638

    Время ожидания запроса истекло.

  • 639

    Асинхронная сеть недоступна.

  • 640

    Произошла ошибка NetBIOS.

  • 641

    Серверу не удается выделить ресурсы NetBIOS, необходимые для поддержки клиента.

  • 642

    Одно из NetBIOS-имен уже зарегистрировано в удаленной сети.

  • 643

    Сбой сетевого адаптера на сервере.

  • 644

    Всплывающие окна сетевых сообщений не отображаются.

  • 645

    Внутренняя ошибка проверки подлинности.

  • 646

    Учетная запись не может войти в систему в это время суток.

  • 647

    Учетная запись отключена.

  • 648

    срок действия пароля истек;

  • 649

    У учетной записи нет разрешения на удаленный доступ.

  • 650

    Сервер удаленного доступа не отвечает.

  • 651

    Ваш модем (или другое устройство связи) сообщил об ошибке.

  • 652

    Неопознанный ответ от устройства.

  • 653

    Макрос, необходимый для устройства, не найден на устройстве. Раздел INF-файла.

  • 654

    Команда или ответ на устройстве. Раздел INF-файла относится к неопределенному макросу

  • 655

    <message>Макрос не найден на устройстве. Раздел INF-файла.

  • 656

    <defaultoff>Макрос на устройстве. Раздел INF-файла содержит неопределенный макрос

  • 657

    Устройство. Не удается открыть INF-файл.

  • 658

    Имя устройства на устройстве. INF-файл или носитель. Слишком длинный INI-файл.

  • 659

    Носитель. INI-файл ссылается на неизвестное имя устройства.

  • 660

    Устройство. INF-файл не содержит ответов для команды.

  • 661

    Устройство. В INF-файле отсутствует команда.

  • 662

    Попытка установить макрос, не указанный в Device. Раздел INF-файла.

  • 663

    Носитель. INI-файл ссылается на неизвестный тип устройства.

  • 664

    Не удается выделить память.

  • 665

    Порт не настроен для удаленного доступа.

  • 666

    Ваш модем (или другое устройство связи) не работает.

  • 667

    Не удается прочитать носитель. INI-файл.

  • 668

    Подключение разорвано.

  • 669

    Параметр Usage на носителе. INI-файл не является допустимым.

  • 670

    Не удается прочитать имя раздела с носителя. INI-файл.

  • 671

    Не удается считать тип устройства с носителя. INI-файл.

  • 672

    Не удается считать имя устройства с носителя. INI-файл.

  • 673

    Не удается считать использование с носителя. INI-файл.

  • 674

    Не удается считать максимальную скорость подключения с носителя. INI-файл.

  • 675

    Не удается считать максимальную несущую скорости сигнала с носителя. INI-файл.

  • 676

    Линия занята.

  • 677

    Вместо модема ответил человек.

  • 678

    Нет ответа.

  • 679

    Не удается обнаружить несущую.

  • 680

    Нет гудка в наборе.

  • 681

    Общий отчет об ошибках устройства.

  • 682

    ОШИБКА ПРИ ЗАПИСИ SECTIONNAME

  • 683

    ОШИБКА ПРИ ЗАПИСИ DEVICETYPE

  • 684

    ОШИБКА ПРИ ЗАПИСИ DEVICENAME

  • 685

    ОШИБКА ПРИ ЗАПИСИ МАКСКОННЕКТБПС

  • 686

    ОШИБКА ПРИ ЗАПИСИ МАКСКАРРИЕРБПС

  • 687

    ОШИБКА ПРИ НАПИСАНИИ СВЕДЕНИЙ ОБ ИСПОЛЬЗОВАНИИ

  • 688

    ОШИБКА ПРИ ЗАПИСИ ДЕФАУЛТОФФ

  • 689

    ОШИБКА ПРИ ЧТЕНИИ ДЕФАУЛТОФФ

  • 690

    ОШИБОЧНЫЙ ПУСТОЙ INI-ФАЙЛ

  • 691

    Отказано в доступе, так как имя пользователя и/или пароль не являются допустимыми для домена.

  • 692

    Аппаратный сбой в порте или подключенном устройстве.

  • 693

    ОШИБКА НЕ ДВОИЧНЫЙ МАКРОС

  • 694

    ОШИБКА DCB НЕ НАЙДЕНА

  • 695

    ОШИБКИ СОСТОЯНИЯ АВТОМАТОВ НЕ ЗАПУЩЕНЫ

  • 696

    СОСТОЯНИЕ ОШИБОК УЖЕ ЗАПУЩЕННЫХ КОМПЬЮТЕРОВ

  • 697

    ОШИБКА ПРИ ЧАСТИЧНОЙ ОТКЛИКЕ

  • 698

    Значение keyName ответа на устройстве. INF-файл имеет непредвиденный формат.

  • 699

    Ответ устройства привел к переполнению буфера.

  • 700

    Расширенная команда на устройстве. Слишком длинный INF-файл.

  • 701

    Устройство перешло на скорость передачи, не поддерживаемую драйвером COM.

  • 702

    Отклик устройства получен, когда ничего не ожидалось.

  • 703

    ИНТЕРАКТИВНЫЙ РЕЖИМ ОШИБОК

  • 704

    ОШИБКА НЕВЕРНЫЙ НОМЕР ОБРАТНОГО ВЫЗОВА

  • 705

    ОШИБКА НЕДОПУСТИМОГО СОСТОЯНИЯ ПРОВЕРКИ ПОДЛИННОСТИ

  • 706

    ОШИБКА ПРИ ЗАПИСИ ИНИТБПС

  • 707

    Диагностическое уведомление X. 25.

  • 708

    Срок действия учетной записи истек.

  • 709

    Ошибка при смене пароля в домене.

  • 710

    При обмене данными с модемом обнаружены ошибки переполнения серийного номера.

  • 711

    Сбой инициализации RasMan. Проверьте журнал событий.

  • 712

    Инициализация порта биплекс. Подождите несколько секунд и перезвоните.

  • 713

    Нет доступных активных линий ISDN.

  • 714

    Недостаточно каналов ISDN для совершения звонка.

  • 715

    Произошло слишком много ошибок из-за низкого качества телефонной линии.

  • 716

    IP-конфигурация удаленного доступа непригодна к использованию.

  • 717

    В статическом пуле IP-адресов удаленного доступа нет доступных IP-адресов.

  • 718

    Время ожидания PPP.

  • 719

    PPP завершен удаленным компьютером.

  • 720

    Нет настроенных протоколов управления PPP.

  • 721

    Удаленный PPP-узел не отвечает.

  • 722

    Недопустимый пакет PPP.

  • 723

    Номер телефона, включая префикс и суффикс, имеет слишком большую длину.

  • 724

    Протоколу IPX не удается выполнить исходящие вызовы для порта, так как компьютер является маршрутизатором IPX.

  • 725

    Протоколу IPX не удается выполнить вход в порт, так как маршрутизатор IPX не установлен.

  • 726

    IPX-протокол не может использоваться для исходящих звонков на нескольких портах за один раз.

  • 727

    Не удается получить доступ к TCPCFG.DLL.

  • 728

    Не удается найти IP-адаптер, привязанный к удаленному доступу.

  • 729

    Использование SLIP невозможно, если не установлен протокол IP.

  • 730

    Регистрация компьютера не завершена.

  • 731

    Протокол не настроен.

  • 732

    Согласование PPP не сходится.

  • 733

    Протокол управления PPP для этого сетевого протокола недоступен на сервере.

  • 734

    Протокол управления PPP связи прерван.

  • 735

    Запрошенный адрес отклонен сервером.

  • 736

    Удаленный компьютер завершил протокол управления.

  • 737

    Обнаружено замыкание на себя.

  • 738

    Сервер не назначил адрес.

  • 739

    Удаленный сервер не может использовать зашифрованный пароль Windows NT.

  • 740

    Не удалось инициализировать устройства TAPI, настроенные для удаленного доступа, или они были установлены неправильно.

  • 741

    Локальный компьютер не поддерживает шифрование.

  • 742

    Удаленный сервер не поддерживает шифрование.

  • 743

    Удаленному серверу требуется шифрование.

  • 744

    Не удается использовать номер IPX-сети, назначенный удаленным сервером. Проверьте журнал событий.

  • 745

    ERROR_INVALID_SMM

  • 746

    ERROR_SMM_UNINITIALIZED

  • 747

    ERROR_NO_MAC_FOR_PORT

  • 748

    ERROR_SMM_TIMEOUT

  • 749

    ERROR_BAD_PHONE_NUMBER

  • 750

    ERROR_WRONG_MODULE

  • 751

    Номер обратного вызова содержит недопустимый символ. Допустимы только следующие 18 символов: от 0 до 9, T, P, W, (,),-, @ и пространство

  • 752

    При обработке скрипта обнаружена синтаксическая ошибка.

  • 753

    Подключение не может быть разорвано, так как оно было создано маршрутизатором с несколькими протоколами.

  • 754

    Системе не удалось найти многоканальный пакет.

  • 755

    Системе не удается выполнить автоматический набор номера, так как для этого подключения указан настраиваемый номеронабиратель.

  • 756

    Это подключение уже набирается.

  • 757

    Службы удаленного доступа не могут запускаться автоматически. Дополнительные сведения содержатся в журнале событий.

  • 758

    Общий доступ к подключению к Интернету уже включен для этого подключения.

  • 759

    Произошла ошибка при изменении параметров общего доступа к подключению к Интернету.

  • 760

    При включении функций маршрутизации произошла ошибка.

  • 761

    Произошла ошибка при включении общего доступа к подключению к Интернету для подключения.

  • 762

    Произошла ошибка при настройке локальной сети для общего доступа.

  • 763

    Невозможно включить общий доступ к подключению к Интернету. Существует несколько подключений локальной сети, отличных от подключения к общему ресурсу.

  • 764

    Устройство чтения смарт-карт не установлено.

  • 765

    Невозможно включить общий доступ к подключению к Интернету. Подключение по локальной сети уже настроено с IP-адресом, необходимым для автоматической IP-адресации.

  • 766

    Не удалось найти сертификат. Для подключений, использующих протокол L2TP через IPSec, необходимо установить сертификат компьютера, который также называется сертификатом компьютера.

  • 767

    Невозможно включить общий доступ к подключению к Интернету. Для подключения локальной сети, выбранного в качестве частной сети, настроено несколько IP-адресов. Перед включением общего доступа к подключению к Интернету перенастройте подключение к локальной сети с одним IP-адресом.

  • 768

    Попытка подключения не удалась из-за сбоя шифрования данных.

  • 769

    Указанное назначение недостижимо.

  • 770

    Удаленный компьютер отклонил попытку подключения.

  • 771

    Попытка подключения не удалась, так как сеть занята.

  • 772

    Сетевое оборудование удаленного компьютера несовместимо с типом запрошенного вызова.

  • 773

    Попытка подключения не удалась, так как конечный номер изменился.

  • 774

    Попытка подключения не удалась из-за временной ошибки. Повторите попытку подключения.

  • 775

    Вызов заблокирован удаленным компьютером.

  • 776

    Не удалось подключиться к вызову, так как удаленный компьютер вызвал функцию "не беспокоить".

  • 777

    Попытка подключения не удалась из-за неупорядоченности модема или другого устройства подключения на удаленном компьютере.

  • 778

    Не удалось проверить удостоверение сервера.

  • 779

    Для исходящих звонков с помощью этого подключения необходимо использовать смарт-карту.

  • 780

    Предпринятая функция не является допустимой для этого подключения.

  • 781

    Для подключения требуется сертификат, а действительный сертификат не найден. Для получения дополнительных сведений нажмите Дополнительные сведения или обратитесь в центр справки и поддержки за номером ошибки.

  • 782

    Не удается включить общий доступ к подключению к Интернету (ICS и брандмауэр подключения к Интернету (ICF), так как на этом компьютере включен механизм маршрутизации и удаленного доступа. Чтобы включить ICS или ICF, сначала отключите службу маршрутизации и удаленного доступа. Для получения дополнительных сведений о маршрутизации и удаленном доступе, ICS или ICF обратитесь к разделу Справка и поддержка.

  • 783

    Невозможно включить общий доступ к подключению к Интернету. Подключение локальной сети, выбранное в качестве частной, отсутствует или отключено от сети. Прежде чем разрешить общий доступ к подключению к Интернету, убедитесь, что подключен сетевой адаптер.

  • 784

    Вы не можете звонить по этому подключению во время входа, так как оно настроено для использования имени пользователя, отличного от того, что указано на смарт-карте. Если вы хотите использовать его во время входа, необходимо настроить его на использование имени пользователя на смарт-карте.

  • 785

    Вы не можете звонить по этому подключению во время входа в систему, так как оно не настроено на использование смарт-карты. Если вы хотите использовать его во время входа, необходимо изменить свойства этого подключения так, чтобы он использовал смарт-карту.

  • 786

    Попытка L2TP-подключения не удалась из-за отсутствия действительного сертификата компьютера для проверки подлинности безопасности.

  • 787

    Попытка L2TP-подключения не удалась, так как уровень безопасности не смог проверить подлинность удаленного компьютера.

  • 788

    Попытка L2TP-подключения не удалась из-за того, что уровень безопасности не может согласовать совместимые параметры с удаленным компьютером.

  • 789

    Попытка L2TP-подключения не удалась, так как уровень безопасности обнаружил ошибку обработки во время первоначальных согласований с удаленным компьютером.

  • 790

    Попытка L2TP-подключения не удалась из-за сбоя проверки сертификата на удаленном компьютере.

  • 791

    Попытка L2TP-подключения не удалась, так как не найдено политика безопасности для этого подключения.

  • 792

    Попытка L2TP-подключения не удалась из-за истечения времени согласования безопасности.

  • 793

    Попытка L2TP-подключения не удалась из-за ошибки при согласовании параметров безопасности.

  • 794

    В качестве атрибута Framed Protocol RADIUS для этого пользователя используется не PPP.

  • 795

    Недопустимый атрибут RADIUS типа туннеля для этого пользователя.

  • 796

    Атрибут RADIUS типа службы для этого пользователя не является ни Framed, ни обратным вызовом Framed.

  • 797

    Не удается установить подключение к удаленному компьютеру, так как модем не найден или занят. Для получения дополнительных сведений нажмите Дополнительные сведения или обратитесь в центр справки и поддержки за номером ошибки.

  • 798

    Не удалось найти сертификат, который можно использовать с этим протоколом расширенной проверки подлинности.

  • 799

    Общий доступ к подключению к Интернету (ICS не может быть включен из-за конфликта IP-адресов в сети). Для ICS требуется, чтобы узел был настроен на использование 192.168.0.1. Убедитесь, что никакой другой клиент в сети не настроен на использование 192.168.0.1.

  • 800

    Не удается установить VPN-подключение. VPN-сервер может быть недоступен, или параметры безопасности не настроены должным образом для этого подключения.

  • 801

    Это подключение настроено для проверки подлинности сервера доступа, но Windows не может проверить цифровой сертификат, отправленный сервером.

  • 802

    Предоставленная карта не распознана. Убедитесь, что карточка вставлена правильно и плотно.

  • 803

    Конфигурация PEAP, хранящаяся в файле cookie сеанса, не отвечает текущей конфигурации сеанса.

  • 804

    Идентификатор PEAP, хранящийся в файле cookie сеанса, не отвечает текущему удостоверению.

  • 805

    Вы не можете звонить по этому подключению во время входа, так как оно настроено на использование учетных данных пользователя, выполнившего вход в систему.

  • 900

    Маршрутизатор не работает.

  • 901

    Интерфейс уже подключен.

  • 902

    Указанный идентификатор протокола неизвестен маршрутизатору.

  • 903

    Диспетчер интерфейса вызова по требованию не запущен.

  • 904

    Интерфейс с таким именем уже зарегистрирован на маршрутизаторе.

  • 905

    Интерфейс с таким именем не зарегистрирован на маршрутизаторе.

  • 906

    Интерфейс не подключен.

  • 907

    Заданный протокол останавливается.

  • 908

    Интерфейс подключен, и поэтому не может быть удален.

  • 909

    Учетные данные интерфейса не заданы.

  • 910

    Этот интерфейс уже находится в процессе подключения.

  • 911

    Обновление сведений о маршрутизации на этом интерфейсе уже выполняется.

  • 912

    Недопустимая конфигурация интерфейса. Уже существует другой интерфейс, подключенный к тому же интерфейсу на удаленном маршрутизаторе.

  • 913

    Клиент удаленного доступа попытался подключиться через порт, который зарезервирован только для маршрутизаторов.

  • 914

    Маршрутизатор вызовов по требованию попытался подключиться через порт, зарезервированный только для клиентов удаленного доступа.

  • 915

    Клиентский интерфейс с таким именем уже существует и в настоящее время подключен.

  • 916

    Интерфейс находится в отключенном состоянии.

  • 917

    Протокол проверки подлинности был отвергнут удаленным кэширующим узлом.

  • 918

    Отсутствуют доступные для использования протоколы проверки подлинности.

  • 919

    Удаленный компьютер отклонил проверку подлинности с помощью настроенного протокола проверки подлинности. Линия отключена.

  • 920

    Удаленная учетная запись не имеет разрешения на удаленный доступ.

  • 921

    Срок действия удаленной учетной записи истек.

  • 922

    Удаленная учетная запись отключена.

  • 923

    Вход в данное время дня для удаленной учетной записи запрещен.

  • 924

    Доступ к удаленному одноранговому узлу запрещен, так как имя пользователя и/или пароль не являются допустимыми для домена.

  • 925

    Для этого интерфейса вызова по требованию нет доступных портов маршрутизации.

  • 926

    Порт отключен из-за отсутствия активности.

  • 927

    Интерфейс в настоящее время недоступен.

  • 928

    Служба вызовов по требованию находится в приостановленном состоянии.

  • 929

    Интерфейс отключен администратором.

  • 930

    Сервер проверки подлинности не ответил на запросы проверки подлинности в течение отведенного времени.

  • 931

    Достигнуто максимально допустимое число портов для использования в многоканальном подключении.

  • 932

    Достигнуто предельное время подключения для пользователя.

  • 933

    Достигнуто максимально допустимое число поддерживаемых интерфейсов локальной сети.

  • 934

    Достигнуто максимально допустимое число поддерживаемых интерфейсов вызова по требованию.

  • 935

    Достигнуто максимально допустимое число поддерживаемых клиентов удаленного доступа.

  • 936

    Порт отключен из-за политики BAP.

  • 937

    Так как используется другое подключение типа, входящее подключение не может принять ваш запрос на подключение.

  • 938

    В сети не было размещено ни одного RADIUS-сервера.

  • 939

    От сервера проверки подлинности RADIUS получен недопустимый ответ. Убедитесь, что секретный пароль с учетом регистра для RADIUS-сервера задан правильно.

  • 940

    У вас нет разрешения на подключение в данный момент.

  • 941

    У вас нет разрешения на подключение с использованием текущего типа устройства.

  • 942

    У вас нет разрешения на подключение с использованием выбранного протокола проверки подлинности.

  • 943

    Для этого пользователя необходима поддержка протокола BAP.

  • 944

    В данный момент интерфейс не может подключаться.

  • 945

    Сохраненная конфигурация маршрутизатора несовместима с текущим маршрутизатором.

  • 946

    Служба RemoteAccess обнаружила учетные записи устаревших форматов, которые не будут автоматически перенесены. Чтобы перенести их вручную, запустите XXXX.

  • 948

    Транспорт уже установлен на этом маршрутизаторе.

  • 949

    В пакете от RADIUS-сервера получена Недопустимая длина подписи.

  • 950

    От RADIUS-сервера получена Неправильная подпись в пакете.

  • 951

    Не получил подпись вместе с Еапмессаже от RADIUS-сервера.

  • 952

    Получен пакет с недопустимой длиной или идентификатором из RADIUS-сервера.

  • 953

    Получен пакет с атрибутом недопустимой длины от RADIUS-сервера.

  • 954

    Получен недопустимый пакет от RADIUS-сервера.

  • 955

    Средство проверки подлинности не отвечает пакету от сервера RADIUS.

  • Настройка VPN через MikroTik - PPtP и PPPoE | Блог

    16.08.2017 | Автор: bainov

    VPN-туннели - распространенный вид связи типа "точка-точка" на основе стандартного интернет-соединения через роутеры MikroTik. Они представляют собой, по сути "канал внутри канала" - выделенную линию внутри основной.

    Необходимость настройки туннельного VPN-соединения на MikroTik возникает в случаях, когда:

    • Требуется предоставить доступ к корпоративной сети сотрудникам предприятия, которые работают из дома, или находясь в командировке, в том числе с мобильных устройств.
    • Требуется предоставить доступ в интернет абонентам провайдера (в последнее время такая реализация доступа клиентов становится все более популярной).
    • Необходимо соединить два удаленных подразделения предприятия защищенным каналом связи с минимальными затратами.

    В отличие от обычной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, выбранного для соединения.

    Так, наименее защищенным считается протокол PPtP, даже его "верхний" алгоритм аутентификации mschap2 имеет ряд проблем безопасности и легко взламывается.

    Наиболее безопасным считается набор протоколов IPsec.

    Несмотря на укоряющую картинку, иногда смысл в отключении шифрования и аутентификации все же есть. Многие модели MikroTik не поддерживают аппаратное шифрование, и обработка всех процессов, связанных с защитой соединения происходит на уровне CPU. Если безопасность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно использовать для разгрузки процессора.

    Выбор протокола для VPN на MikroTik

    Для настройки соединения по VPN через MikroTik чаще всего используются следующие протоколы:

    • PPtP,
    • PPPoE,
    • OpenVPN,
    • L2TP,
    • IPSec.

    В сегодняшней статье мы рассмотрим настройку подключения VPN с помощью двух из них, как наиболее часто встречающихся в работе провайдера и системного администратора: PPtP и PPPoE.

    VPN через PPtP на MikroTik

    PPtP - самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE - для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности.

    Прост в настройке. Для организации туннеля требуется:

    • создать на роутере MikroTik, через который пользователи будут подключаться к корпоративной сети, PPtP-сервер,
    • создать профили пользователей с логинами/паролями для идентификации на стороне сервера,
    • создать правила-исключения Firewall маршрутизатора, для того, чтобы подключения беспрепятственно проходили через брандмауер.

    Включаем PPtP сервер.

    Для этого идем в раздел меню PPP, заходим на вкладку Interface, вверху в перечне вкладок находим PPTP сервер и ставим галочку в пункте Enabled.

    Снимаем галочки с наименее безопасных алгоритмов идентификации - pap и chap.

    Создаем пользователей.

    В разделе PPP переходим в меню Secrets и с помощью кнопки "+" добавляем нового пользователя.

    В полях Name и Password прописываем, соответственно логин и пароль, который будет использовать пользователь для подключения к туннелю.

    В поле Service выбираем тип нашего протокола - pptp,

    в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера,

    а в поле Remote Address - IP-адрес пользователя   

    Прописываем правила для Firewall. 

    Нам нужно открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE.

    Для этого идем в раздел IP, потом - в Firewall, потом на вкладку Filter Rules, где с помощью кнопки "+" добавляем новое правило.

    В поле Chain указываем входящий трафик - input, в поле Protocol выбираем протокол tcp, а в поле Dst. Port - указываем порт для VPN туннеля 1723.

    Переходим здесь же на вкладку Action и выбираем accept - разрешать (трафик).

    Точно также добавляем правило для GRE.

    На вкладке General аналогично предыдущему прописываем input, а в поле Protocol выбираем gre.

    На вкладке Action как и в предыдущем правиле выбираем accept.

    Не забываем поднять эти правила в общем списке наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.

    Все, PPtP сервер для VPN на MikroTik поднят.  

    Небольшое уточнение.

    В некоторых случаях, когда при подключении необходимо видеть локальную сеть за маршрутизатором, нужно включить proxy-arp в настройках локальной сети.

    Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответствующий локальной сети и на вкладке General в поле ARP выбираем proxy-arp.

    Если вы подняли VPN между двумя роутерами MikroTik и вам необходимо разрешить передачу broadcast, надо добавить существующий профиль подключения (PPP - Profiles) удаленного роутера в бридж главного:

    Если вам дополнительно нужно получить доступ к расшаренным папкам на компьютерах локальной сети, понадобится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).

    Настройка клиента.

    На стороне VPN-клиента настройки состоят только в том, чтобы создать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.

     

    Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет.

    Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:

    • Доступностью и простотой настройки.
    • Поддержкой большинством маршрутизаторов MikroTik.
    • Стабильностью.
    • Масштабируемостью.
    • Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).
    • Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.
    • Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля.
    • Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.

    Настройка VPN-сервера PPPoE MikroTik

    Настраиваем профили сервера.

    Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам.

    Соответственно, в каждом профиле можно настроить разные ограничения по скорости.

    Идем в раздел PPP, открываем пункт Profiles  и с помощью кнопки "+" создаем новый профиль.

    Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтобы все сайты нормально открывались.

    Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:

    "ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no".

    В большинстве случаев это решает проблему.

    Далее на вкладке Protocols все отключаем, для улучшения производительности.

    Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию Use Encryption (использовать шифрование) не отключайте.

    На вкладке Limits устанавливаем ограничения по скорости, если нужно.

    Первая цифра в ограничении скорости  - входящий трафик на сервер (исходящий от абонента), вторая - наш исходящий трафик (входящий у абонента).

    Ставим Yes в пункте Only One, это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к  PPPoE-серверу, только один.

    Теперь, если необходимо, создаем остальные профили простым копированием (кнопка Copy на предыдущем скриншоте) и меняем имя и ограничение по скорости.

    Создаем учетные записи пользователей.

    В том же разделе PPP находим пункт меню Secrets.

    В нем с помощью кнопки "+" создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.

    Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).

    В поле Service выбираем pppoe, в Profile - соответствующий профиль, в данном случае - тарифный пакет, которым пользуется абонент.

    Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.

    Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.

    Привязываем PPPoE сервер к определенному интерфейсу MikroTik.

    Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен "слушать" входящие подключения от VPN PPPoE клиентов.

    Для этого в разделе PPP мы выбираем пункт PPPoE Servers.

    Здесь мы меняем:

    • Поле Interface - выбираем тот интерфейс, к которому будут подключаться клиенты,
    • Keepalive Timeout - 30 секунд (время ожидания ответа от клиента до разрыва соединения)
    • Default Profile - профиль, который будет присваиваться подключаемым абонентам по умолчанию,
    • Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.
    • Галочки в разделе аутентификации оставляем/снимаем по усмотрению.    

    Настраиваем NAT для доступа клиентов в интернет.

    Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи.

    Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.

    В разделе IP выбираем пункт Firewall и с помощью кнопки "+" добавляем новое правило.

    В поле Chain должно стоять srcnat, что означает, что маршрутизатор будет применять это правило к трафику, направленному "изнутри наружу".

    В поле Src. Address (исходный адрес) прописываем диапазон адресов 10.1.0.0/16.

    Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.

    В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 - диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди.

    Это указывает роутеру на исключение - если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.

    А на вкладке Action прописываем, собственно, действие маскарадинга - подмены локального адреса устройства на внешний адрес роутера.

    Настройка VPN-клиента PPPoE

    Если на той стороне VPN туннеля подключение будет происходить с компьютера или ноутбука, то просто нужно будет создать высокоскоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8).

    Если на второй стороне - тоже роутер Mikrotik, то подключаем следующим образом.  

    Добавляем PPPoE интерфейс.

    На вкладке Interface выбираем PPPoE Client  и с помощью кнопки "+" добавляем новый интерфейс.

    Здесь в поле Interface мы выбираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.

    Прописываем настройки подключения.

    Далее переходим на вкладку Dial Out и вписываем логин и пароль для подключения к VPN туннелю PPPoE.

    Ставим галочку в поле Use Peer DNS - для того, чтобы адрес DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.

    Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.


    Список источников:

    1. Lantorg.com

    pppd (8): Демон протокола точка-точка - справочная страница Linux

    Имя

    pppd - Демон протокола точка-точка

    Сводка

    pppd [ опций ]

    Описание

    PPP - это протокол, используемый для установления интернет-соединений через модемы коммутируемого доступа, DSL-соединения и многие другие типы соединений точка-точка. pppd демон работает вместе с драйвером PPP ядра, чтобы установить и поддерживать связь PPP с другой системой (называемой узлом ) и согласовывать Интернет Адреса протокола (IP) для каждого конца ссылки.Pppd также может аутентифицировать однорангового узла и / или предоставлять ему аутентификационную информацию. PPP можно использовать с другими сетевыми протоколами, помимо IP, но такое использование становится все более редким.

    Часто используемые опции

    ttyname
    Используйте последовательный порт с именем ttyname для связи с одноранговым узлом. Если ttyname не начинается с косой черты (/), добавляется строка "/ dev /". на ttyname , чтобы сформировать имя открываемого устройства.Если имя устройства не указано или указано имя терминала, подключенного к стандартному входу, pppd будет использовать этот терминал и не будет выполнять разветвление для перехода в фоновый режим. Значение этой опции из привилегированного источника не может быть отменено непривилегированный пользователь.
    скорость
    Опция, представляющая собой десятичное число, принимается в качестве желаемой скорости передачи для последовательного устройства. В таких системах как 4.4BSD и NetBSD любая скорость может быть указано. Другие системы (например,г. Linux, SunOS) поддерживают только обычно используемые скорости передачи данных.
    asyncmap карта
    Эта опция устанавливает Async-Control-Character-Map (ACCM) для этого конца ссылки. ACCM - это набор из 32 бит, по одному для каждого элемента управления ASCII. символы со значениями от 0 до 31, где 1 бит указывает, что соответствующий управляющий символ не должен использоваться в пакетах PPP, отправляемых в эту систему. Карта кодируется как шестнадцатеричное число (без начального 0x), где младший значащий бит (00000001) представляет символ 0, а старший значащий бит (80000000) представляет собой символ 31.Pppd попросит одноранговый узел отправить эти символы в виде 2-байтовой escape-последовательности. Если несколько вариантов asyncmap Учитывая, что значения объединяются по ИЛИ. Если не указана опция asyncmap , значение по умолчанию равно нулю, поэтому pppd попросит одноранговый узел не выходить из-под контроля. символы. Чтобы избежать передаваемых символов, используйте опцию escape .
    автори
    Требовать от однорангового узла аутентифицировать себя перед тем, как разрешить отправку или получение сетевых пакетов.Этот параметр используется по умолчанию, если в системе установлен параметр по умолчанию. маршрут. Если ни эта опция, ни опция noauth не указаны, pppd разрешит одноранговому узлу использовать IP-адреса, к которым система еще не подключена. есть маршрут.
    позвонить имя
    Прочтите дополнительные параметры из файла / etc / ppp / peers / , имя . Этот файл может содержать привилегированные параметры, такие как noauth , даже если pppd не под управлением root. Строка name не может начинаться с / или включать.. как компонент имени пути. Формат файла опций описан ниже.
    подключить скрипт
    Обычно нужно что-то сделать для подготовки канала перед запуском протокола PPP; например, с модемом удаленного доступа команды нужно отправить на модем, чтобы набрать соответствующий номер телефона. Эта опция указывает команду, которую pppd должен выполнить (передав ее оболочке) перед пытается начать согласование PPP. Здесь часто бывает полезна программа chat (8) , так как она позволяет отправлять произвольные строки на модем и отвечать на запросы. получил символы.Значение этого параметра из привилегированного источника не может быть изменено непривилегированным пользователем.
    crtscts
    Указывает, что pppd должен настроить последовательный порт для использования аппаратного управления потоком с использованием сигналов RTS и CTS в интерфейсе RS-232. Если ни crtscts , nocrtscts , cdtrcts или опция nocdtrcts не указаны, настройка аппаратного управления потоком для последовательного порта оставлен без изменений. Некоторые последовательные порты (например, последовательные порты Macintosh) не имеют настоящего вывода RTS.Такие последовательные порты используют этот режим для реализации однонаправленного потока. контроль.

    ENCOR Training »PPP over Ethernet (PPPoE) Tutorial

    PPPoE означает протокол точка-точка через Ethernet. Это средство установления канала связи точка-точка через сеть Ethernet. Но зачем нам PPPoE? Чтобы понять причину PPPoE, нам нужно разобраться в Ethernet и PPP.

    Как мы знаем, Ethernet - это не точка-точка, а многоточечная технология (даже когда два устройства соединены друг с другом).Ethernet разработан, чтобы позволить нескольким устройствам совместно использовать общую среду, называемую «широковещательным доменом».

    В то время как Ethernet доминирует на стороне клиента, поставщик услуг Интернета (ISP) по-прежнему любит PPP из-за аутентификации (PPP поддерживает CHAP), учета (проверка счета клиента), управления ссылками (ISP может использовать PPP для назначения общедоступного IP-адреса для клиента) .

    Однако Ethernet и PPP изначально не поддерживают друг друга. Чтобы использовать преимущества как Ethernet, так и PPP, был создан протокол: PPPoE, который позволяет компьютерам подключаться к ISP через модем цифровой абонентской линии (DSL).

    PPPoE создает туннель PPP через соединение Ethernet, инкапсулируя кадр PPP внутри кадра Ethernet. Модем преобразует кадры Ethernet в кадры PPP, удаляя заголовки Ethernet. Затем модем передает эти кадры PPP в сеть DSL провайдера.

    Примечание. Функциональные возможности клиента PPPoE можно установить на модем DSL или на пользовательский компьютер в качестве программного обеспечения. Если PPPoE реализован на модеме DSL, все пользователи, находящиеся позади, будут использовать одну и ту же учетную запись PPPoE модема DSL.Если на компьютере пользователя установлен PPPoE, каждый компьютер может получить доступ к разным службам с разными учетными записями PPPoE. В настоящее время функциональность клиента PPPoE доступна в большинстве операционных систем от Windows, Linux до Mac OS.

    На рисунке ниже показано диалоговое окно PPPoE Client для ввода имени пользователя и пароля перед установкой PPPoE-соединения в ОС Windows.

    Клиент PPPoE в Windows

    PPPoE имитирует среду набора, в которой каждый сеанс PPPoE обрабатывается как отдельная телефонная линия, даже если они передаются по одному PVC.

    PPPoE состоит из двух основных фаз:

    + Фаза активного обнаружения: На этом этапе клиент PPPoE находит сервер PPPoE, называемый концентратором доступа. На этом этапе назначается идентификатор сеанса и устанавливается уровень PPPoE.
    + Фаза сеанса PPP: На этом этапе согласовываются параметры PPP и выполняется аутентификация. После завершения настройки канала PPPoE функционирует как метод инкапсуляции уровня 2, позволяя передавать данные по каналу PPP в заголовках PPPoE.

    Конфигурация PPPoE

    Конфигурация на стороне клиента (клиент PPPoE)

     интерфейс Dialer 2
     инкапсуляция ppp
     IP-адрес согласован
     ppp chap hostname TUT
     ppp пароль главы MyPPPoE
     ip mtu 1492
     пул дозвона 1 

    1. Сначала нам нужно создать интерфейс номеронабирателя с помощью команды interface Dialer 2 . Любой номер интерфейса хорош. Интерфейс номеронабирателя - это виртуальный интерфейс, и конфигурация PPP размещается на интерфейсе номеронабирателя, а не на физическом интерфейсе.Клиент PPPoE может быть настроен со статическим IP-адресом, но в большинстве случаев интернет-провайдер автоматически назначает ему общедоступный IP-адрес, поэтому мы использовали здесь команду ip addressgotiated .

    Имя хоста и пароль CHAP должны быть настроены так, чтобы сервер PPPoE мог аутентифицировать клиента. Имя хоста и пароль, настроенные на маршрутизаторе клиента PPPoE, должны совпадать с именем хоста и паролем, настроенными на маршрутизаторе сервера PPPoE. В этом случае команды ppp chap hostname TUT & ppp chap password MyPPPoE говорят маршрутизатору использовать «TUT» и «MyPPPoE» в качестве имени пользователя и пароля для аутентификации на сервере.

    Максимальный блок передачи (MTU) должен быть уменьшен до 1492 (по умолчанию 1500) для размещения заголовков PPPoE: 6 байтов для заголовка PPPoE и еще 2 для идентификатора протокола PPP. Это предотвращает ненужную фрагментацию.

    Наконец, этот интерфейс номеронабирателя должен быть связан с пулом номеронабирателя с помощью команды пул номеронабирателя 1 .

    Далее мы настраиваем физический интерфейс.

     интерфейс Ethernet0 / 1
     нет IP-адреса
     pppoe включить
     pppoe-client номер пула набора 1 

    2.На физическом интерфейсе Ethernet0 / 1, который подключается к серверу PPPoE, включен PPPoE с помощью команды pppoe enable . Затем этот физический интерфейс связывается с пулом номеронабирателя 1 с помощью команды pppoe-client dial-pool-number 1 . Обратите внимание, что номер пула номеронабирателя должен совпадать на интерфейсе номеронабирателя и на физическом интерфейсе. Другими словами, номер в командах «пул дозвона <номер>» (на интерфейсе номеронабирателя 2) и «номер пула набора-pppoe-client <номер>» (на интерфейсе E0 / 1) должен быть одинаковым.Но обратите внимание, что номер интерфейса номеронабирателя (интерфейс Номеронабиратель 2) не обязательно должен совпадать с номером пула номеронабирателя. Вот как пул номеронабирателя подключается к интерфейсу номеронабирателя и физическому интерфейсу:

    Хотя этот способ настройки немного сложнее, чем прямое подключение физических интерфейсов к интерфейсу номеронабирателя, но он делает настройку более гибкой. Представьте, что у вас есть три интерфейса номеронабирателя 2, 5, 10 и множество физических интерфейсов. С помощью пулов номеронабирателя вы можете легко изменить физические интерфейсы, которые необходимо связать с интерфейсами номеронабирателя, без внесения изменений на уровне физического интерфейса.

    В следующей части мы узнаем, как настроить PPPoE на стороне сервера.

    Cisco AnyConnect |

    Windows 10 x64. (), -. Выиграть 10 -.

    - / AnyConnect (4.7xx)

    - CCLeaner

    -

    -.

    -

    - ICS

    - DisplayName

    - Win 7

    Функция: CThread :: invokeRun
    Файл: Utility \ Thread.cpp
    Строка: 463
    Вызванная функция: IRunnable :: Run
    Код возврата: -32112629 (0xFE16000B)
    Описание: BROWSERPROXY_ERROR_NO_PROXY_FILE
    Функция: CNetEnvironment :: testNetwork
    Файл: NetEnvironment.cpp
    Строка: 865
    Вызываемая функция: CNetEnvironment :: IsSGAccessible
    Код возврата: -28

    3 (0xFE47000D)
    Описание: NETENVIRONMENT_ERROR_PROBE_INCOMPLETE: Сетевому зонду не удалось связаться с целевым объектом
    LineGuard: NetEnvironment
    Функция: CNetEnvironment 1474
    Вызванная функция: CNetEnvironment :: analysisHttpResponse
    Код возврата: -28

    3 (0xFE47000D)
    Описание: NETENVIRONMENT_ERROR_PROBE_INCOMPLETE: Сетевому зонду не удалось связаться с целевым объектом
    Функция: CNetEnvironmentEngine :: logProbeFailure.cpp
    Строка: 1538
    Вызываемая функция: CHttpProbeAsync :: SendProbe
    Код возврата: -27000818 (0xFE64000E)
    Описание: HTTP_PROBE_ASYNC_ERROR_CANNOT_CONNECT
    HTTP (хост: _ # _ # _ # _ # _209) HTTP (хост: _ # _ # _ # _ # _209) Функция
    для порта: Файл: IPC \ SocketTransport.cpp
    Строка: 1815
    Вызванная функция: CSocketTransport :: postConnectProcessing
    Код возврата: -31588316 (0xFE1E0024)
    Описание: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
    :: Httprobe.cpp
    Строка: 302
    Вызываемая функция: CHttpSessionAsync :: OnOpenRequestComplete
    Код возврата: -31588316 (0xFE1E0024)
    Описание: SOCKETTRANSPORT_ERROR_CONNECT_TIMEOUT
    Line Environment: функция NetcEnvironment: CNetEnvironment:
    Функция: : analysisHttpResponse
    Код возврата: -28

    3 (0xFE47000D)
    Описание: NETENVIRONMENT_ERROR_PROBE_INCOMPLETE: Сетевому зонду не удалось связаться с целью

    ------------

    , "" c.? .

    Почему программа защиты зарплаты замедлилась: NPR

    Кори Обенур, шеф-повар и совладелец ресторана Blue Plate в Сан-Франциско, готовит заказы на вынос и доставку. Как сообщает Associated Press, ресторан получил средства от Программы защиты зарплат. Джефф Чиу / AP скрыть подпись

    переключить подпись Джефф Чиу / AP

    Кори Обенур, шеф-повар и совладелец ресторана Blue Plate в Сан-Франциско, готовит заказы на вынос и доставку.Как сообщает Associated Press, ресторан получил средства от Программы защиты зарплат.

    Джефф Чиу / AP

    Когда было объявлено о федеральной программе по спасению малого бизнеса, Криста Керн-Десьярле принялась изучать ее, поговорила со своим банкиром и покопалась в Интернете.

    Kern-Desjarlais управляет двумя ресторанами в штате Мэн - Purple House в Северном Ярмуте и Bresca & Honeybee, продуктовым киоском только летом на озере Sabbathday Lake.Она решила воздержаться от усилий по спасению от коронавируса, которые называются Программой защиты зарплаты или PPP.

    «Прямо в последний момент я подумал:« Я недостаточно понимаю в этом, поэтому я не собираюсь этого делать. Я буду ждать следующего раунда », потому что я чувствовал время должен быть следующий раунд », - сказала она. «Это происходит слишком быстро».

    Со временем администрация малого бизнеса уточнила, как ссуды будут работать. По мере того, как она узнавала больше, Керн-Дежарле убедилась, что ГЧП не для нее - отчасти потому, что она не была уверена, когда сможет даже вернуть своих рабочих.

    «Я бы вытащила своих людей из безработицы, заплатила бы им через ППС в качестве безработицы, а затем снова вернула бы их к безработице. Так что это просто казалось бесполезным упражнением для моей ситуации», - сказала она.

    Кроме того, она решила, что увеличение долга и двухлетний период окупаемости просто не работают для ее бизнеса.

    «Я думаю, что программа отлично подходит для множества предприятий, которые не являются ресторанами», - сказала она.«У нас не так много доходов, и у нас почти не существует нормы прибыли. Идея хранить деньги после [кредита], а не амортизировать их в течение четырех или пяти лет, а затем иметь такой быстрый период окупаемости, даже хотя это были не большие деньги, мне казалось, что я просто покидаю свою дыру глубже ».

    Был безумный рывок к первому раунду денег ГЧП, который составил 349 миллиардов долларов и закончился через 13 дней. Этот второй раунд, оцениваемый в 310 миллиардов долларов, продвигается намного медленнее, и месяц спустя у него все еще остается более 140 миллиардов долларов.

    Владельцы бизнеса, которые хотели получить деньги, в основном их получили. Другие, например Керн-Дешарле, решили, что это не для них.

    Большинство предприятий, которые хотели получить деньги, получили их

    Данные Бюро переписи населения показывают, что финансирование ГЧП наконец-то догоняет спрос.

    Исследование Small Business Pulse, проведенное бюро, содержит данные за три недели, начиная с 26 апреля - недели, когда открылся второй раунд финансирования ГЧП. За все три недели спрос на деньги ГЧП не вырос.Каждую неделю около 75% предприятий заявили, что запрашивали деньги в рамках ГЧП с момента открытия программы.

    Но доля предприятий, получивших деньги, неуклонно росла с 38% в первую неделю до почти 67% в третью неделю. Таким образом, хотя некоторые предприятия все еще ждут средств, похоже, что подавляющее большинство, которые хотели денег в рамках ГЧП, получили их.

    Опрос показывает, что три четверти малых предприятий сообщают о подаче заявок на ГЧП, а две трети сообщают о получении денег. Бюро переписи населения США скрыть подпись

    переключить подпись Бюро переписи населения США

    Кроме того, похоже, что спрос не растет.

    «Я думаю, что история, к которой приводит этот вид, заключается в том, что малые предприятия действительно были в ловушке и подавали заявки на участие в этой программе на раннем этапе, понимая, что она была в порядке очереди», - сказал Кертис Лонг, главный экономист National Ассоциация кредитных союзов с федеральным страхованием.

    Когда программа открылась 3 апреля, было очень много заявок. Но многие факторы, в том числе постоянно меняющиеся инструкции, изменение форм, технические трудности и многие банки, открывающие процесс только для своих существующих клиентов, замедлили процесс кредитования и помешал некоторым предприятиям получить деньги.

    To Long, данные показывают, что эти проблемы устранены.

    «Я думаю, что задержки, которые мы наблюдали с финансированием , были просто узкими местами, вы знаете, работая над их устранением», - сказал он.«Кажется, что большинство из этих проблем уже решены».

    Размер займа меньше

    Другой фактор, связанный с более медленным использованием ГЧП, - это более мелкие займы. В конце первого раунда финансирования ГЧП средний размер кредита составлял 206 000 долларов. По состоянию на 26 мая он упал до 115 000 долларов.

    С одной стороны, некоторым из самых маленьких предприятий не разрешили участвовать в программе до более позднего времени. Хотя первый раунд ГЧП начался 3 апреля, независимым подрядчикам и фрилансерам не разрешили подавать заявки до 10 апреля.

    «К тому времени на портале образовалась огромная очередь [куда кредиторы подают заявки на ГЧП]», - сказал Лонг. «Итак, вы знаете, что для этого класса заемщиков они, возможно, только что были переведены во второй раунд».

    Финансирование первого раунда истекло 16 апреля, всего через шесть дней после того, как этим индивидуальным компаниям впервые было разрешено подать заявку.

    Но помимо этого, банки могли отдавать приоритет своим крупнейшим клиентам.Судебные процессы в Нью-Йорке и Калифорнии утверждали, что крупные банки подтолкнули более крупные компании к линией ГЧП. Кроме того, The New York Times сообщила, что JPMorgan Chase предоставил некоторым своим крупным бизнес-клиентам особый режим при подаче заявки на ГЧП.

    Некоторые предприятия опасаются последствий ГЧП

    Некоторые владельцы бизнеса, такие как Керн-Дешарле, решили, что ГЧП просто не работает с их финансами. Ограничения, касающиеся того, как должны быть потрачены деньги - например, что они должны быть потрачены в течение восьми недель, при этом 75% потрачены на фонд заработной платы, чтобы получить прощение, - разочаровали некоторых владельцев бизнеса.

    Некоторых напугала неопределенность в правилах программы.

    Форма заявки на ГЧП просит заявителей подтвердить, что «текущая экономическая неопределенность делает этот запрос на ссуду необходимым» для продолжения деятельности бизнеса. Бухгалтер Скотт Левин из Intown Financial Services в Атланте говорит, что, хотя многие из его кандидатов испытывают финансовые затруднения, они нервничают по поводу того, соответствуют ли они этому требованию. Вдобавок, по его словам, некоторые клиентские банки усиленно предупреждали их об опасности искажения информации об их финансовом положении.

    «Это напугало многих моих клиентов, даже тех, которые идеально подходили для получения кредита. Теперь они напуганы», - сказал он. «А еще есть пара статей о людях, попадающих в тюрьму за мошенничество, и это не должно их пугать. Но это так».

    Это опасение вызвано тем фактом, что SBA разъяснило, что заемщики, получившие ссуды на сумму менее 2 миллионов долларов, автоматически будут считаться получившими деньги «добросовестно».

    Кроме того, неуверенность в том, как именно будет работать прощение, привела к тому, что некоторых клиентов Левайна снизили энтузиазм по поводу программы.

    «Я говорю им:« Вы примерный ребенок для этой программы. Потратьте деньги », - сказал он.« Но тогда я должен сказать им: «Я тоже не могу гарантировать, что это будет прощено».

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *