PPP MPPE encryption модуль теперь официально в ядре Linux

Ну наконец-то VPN без геморроя будет!

крута, теперь будет легче от ядра к ядру кочевать)

Ой, как интересно! А в 2.4.* его, я вижу, пока нету?

>Ну наконец-то VPN без геморроя будет!

Да его и раньше не особо было :) Хотя, кому как :)

Я так и не пойму, то говорили, что в 2.6.14 его уже включили в ядро, то теперь эта новость! В каком ядре поддержка Microsoft Point-to-Point включена по умолчанию в ядро?

Нормальные линуксоиды уже попросили своих админов сделать mppe/mppc опциональной фичей и не используют эту туфту. А для криптографии рулит ssh/https/pop3s/ftps/итп - крипто до поставщика услуг, а не просто до ближайшего роутера.

>Ну наконец-то VPN без геморроя будет!

Еще как будет, проблема в том, что помимо MPPE, еще желателен
MPPC, некоторые провайдеры без MPPC не пускают, тот патч, что
поддерживал MPPE+MPPC сильно отличался от просто MPPE, теперь
надо будет выдирать официальный MPPE и прикручивать MPPE+MPPC
с большим геморроем...

а что, уже решили проблему патента майкрософт на вышеупомянутый алгоритм? по-моему, его не добавляли именно по этой причине.

На сколько я знаю mpd поддерживает как MPPE, так и MPPC. Mpd работает как в различных *BSD, так и в GNU/Linux:

http://sourceforge.net/projects/mpd

> тот патч, что поддерживал MPPE+MPPC сильно отличался от просто MPPE, теперь надо будет выдирать официальный MPPE и прикручивать MPPE+MPPC с большим геморроем...

Ты об этом? http://mppe-mppc.alphacron.de/ Скорее всего его со временем приспособят к новой версии Линукса. Эх патчи, патчи... :-))

Не пойму тех, для кого наложить _один_ патч было гемороем. Имхо, куда противнее накладывать патч типа PoM с последующим пересбором iptables при том, что на целевой машине может не быть компилятора, а на сборочной стоять другая версия glibc. :-)

В томто и проблема что не один, а десяток разных

> теперь надо будет выдирать официальный MPPE и прикручивать MPPE+MPPC
Использовать новые ядра насильно что-ли заставляют ? :-)

Необходимость использовать кернелспейс для протоколов поддержки PPP - извращение в принципе. И сжатие и шифрование должны делаться в юзермоде. Примерно так, как это делает OpenVPN. У него в ядре только базовая поддержка туннелей, а lzo-сжатие и ssl-шифрование реализовано через библиотеки. А пытаться в ядро впихнуть сложные алгоритмы - глупо. Тем более, ppp - это не тот протокол, который должен выжимать из системы всё. Оверхед при работе в юзерспейсе на модемных потоках будет ничтожным.

В минимальном джентельменском наборе (MPPE, PoM, OW) на одного меньше станет :-)) Интересно, придет ли то время, когда на продакшн можно будет ставить ванильные ядра?

>Необходимость использовать кернелспейс для протоколов поддержки PPP - извращение в принципе. И сжатие и шифрование должны делаться в юзермоде

Даешь IPsec в юзермод!

ipsec в массовых дистрибутивах послать в жопу. Вот с ним пусть "кернел хакеры" трахаются. А нормальным админам хватит iptables и vpn в юзермоде.

И вообще, даешь микроядро!

на - Hurd. теперь осчастливленный иди в песочницу, не мешай взрослым дядям

>Оверхед при работе в юзерспейсе на модемных потоках будет ничтожным. а если это не модем, а vpn сервер с парой сотней клиентов?

А если vpn-сервер на сотни клиентов, то ничего страшного в наложении патчей на ядро я не вижу. Это другая ниша, не та, где используют дистрибутивные ядра.

Не мешать занимаются бесполезной работой с осознанием ей важности? :-) Нормальный человеческий дизайн ядра сразу бы многих "ядерных компильщиков и патчильщиков" оставил бы без работы!

Счастье наступит, только когда РедХат выпустит свой дистр на базе хурда ;)

>На сколько я знаю mpd поддерживает как MPPE, так и MPPC. Mpd работает >как в различных *BSD, так и в GNU/Linux: >http://sourceforge.net/projects/mpd

mpd использует netgraph коего, в линуксе вроде как нет

OpenVPN в юзермоде при интенсивной работе на канале 2 мбит грузит проц ессор от 1 до 4 процентов на селероне1.7. И зачем тут нужно сжатие и шифрование в ядре? OpenVPN потому так и распространяется сейчас, что он отказался от привязки к ядру. Почему бы не сделать форк pppd с собственной поддержкой шифрования и компресии, без завязки на ядерные модули?

А это мысль. Сделай!

Посмотрим, чем ответит Jan Dubiec :) Сейчас же от него поддержки 2,6 ,14 вроде как нет, подождем - увидим.

Народ, а кто нибудь поднимал туннель с пользовательской Linux станции на VPN-сервер, работающий не по PPTP, а L2TP? Это вообще реально? Не нашел никакой адекватной документации по этому поводу.

> Почему бы не сделать форк pppd с собственной поддержкой шифрования и компресии, без завязки на ядерные модули?

Ты спрашиваешь разрешения, что ли? Ну, сделай, я не возражаю.

>На сколько я знаю mpd поддерживает как MPPE, так и MPPC. Mpd
>работает как в различных *BSD, так и в GNU/Linux:
>http://sourceforge.net/projects/mpd

MPPC там появится после того, как заплатишь за исходники STAC
LZS from http://www.hifn.com/products/MPPC.html
Проблема в том, что некоторые провайдеры, которые предоставляют
спутниковый инет, очень любят подключать по PPTP с MPPE 56bit +
MPPC. А этот патч, который хотят засунуть в ядро, без правки не
поддерживает 56 бит, так что в топку его... Лучше бы видеть
в ядре патчи отсюда - http://mppe-mppc.alphacron.de/

>И сжатие и шифрование должны делаться в юзермоде.

Это будет тормоз... Вся проблема в том, что если скорость канала
не превышает 1Мбита, то да, в юзермоде это пройдет, но когда
будет 2Мбита, например со спутника, то уже фигушки...

>Лучше бы видеть в ядре патчи отсюда -
>http://mppe-mppc.alphacron.de/

Но этого никогда не будет, из-за гребанных патентов...:(

"Но этого никогда не будет, из-за гребанных патентов" - поэтому и нужен pppd с поддержкой внешних модулей!

Для федоры уже давно есть такая фигня, как dynamic kernel modules system, и mppe-mppc для нее. Ставишь две rpm-ки и забываешь о проблемах - модуль автоматически пересобирается при установке нового ядра.

>OpenVPN в юзермоде при интенсивной работе на канале 2 мбит
>грузит проц ессор от 1 до 4 процентов на селероне1.7. И зачем
>тут нужно сжатие и шифрование в ядре?

Вы забываете про реализацию протоколов, PPP, к сожалению
на 2х Мбитах будет довольно сильно грузить процессор в
юзерспейс моде, если бы было иначе, то давно бы из ядра
выкинули...

>поэтому и нужен pppd с поддержкой внешних модулей!

Он давно с поддержкой внешних модулей, вернее плагинов, только
проблема не в этом, а в скорости...

"PPP, к сожалению на 2х Мбитах будет довольно сильно грузить процессор в юзерспейс моде" - а почему?? Неужели процесс разбора ppp-потока такой сложный?

нет не сложный. просто при таком подходе очень часто происходят переключения конкекста. если пакетов/с много, то оверхед некислый

> А если vpn-сервер на сотни клиентов, то ничего страшного в наложении патчей на ядро я не вижу. Это другая ниша, не та, где используют дистрибутивные > ядра.

Не знаю насчет "сотен", но у меня 2 сотни пользователей вполне комфортно себя чувствуют на дистрибутивном ядре.

Федора вроде 3-я

"если пакетов/с много, то оверхед некислый" - ну пусть. Но для юзерского "десктопного" дистрибутива это же не имеет значения!

>Но для юзерского "десктопного" дистрибутива это же не имеет
>значения!

А если этот юзер до провайдера ходит через PPP, например по
ADSL, да еще с извратом MPPE+MPPC? Он готов терять пропускную
способность канала, за который он заплатил деньги? Там не все
так просто, можно потерять скорость до 20%, а то и больше...

Под "дистрибутивное ядром" в данном контексте понимается бинарное дефолтное ядро, а не исходники srpm, из которых можно его собрать..

"А если этот юзер до провайдера ходит" - так сейчас этот юзер просто не сможет выйти на провайдера! Потому что накладывать патчи mppc/mppe и компилировать ядро - не юзерское дело. А в случае использования библиотек из юзерспейса домашнему сам-себе-админу достаточно было бы просто установить нужную rpm-ку.

И все-таки я не понимаю. OpenVPN смогли сделать в юзермоде, при этом очень быстрым. PPP не хотят делать в юзермоде под предлогом большого оверхеда. Почему в одном случае оверхеда почти нет, а в другом он становится критичным?? Что за проклятие над протоколом ppp?

> Под "дистрибутивное ядром" в данном контексте понимается бинарное дефолтное ядро

Бинарное и используется из апдейтов, mppe/c не используется конечно

>Что за проклятие над протоколом ppp?

http://www.faqs.org/rfcs/rfc1661.html

>Потому что накладывать патчи mppc/mppe и компилировать ядро - не юзерское дело. А в случае использования библиотек из юзерспейса домашнему сам-себе-админу достаточно было бы просто установить нужную rpm-ку.

IMXO юзерское дело- загуглить http://www.google.ru/search?hl=ru&q=pptp+fedora и ткнуть в первую ссылку - никаких патчей и перекомпиляций, так что если и выносить из ядра- то не ради простоты установки

Ага, а когда ядро обновляется - еще раз гуглить. "Втирать до получения эффекта" ). Тем более что есть еще и мандрива и альт и асп. Несовместимость бинарных модулей ядра гораздо более жесткая, чем несовместимость библиотек в разных дистрибутивах. Кстати.. Мы же о подключении к интернету говорим, да?? :-) Как мы будем гуглить, если у нас еще интернет не работает!

>И все-таки я не понимаю. OpenVPN смогли сделать в юзермоде....

OpenVPN ни когда не заменит PPTP по той простой причине, что для него в винде нужен отдельный клиент. А клиент РРТР в винду уже встроен. Про психологию леммингов в курсе? 99,9% леммингов будут кушать то что им дали и, даже, не подумают, что возможна альтернатива. Примеры: IE, Media Player, default настройки Windows, Office, etc (когда я на них гляжу, всякий раз думаю - что за идиоты и для каких идиотов их делали?)

Так что OpenVPN (как бы хорош он не был) - тупиковая ветвь.

> mpd использует netgraph коего, в линуксе вроде как нет

Да, я знаю про netgraph. Но вот на сайте проекта почему-то написано, что mpd работает на всех POSIX системах, включая Linux.