Blockierung von PPTP

Nostromo

Habe nun schon des öfteren gesehen, dass div. Provider die VPN-Verbindungen über PPTP blockieren, also z. B. jene von Windows, dort ist dieses Protokoll fest integriert.
Ich habe den Verdacht, dass das sog. GRE-Protokoll blockiert wird, dieses wird für PPTP zwingend benötigt.
Z. B. blockt Eolo solche Verbindungen, wenn die IP hinter Carrier Grade Nat maskiert wird. Bei einer IP ohne Nat läuft es jedoch ohne Probleme.

Habt ihr vielleicht ähnliches beobachtet, vor allem auch über die Mobilnetze der verschiedenen Anbieter?

b123

Kein Wunder, GRE zu natten ist schwierig, bis unmöglich, und über Carrier Grade Nat kann man es grundsätzlich vergessen.

GRE besitzt im Gegensatz zu TCP und UDP keine Portnummern, was NAT Algorithmen aber brauchen um mehrere Clients hinter einer öffentlichen IP darzustellen.

Kleine Homerouter haben den Vorteil dass hinter ihnen meist nur ein PPTP Client sitzt, sie können also nach dem TCP/1723 Handshake ein Forwarding das GRE Protokolles an die (eine) Client-IP erstellen. Dass geht aber nur bei einem Client mit einer Session. Deswegen ist das ganze auch bei CGN nicht möglich, denn wenn's nur für einen der von der öffentlichen IP-Adresse dargestellten Kunden funktioniert, dann lasst man's frisch gleich.

Es gibt wohl noch zusätzliche nat-helper für den Linux kernel, die das noch besser machen (das mod-ipt-nathelper-extra Openwrt Packet, zb). Aber für CGN kannst du's vergessen.

Stört mich persönlich eigentlich gar nicht, denn es ist Zeit das PPTP ausstirbt. Alle halbwegs aktuellen VPN Technologien benutzen kein GRE/ESP mehr, oder haben zumindest einen UDP Fallback.

Nostromo

Deine Erklärung klingt logisch...
Aber ich habe z. B. zwei andere Clients hinter CGN (Fastweb Adsl u. SkyDsl Satellit), und bei denen funktioniert es ohne Probleme.

Deshalb habe ich nach einer Erklärung für dieses Verhalten gesucht.

b123

Ich kann nicht für alle NAT/GCN Implementationen sprechen. Möglich dass bei Fastweb und SkyDsl eine Implementierung genutzt wird, die die erste GRE Session zulässt und richtig weiterleitet.

Der Punkt ist, dass es schwierig ist, PPTP zuverlässig zu nutzen. Ein anderes Beispiel wären Guest-Wifi Netze. Hier kann PPTP evtl funktionieren oder auch nicht (aus denselben Gründen). Beispiel eine Präsentation beim Kunden (in seinem Guest-Wifi Netz). Nicht gut.

Deswegen haben IPSec Clients einen UDP-Fallback.

Nostromo

Ipsec over Nat wäre sicher eine Alternative, aber auch nur ein "Gefummle", meiner Meinung nach.

Eher werde ich OpenVpn verwenden, das ist in dieser Hinsicht am einfachsten zu handhaben, Sicherheit ist auch ok. Einziger Nachteil ist, dass Windows keinen eigenen Client dafür mitbringt.

b123

Ja, OpenVPN würde ich zur Zeit empfehlen und Wireguard ist eine vielversprechende Alternative für die Zukunft.

Einen in Windows integrierten Client gibt's leider nicht bei den "proprietären" OpenVPN/Wireguard.