Thema: PPTP mit ISDNPM 3.03
Datum: 2002-03-25

Auszug aus isdn.cfg:

----snip----
[GLOBAL]
... snip

    PPTPLines          :  1
... snip

[PPTP01]

    Indication          : 10123         //*1
    Connections         : 4             //*2
    Bind                : 127.0.0.1     //*3
----snip----


Zugehrige verbindungsdatei fr PPTP Server:
---------- pptp.dyn --------------

----snip-------
[DYNAMIC]

//------ PPTP Tunnel ------------------------------------------------

    Name            : PPTPTunnel
    Group           : Tunnel
    Called          : 10123*            //*1
    OAD             : *
    EndPoint        : 2365636234

    Flags           : DYNAMIC
    Flags           : CHAPMSV2          //*4
    Flags           : MPPE128           //*4
    Flags           : MULTILINK

    Profile         : PPP_SYNC

    TimeOut         : 3600,3600
----snip------

Und dazu eine Userdatei
----snip------
[USERID]

//------ PPTP Tunnel ---------------------------------------------------

    Name            : Test
    Group           : Tunnel
    SUserID         : test
    SPassWord       : test

    Flags           : MPPE128           //*4
    MSS             : 1300              //*5

    RemoteAddress   : 10.0.254.99/255.255.255.255
    YourIP          : 10.0.254.99
    MyIP            : 10.0.254.5
    DNS             : 132.230.200.200
----snip------

*1  simulierte Rufnummer um .in/.dyn Dateien speziell fr
    den PPPTP machen zu knnen, wird dort als Called
    konfiguriert. Bei Called mu ein * hinter der Nummer stehen.

*2  Anzahl gleichzeitig mglicher Tunnelverbindungen,
    Achtung: Die gesamtzahl der Connections darf nicht
    die im registrierungs key erlaubten berschreiten
    (normalerweise 3?), einschlielich ISDN,seriell und PPPOE!

*3  Wenn ein PPTP Server hinter dem ISDNPM masquerading
    eingsetzt werden soll, MUSS man hier die IP Adresse
    konfigurieren auf die der Server hren soll. Diese mu
    mit der im MasquerEntry definierten forward Adresse
    bereinstimmen. Wird wie hier im Beispiel die 127.0.0.1
    konfiguriert ist der PPTPServer nur von aussen
    ber Masquerading erreichbar, Clientbetrieb geht
    mglicherweise gar nicht.
    U.U. ist der Parameter auch erforderlich wenn man mehrere
    Netzwerkkarten hat um definierte Verhltnisse zu
    haben.

*4  MPPE128 = Microsoft 128 bit encryption
    Soll verschlsselt werden mu mit CHAPMSV2 authentifiziert
    werden.

*5  Die Packetgre sollte derzeit begrenzt werden, da
    ISDNPM Multilink noch keine Packetfragmentierung
    ber eine einzelne Verbindung untersttzt.


Bemerkungen :
-------------

1. IN Dateien
Will man eine .in Datei statt .dyn/.uid einsetzen, sollte
man in dieser .in trotzdem SUserID/SPassWord definieren,
da sonst keine Encryption mglich ist (Danksagungen und
Beschwerden bitte an Microsoft)

2. Masqerading von Tunnelverbindungen
Das ISDNPM masquerading manipuliert derzeit die
ID's einer Tunnelverbindung nicht. Das kann (muss aber nicht) zu
Konflikten fhren wenn gleichzeitig mehrere Tunnelverbindungen offen sind.
Das gilt auch dann wenn man ISDNPM-PPTP nicht
einsetzt, z.b. Win2000 client im lokalen Netz verbunden
ber ISDNPM Router mit Masquerading auf einen Linux-PPTPServer im
Internet.

3. Sicherheitsproblem mit Microsoft-Chap V2
MS-ChapV2 hat eine Schwche die die effektive Schlssellnge
des Challenge bei der Einwahl reduziert. Dies erlaubt
es eine sogenannte Wrterbuch attacke innerhalb
von wenigen Tagen durchzufhren. Dazu reicht es aus
einmal einen Mitschnitt einer erfolgreichen Einwahl
zu haben.
Es ist also wichtig nicht triviale Passwrter zu verwenden
wenn man eine sichere Verbindung ber das Internet oder
ein FunkLan aufbauen mchte.

Durchgefhrte Tests

* Win2000-Client auf ISDNPM-Server (mit und ohne masquerading), 
* ISDNPM-Client auf Linux-Server (mit Masquerding).
* ISDNPM-Client auf ISDNPM-Server

