• W tej części zajmiemy się protokołami, które uformowały historyczny krajobraz technologii VPN.
• Zaczniemy od GRE (IP Protocol 47) – uniwersalnego standardu tunelowania.
• Omówimy PPP (Point-to-Point Protocol) – protokół warstwy 2, będący fundamentem wielu rozwiązań VPN.
• Zakończymy na PPTP – pierwszym masowo wdrażanym protokole VPN firmy Microsoft.
• Celem tej części jest zrozumienie mechanizmów transmisji danych, zasad konfiguracji oraz krytycznych ograniczeń w sferze bezpieczeństwa.

• GRE (Generic Routing Encapsulation) to protokół tunelowania opracowany pierwotnie przez firmę Cisco.
• Zdefiniowany w publikacji RFC 2784.
• Jest to tzw. protokół "czysty" – służy wyłącznie do enkapsulacji (pakowania) pakietów.
• Ważne: Standardowo nie zapewnia on szyfrowania ani mechanizmów uwierzytelniania.
• Główna zaleta: Możliwość przesyłania praktycznie dowolnego protokołu warstwy wyższej (IPv4, IPv6, AppleTalk, IPX) przez sieć IP.

• Struktura pakietu wewnątrz tunelu GRE:
• [ Zewnętrzny nagłówek IP ] [ Nagłówek GRE ] [ Wewnętrzny nagłówek IP ] [ Dane ]
• Zewnętrzny nagłówek IP: Zawiera publiczne adresy routerów (punktów końcowych tunelu). Numer protokołu IP = 47.
• Nagłówek GRE: Rozmiar od 4 do 8 bajtów. Zawiera pole "Protocol Type", identyfikujące typ danych przesyłanych wewnątrz (np. 0x0800 dla IPv4).
• Wewnętrzny nagłówek IP: Zawiera adresy prywatne (np. z puli 192.168.x.x).

• Protokół GRE nie korzysta z portów TCP ani UDP.
• Działa bezpośrednio w warstwie sieciowej jako protokół IP o numerze 47.
• Częsty błąd: Administratorzy otwierają porty na zaporze (np. TCP 1723 dla PPTP), ale zapominają o zezwoleniu na ruch "Protocol GRE (47)".
• Objawy: Tunel nie zestawia się poprawnie lub komunikacja jest jednostronna.
• W systemie MikroTik: /ip firewall filter add protocol=gre action=accept

• GRE z założenia jest protokołem bezstanowym – urządzenie wysyła pakiet w tunel bez weryfikacji dostępności odbiorcy.
• Brak mechanizmu potwierdzenia odbioru danych (odpowiednik ACK w TCP).
• Brak wbudowanej retransmisji w przypadku utraty pakietów GRE.
• Odpowiedzialność za integralność i dostarczenie danych spoczywa na protokołach warstw wyższych (np. TCP aplikacji).
• Zaleta: Znikome obciążenie procesora. Wada: Trudniejsza diagnostyka prosta w podstawowej wersji.

• Skoro protokół jest bezstanowy, router musi samodzielnie sprawdzać, czy drugi koniec tunelu jest aktywny.
• Mechanizm Keepalive: Router A wysyła wewnątrz tunelu specjalny pakiet kontrolny, który Router B musi odesłać.
• Jeśli Router A nie otrzyma odpowiedzi w zadanym czasie (np. 10 s), uznaje tunel za nieaktywny (down).
• Pozwala to na dynamiczne usuwanie tras routingu prowadzących przez uszkodzony tunel.
• W systemie RouterOS: parametr keepalive=10s,10 (wysyłanie co 10 s, rozłączenie po 10 błędach).

• 1. Łączenie oddziałów w bezpiecznych sieciach operatorskich (np. wewnątrz MPLS), gdzie dodatkowe szyfrowanie nie jest wymagane.
• 2. Obsługa protokołów routingu dynamicznego (OSPF, RIP) przez Internet. Sam protokół IPSec nie przenosi ruchu rozgłoszeniowego i grupowego (Multicast), GRE tak!
• 3. Tunelowanie IPv6 przez infrastrukturę IPv4 (mechanizm 6in4).
• Najczęstszy bezpieczny scenariusz: GRE over IPSec – wykorzystanie elastyczności GRE wewnątrz bezpiecznego kanału IPSec.

Założenia: Biuro A (Public IP 1.1.1.1), Biuro B (Public IP 2.2.2.2).

Tworzenie logicznego interfejsu tunelu:

Tunel traktujemy jak połączenie punkt-punkt (wirtualny kabel). Na jego końcach nadajemy adresy IP ze wspólnej podsieci, np. 10.0.0.0/30.

Po tej operacji powinna być możliwa komunikacja ping między adresami 10.0.0.1 i 10.0.0.2.

Konfiguracja tras przesyłu dla sieci lokalnych za routerami (np. Biuro A: 192.168.10.0/24, Biuro B: 192.168.20.0/24).

• Uwaga na krytyczny błąd konfiguracyjny!
• Pojawia się, gdy router próbuje wysłać pakiet transportowy tunelu przez ten sam tunel, który próbuje zestawić.
• Skutek: Pętla logiczna i tzw. flapowanie tunelu (ciągłe zrywanie i nawiązywanie połączenia).
• Rozwiązanie: Trasa do publicznego adresu endpointu tunelu musi zawsze prowadzić przez fizyczny interfejs WAN, a nie przez trasę domyślną kierowaną w tunel.

• MTU sieci Ethernet: 1500 bajtów.
• Nagłówki: IP (20 B) + GRE (4 B) = 24 bajty narzutu.
• Efektywne MTU tunelu GRE: 1500 - 24 = 1476 bajtów.
• Przesłanie pakietu 1500 B bez podziału spowoduje jego fragmentację lub odrzucenie ze względu na rozmiar po enkapsulacji.
• Rekomendacja: Zastosowanie mechanizmu MSS Clamping (np. na wartość 1436 B) dla ruchu przechodzącego przez tunel.

• PPP to protokół warstwy drugiej (Danych), stworzony dla bezpośrednich połączeń punkt-punkt.
• Jest następcą starszego standardu SLIP.
• W kontekście VPN: popularne standardy takie jak PPTP, L2TP, SSTP czy PPPoE działają w oparciu o ramkowanie PPP.
• Zrozumienie działania PPP jest kluczowe, gdyż stanowi ono "wnętrze" (mechanizm negocjacji i logowania) większości tych tuneli.

• PPP składa się z kilku wyspecjalizowanych protokołów:
• LCP (Link Control Protocol): Odpowiada za zestawienie łącza, negocjację parametrów (MRU) oraz wybór metody uwierzytelniania.
• Protokoły uwierzytelniające: PAP, CHAP, MS-CHAP (weryfikacja tożsamości klienta).
• NCP (Network Control Protocols): Negocjacja parametrów warstwy trzeciej. Najważniejszy to IPCP (przydzielanie adresów IP, DNS).

• 1. Link Dead: Stan oczekiwania na fizyczne medium komunikacyjne.
• 2. Link Establishment (LCP): Wymiana pakietów konfiguracyjnych w celu ustalenia parametrów łącza.
• 3. Authentication: Wymagana w VPN weryfikacja danych logowania użytkownika.
• 4. Network Layer Protocol (IPCP): Negocjacja adresacji (serwer przydziela IP do wirtualnego interfejsu klienta).
• 5. Open: Faza aktywnej transmisji danych użytkowych.

• Najstarsza i najbardziej prymitywna metoda weryfikacji.
• Klient przesyła login i hasło w formie niezaszyfrowanej.
• Krytyczna wada: Dane wędrują jawnym tekstem (Cleartext).
• Przechwycenie pakietu (sniffing) pozwala na natychmiastowe odczytanie hasła.
• Zalecenie: Nigdy nie stosować w sieciach publicznych ani nowoczesnych VPNach.

• Metoda typu "wyzwanie-odpowiedź". Hasło nigdy nie jest przesyłane przez sieć.
• 1. Serwer wysyła losową wartość ("Challenge").
• 2. Klient łączy Challenge ze swoim hasłem i oblicza z nich skrót matematyczny (Hash MD5).
• 3. Klient odsyła wynikowy Hash do serwera.
• 4. Serwer wykonuje identyczne obliczenia. Zgodność wyników oznacza poprawną autoryzację.
• Zapewnia ochronę przed podsłuchem hasła, lecz bazuje na starszych algorytmach.

• Standard firmy Microsoft, domyślny dla wbudowanych klientów VPN Windows.
• Wprowadza wzajemne uwierzytelnianie (Mutual Authentication) – klient również weryfikuje tożsamość serwera.
• Służy do generowania kluczy sesyjnych wykorzystywanych do późniejszego szyfrowania danych (MPPE).
• Chroni przed atakami typu "fałszywy serwer VPN".
• Uwaga: Jest podatny na zaawansowane ataki słownikowe. Wymaga stosowania skomplikowanych haseł użytkowników.

• Podstawowy protokół PPP nie oferuje szyfrowania treści. Funkcję tę zapewnia rozszerzenie MPPE.
• MPPE szyfruje pakiety PPP przy użyciu algorytmu RC4 (o długości klucza 40 lub 128 bitów).
• Klucze są generowane dynamicznie podczas procesu logowania metodą MS-CHAPv2.
• Mimo że RC4 jest obecnie uznawany za słaby algorytm krypto, stanowi jedyny natywny standard szyfrowania dla PPTP.

Profil (PPP Profile) to szablon określający parametry wspólne dla grupy użytkowników.

Lokalna baza kont na urządzeniu (możliwa jest również integracja z serwerem RADIUS).

Istnieje możliwość przypisania statycznego adresu IP dla wybranego użytkownika.

• Stosowany, gdy klienci VPN otrzymują adresy z tej samej podsieci co sieć lokalna LAN.
• Pakiety ARP (warstwa 2) nie przechodzą przez router, co uniemożliwia komunikację między LAN a klientem VPN.
• Rozwiązanie: Włączenie funkcji Proxy-ARP na interfejsie LAN (lub bridge-u) routera.
• Router zacznie odpowiadać w imieniu klientów VPN na zapytania ARP pochodzące z sieci lokalnej.
• Włączenie w systemie MikroTik: /interface bridge set bridge-local arp=proxy-arp

• Protokół PPTP wykorzystuje do działania dwa równoległe kanały:
• 1. Kanał Sterowania (TCP 1723): Zadania administracyjne, negocjacja sesji i uwierzytelnianie.
• 2. Tunel Danych (IP Protocol 47 GRE): Faktyczny przesył ramek PPP z danymi użytkownika.
• To rozdzielenie jest najczęstszą przyczyną problemów z przechodzeniem przez zapory sieciowe.

• PPTP nie korzysta ze standardowego GRE, lecz z jego rozszerzonej wersji.
• Dodano pole "Call ID" w nagłówku, co pozwala routerowi na rozróżnianie sesji wielu klientów łączących się z tego samego publicznego adresu IP (za NAT-em).
• Wewnątrz tak zmodyfikowanego pakietu GRE znajduje się zaszyfrowana za pomocą MPPE ramka PPP.

• Mechanizm translacji adresów NAT (w szczególności PAT) natywnie koliduje z brakiem numerów portów w protokole GRE.
• Większość routerów domowych posiada funkcję PPTP Passthrough (tzw. Helper).
• Zadaniem "helpera" jest monitorowanie sesji na porcie TCP 1723 i poprawne przekierowanie skorelowanych pakietów GRE do odpowiedniego urządzenia w sieci lokalnej.
• Brak tej funkcji skutkuje najczęściej błędem połączenia o numerze 619 w systemie Windows.

• Współcześnie protokół PPTP jest uznawany za WYCOFANY I NIEBEZPIECZNY.
• Luki MS-CHAPv2: Słabość algorytmu DES umożliwia złamanie kluczy metodą brute-force w czasie poniżej jednej doby przy użyciu mocy obliczeniowej chmury.
• Luki MPPE: Algorytm RC4 posiada błędy konstrukcyjne ułatwiające kryptoanalizę treści.
• Brak mechanizmu Perfect Forward Secrecy.
• Jedyny powód ciągłej obecności: Natywne wsparcie w niemal każdym systemie i banalna konfiguracja.

Aktywacja usług serwerowych:

Należy zezwolić na ruch przychodzący (Input chain) do routera:

Błąd w regułach skutkuje zawieszeniem klienta na etapie weryfikacji loginu i hasła.

• 1. Przejdź do: Start -> Ustawienia -> Sieć i Internet -> VPN.
• 2. Wybierz opcję "Dodaj połączenie VPN".
• 3. Dostawca sieci VPN: Windows (wbudowane).
• 4. Nazwa połączenia: np. "VPN Firmowy PPTP".
• 5. Adres serwera: Publiczny adres IP lub nazwa domenowa bramy VPN.

• 6. Typ sieci VPN: Wybierz jawnie Protokół PPTP (skraca to czas negocjacji).
• 7. Typ informacji logowania: Nazwa użytkownika i hasło.
• 8. Wprowadź dane zidentyfikowane wcześniej w sekcji "Secrets" na routerze.
• 9. Zapisz i przetestuj połączenie.

• Domyślnie system kieruje cały ruch (Full Tunneling) przez VPN, co może obciążać łącze firmowe.
• Aby włączyć Split Tunneling (ruch internetowy poza tunelem):
  • Wejdź w ustawienia karty sieciowej VPN we właściwościach klasycznego Panelu Sterowania.
  • Właściwości protokołu IPv4 -> Zaawansowane.
  • Odznacz opcję "Użyj domyślnej bramy w sieci zdalnej".

• "Nie można ustanowić połączenia z komputerem zdalnym...".
• Najczęstsza przyczyna: Blokada protokołu GRE (protokół 47) po drodze między klientem a serwerem.
• Sprawdź, czy router klienta wspiera "PPTP Passthrough".
• Zweryfikuj, czy dostawca Internetu nie blokuje ruchu spoza protokołów TCP/UDP.

• Przyczyna: Serwer VPN jest całkowicie nieosiągalny dla klienta.
• Podstawowe kroki naprawcze:
  • Sprawdź dostępność portu TCP 1723 narzędziem telnet lub Test-NetConnection.
  • Upewnij się, że serwer posiada poprawny publiczny adres IP.
  • Przeanalizuj logi systemowe na routerze MikroTik (sekcja /log print).

• "Odmowa dostępu: nazwa użytkownika lub hasło są nieprawidłowe".
• Przyczyna: Pomyłka w danych logowania lub niedopasowanie metod uwierzytelniania między stronami.
• Sprawdź, czy serwer nie wymaga wyłącznie MS-CHAPv2, podczas gdy klient próbuje użyć słabszych metod.
• Dopasuj ustawienia w zakładce "Zabezpieczenia" we właściwościach połączenia sieciowego.

• System RouterOS może pełnić również funkcję klienta (PPTP Client).
• Konfiguracja: /interface pptp-client add connect-to=[Public_IP] user=[Nazwa] password=[Haslo].
• Stosowane do szybkiego łączenia dwóch sieci LAN.
• Wymaga ręcznego dopisania tras statycznych lub uruchomienia protokołu routingu.
• Jest to najprostsza metoda zestawienia tunelu "na żądanie", gdy bezpieczeństwo danych jest drugorzędne.

• Mocną stroną PPTP jest jego mała złożoność obliczeniowa.
• Algorytm szyfrowania RC4 nie obciąża procesorów tak znacząco jak AES stosowany w IPSec.
• Na urządzeniach o słabszych procesorach PPTP oferuje wyższą przepustowość realną niż rozwiązania nowsze.
• Jest to główny argument za utrzymywaniem tego standardu w tanich urządzeniach konsumenckich.

• Autorski standard firmy MikroTik, bazujący na modyfikacji GRE (Protocol 47).
• Umożliwia przesyłanie pełnych ramek warstwy 2 (Ethernet) przez tunel.
• Pozwala na "przezroczyste" rozciągnięcie tego samego segmentu sieci lokalnej między lokalizacjami.
• Wymaga obecności systemu RouterOS na obu końcach połączenia.

• Jeśli sytuacja techniczna wymusza zastosowanie PPTP, należy:
• 1. Wymusić stosowanie bardzo długich i złożonych haseł (powyżej 14 znaków).
• 2. Ograniczyć dostęp do serwera VPN na firewallu wyłącznie do zaufanych adresów IP źródłowych.
• 3. Zmienić domyślny port TCP 1723 na inny w celu ochrony przed automatycznymi skanerami.
• 4. Systematycznie monitorować logi serwera pod kątem prób ataku brute-force.

• Naturalnym następcą w świecie Windows jest L2TP/IPSec.
• Rozwiązaniem odpornym na blokady firewalli (port 443) jest protokół SSTP.
• Szczegółowe omówienie obu technologii nastąpi w dalszej części kursu.
• Mimo wad, znajomość mechanizmów działania PPTP jest fundamentem wiedzy o tunelowaniu danych.

• Przeanalizowaliśmy działanie protokołu GRE – uniwersalnego nośnika danych (IP Protocol 47).
• Omówiliśmy mechanizmy negocjacji i autoryzacji w standardzie PPP (LCP, IPCP).
• Poznaliśmy budowę systemu PPTP (kanał sterowania TCP oraz tunel danych GRE).
• Poznaliśmy zasady konfiguracji serwera oraz klienta.
• Zidentyfikowaliśmy kluczowe zagrożenia bezpieczeństwa wynikające z konstrukcji PPTP.
• Zadanie domowe: Spróbuj uruchomić i nawiązać połączenie VPN PPTP z użyciem wbudowanego klienta systemu mobilnego.