什么是PPTP?

点对点隧道协议 (PPTP) 是一种 VPN 协议,用于保护您的设备和 VPN 服务器之间的连接。 作为最古老的 VPN 协议之一,PPTP 受到多个安全问题的困扰,现在被认为已过时。

尽管如此,它与大量遗留软件和硬件的广泛兼容性、易于设置、轻量级的特性,以及企业升级其旧 PPTP 企业内部网 VPN 系统的高成本,意味着该协议在 2021 年仍然广泛使用采用。

什么是 VPN 协议?

VPN 协议是传输协议和加密标准的混合体,可在您的设备和 VPN 服务器之间建立安全连接,并在数据在它们之间传输时对其进行加密。

VPN 协议应该提供三件事:

  • 身份验证 – 防止未经授权的用户连接到 VPN 服务器
  • 保密 – 使用加密确保没有人可以访问(“嗅探”)通过 VPN 网络发送的数据包的内容
  • 完整性——检测传输的数据是否以任何方式被篡改

今天使用的 VPN 协议包括:

  • PPTP
  • L2TP/IPsec
  • IKEv2 (/IPsec)
  • 开放式VPN
  • WireGuard®
  • SSTP
  • 软以太
  • Cisco AnyConnect(及其开源变体 OpenConnect)——这些协议几乎完全由企业 VPN 内部网使用,而不是由商业 VPN 服务使用,例如 ProtonVPN.

了解有关 VPN 协议的更多信息

了解有关 WireGuard 的更多信息

什么是PPTP VPN?

历史

PPTP 规范由 Microsoft 成立的联盟开发,旨在通过拨号网络创建 VPN 连接,并于 1999 年发布。Microsoft 迅速将 PPTP 支持添加到 Windows 95,结果它很快成为了默认的 VPN 协议企业内联网无处不在。

支持

在过去的 20 多年中,几乎所有支持 VPN 的平台都内置了对 PPTP 的支持,并且 Windows 11、Android 12、大多数 Linux 发行版和绝大多数支持 VPN 的路由器继续原生支持.

然而,苹果 移除 2018 年从 iOS 10+ 和 macOS 10.12 Sierra 开始支持 PPTP,并建议不要在其旧版本的操作系统上使用它。

最近的版本 Chrome 操作系统不直接支持 PPTP,但可以使用支持 Google Play 商店的 Chromebook 上的 Android 子系统配置 PPTP 连接。

这个怎么运作

PPTP是一个 隧道协议,本身并不是一个完整的 VPN 协议。 加密和身份验证由 点对点协议 (PPP),但 PPP 不包括将数据包定向到其目的地的路由机制。

PPTP 通过端口 1723 与 VPN 服务器建立 TCP 连接,使用重新打包 PPP IP 数据包 通用路由封装 (GRE)。 这些数据包被加密 微软点对点加密 (MPPE),它使用一个 RSA RC4 流密码 最大密钥大小为 128 位。

身份验证通常使用 MS-CHAP(现在是 v2)协议来实现。 (它是 可能的 使用更安全的 AEP-TLS,但这涉及实现服务器证书系统,这在很大程度上否定了首先使用 PPTP 的优势。)

速度

PPTP 是一个非常简单和轻量级的 VPN 协议。 这有助于提高速度性能(尤其是在处理能力较低的设备上),并在移动设备上提供良好的电池寿命。 与更安全(但也更麻烦)的 OpenVPN 协议相比,这一点尤其正确。

安全

众所周知,PPTP 存在许多关键的安全问题。 其中最严重的一个是未封装的 MS-CHAP v2 身份验证的可能性,这可能允许攻击者利用加密弱点来获取用户凭据。

利用这个漏洞,加密传奇 Moxie Marlinspike 在 2012 年首次发布的工具允许 PPTP 不到一天就破解了. 这个缺陷导致微软自己 推荐 改用 L2TP/IP、IKEv2、IPsec 或 SSTP。

2019年,微软还发布了“适用性声明”,并指出 MS-CHAP v2 使用的身份验证方法容易受到 字典攻击. 更糟糕的是,PPTP 用于加密数据的 RC4 密码容易受到 位翻转攻击.

因此,在 2014 年,当 明镜周刊 发布从举报人爱德华·斯诺登获得的文件,证实美国国家安全局在访问使用 PPTP 保护的数据方面几乎没有问题。

抵制审查

PPTP使用TCP端口1723,GRE封装的数据包使用 IP协议号 47,使用防火墙阻止这两者都是微不足道的。

概括

PPTP 不是一种安全的 VPN 协议,绝不应在任何需要考虑安全性的情况下使用。

它的易用性、轻量级特性和几乎无处不在的支持意味着它在安全性不是问题的情况下仍然有用。 为了 example用例包括当您需要克服 IPS 限制、取消阻止受地理限制的网站和流式传输时 Netflix 内容。

然而,在 ProtonVPN 我们认为这种过时协议的安全漏洞使其不适合目的,并且现代商业 VPN 服务向其用户提供 PPTP 作为一种选择是不负责任的。

在 ProtonVPN 我们仅提供在其最高安全设置下实施的加密安全 VPN 协议。 这些协议是:

  • 开放式VPN
  • IKEv2
  • 线卫

经常问的问题

PPTP 使用什么端口?

PPT 使用 TCP 端口 1723。

什么是PPTP透传?

所有路由器都使用网络地址转换 (NAT) 将传入和传出连接映射到与其连接的本地设备。 但是,并非所有路由器都了解怎样处理使用旧 VPN 协议(如 PPTP、IPSec 和 L2TP)加密的数据包。

要处理使用这些 VPN 协议的流量,路由器必须支持 VPN 直通。 如果没有,VPN 流量将被路由器阻止。 PPTP 直通将 PPTP 使用的基本 GRE 协议替换为增强版本,其中包括可用于识别 PPTP 客户端并正确路由其数据包的呼叫 ID。

大多数现代路由器都包含一个 VPN 直通,可以处理受此问题影响的所有常见 VPN 协议(包括 PPTP)。 除此之外,现代 VPN 协议(例如 OpenVPN、IKEv2 和 Wireguard)不受此问题的影响,因为它们旨在解决此问题。

我需要PPTP客户端吗?

大多数支持 VPN 的设备和操作系统都包含本机 PPTP VPN 客户端。 一个主要的例外是不再支持 PPTP 的 Apple 设备。 这对 Apple 来说是一个很好的举措,因为更现代的 VPN 协议可以完成 PPTP 所做的一切,同时也更加安全。