Які недоліки OpenVPN?

29

Я бачив так багато людей, які завжди борються з IPSec та багатьма іншими безпечними технологіями VPN. Я, наприклад, завжди просто використовував OpenVPN з прекрасними, простими та універсальними результатами. Я використовував це на маршрутизаторах DD-WRT, великих серверах та андроїд телефонах, щоб назвати декілька.

Може хтось, будь ласка, пояснить мені, що я пропускаю? Чи є якісь мінуси OpenVPN, про які я не знаю? Чи пропонують IPSec та друзі якусь дивовижну функцію, про яку я не знав? Чому не всі користуються OpenVPN?

vpn  ipsec 
user1056
джерело

Відповіді:

20

IMHO, найбільшим недоліком OpenVPN є те, що він не сумісний з переважною більшістю продуктів від постачальників мереж "великого імені". Продукти безпеки та маршрутизатори Cisco & Juniper не підтримують її - вони підтримують лише IPsec та власні VPN-адреси SSL. Palo Alto, Fortinet, Check Point і т.д. теж не підтримують це. Отже, якщо ваша організація / підприємство хоче налаштувати VPN від сайту до сайту для іншої компанії, а у вас є лише пристрій OpenVPN, вам, мабуть, не пощастить.

Однак, деякі мережеві апаратні та програмні компанії починають сприймати OpenVPN. MikroTik - одна з них. Він підтримується з RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Крім того, для найдовшого часу єдиний спосіб запустити клієнт OpenVPN на iOS від Apple вимагав джейлбрейк. Це вже не так:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

В цілому ситуація покращується. Однак без таких постачальників, як Cisco & Juniper, що впроваджують її у свої продукти, я не бачу великих підприємств, які приймають її без проблем інтероперабельності.

Марк Каміхофф
джерело
Так само як Mikrotik OpenVPN є (і вже деякий час працює) pfSense pfsense.org (Хоча я не вірю, що ви можете створювати тунелі від сайту до сайту, можливо, через CLI?
jwbensley
Я не знав, що це програма для IOS OpenVPN, так!
zevlag
6

IPSEC є стандартним. Практично кожен постачальник мереж підтримує це. Ви не можете досягти однакового рівня сумісності між маршрутизаторами з OpenVPN.

Як сказав Девід, з OpenVPN для клієнтського VPN рішення нічого поганого. Для сайту до сайту VPN чи інфраструктурних рішень я б обрав IPSEC VPN.

sergejv
джерело
5

Одним із мінусів є те, що у корпоративному середовищі деякі менеджери не люблять покладатися на програмне забезпечення з відкритим кодом.

Я особисто не бачу нічого поганого в OpenVPN для користувача VPN рішення.

IPSEC може бути реалізований апаратно (а точніше елемент шифрування IPSEC), і так корисно, коли ви хочете пересувати багато даних через VPN і не хочете жертвувати процесорною потужністю на кінцевих станціях користувача.

Девід Ротера
джерело
Існують повністю вбудовані рішення IPsec. Однак вони а) дорогі та б) майже завжди власність Windows (сервера). (криптовалюта, що відповідає NIC [кавіуму], або вбудована безпосередньо в нік [intel])
Ricky Beam
Я мав на увазі більше подібних до ASA, які роблять криптовалюти.
Девід Ротера
Я думав, що це робить це NIC. У наші дні багато апаратних засобів для маршрутизаторів / брандмауерів мають криптовалюту. (ключовий степ - це дуже дорога частина; 'анемічні процесори, які використовуються в більшості маршрутизаторів, потрібні і для руху)
Ricky Beam
Я думаю, що IPSEC в технічному пункті є великим плюсом для IPSEC. OpenVPN раніше був (і я вважаю, що все ще є, але я не можу знайти жодної остаточної документації) однопотокової. Допомагаючи в початковому розслідуванні створення комерційної VPN-компанії, від неї відмовилися, оскільки OpenVPN не буде досить швидким. Дивіться цю відповідь ServerFault для деякого розуміння (детальніше про паралельні з'єднання); serverfault.com/questions/439848/… Швидкість може бути не такою важливою для вас, ми розглядали продаж VPNS 100Mbps.
jwbensley
1

  • OpenVPN має більш безпечну реалізацію (Userpace vs Kernel).

  • Він краще працює з брандмауерами та NAT (не потрібно забезпечувати NAT-T) і його важко фільтрувати.

  • Це набагато менш складно, ніж IPsec

Хюсуф
джерело
3
Квест задає питання про мінуси OpenVPN ...
tegbains
Користувацький простір за своєю суттю не є більш безпечним, ніж простір ядра, і безпеку найкраще вирішити шляхом огляду та тестування - один стандартизований з причини.
mikebabcock
2
Насправді так і є. реалізація VPN у користувальницькому просторі є більш захищеною з точки зору системи, ніж у ядрі. Детальніше дивіться у цій статті ДАНС про VPNS
hyussuf
З моменту, коли ця відповідь спочатку була розміщена, дещо розвинулося; зокрема, вразливість Heartbleed у 2014 році, на жаль, нагадала всім, як глибокі вразливості на OpenSSL можуть впливати на весь OpenVPN. Він також продемонстрував, що запуск у просторі користувачів не робить атаки менш критичними, враховуючи, що програмне забезпечення VPN має дуже високу ймовірність контактувати з високочутливим контентом, часто простежуючи шлях до отримання привілеїв root на машині VPN та / або інших машинах навколо. Нарешті, більшість корпоративних брандмауерів зараз блокують OpenVPN через глибоку перевірку пакетів…
jwatkins
1

OpenVPN не має певних нормативних сертифікатів, як, наприклад, підтримка FIPS 140-2.

ах
джерело
1
Насправді можлива підтримка FIPS 140-2 з OpenVPN ... там була сертифікована збірка OpenSL і патчів для OpenVPN, щоб використовувати його сертифікованим способом ... ми робимо саме це, насправді.
Джефф МакАдамс
1

Єдиний технічний недолік OpenVPN, який я бачу, - це те, що порівняно з конкурентами система вводить багато затримок у посиланнях VPN . Оновлення: Я виявив, що це помилка не в OpenVPN, а лише в моїх тестах. Коли OpenVPN працює за протоколом TCP, накладні витрати TCP роблять OpenVPN трохи повільнішим. L2TP використовує фіксовані порти та протоколи для сумісності, а отже, немає можливості його запускати на TCP. OpenVpn на UDP здається швидшим для багатьох інших користувачів.

Єдиною іншою перевагою під час використання PPTP / L2TP / Ipsec є те, що мені було легше налаштувати на машині Windows або iPhone, не встановлюючи додаткового програмного забезпечення на стороні клієнта. YMMV.

Ви можете прочитати цю сторінку

Сураджрам Кумаравель
джерело
1
Де я працюю, ми досить багато використовуємо OpenVPN і не знаємо про додаткові проблеми із затримкою через це. Чи можете ви детальніше розповісти про природу цього?
Джефф МакАдамс
Я тестував OpenVPN, L2TP та PPTP, намагаючись зашифрувати з'єднання зі своїм VoIP-сервером під час використання програмних телефонів на віддалених робочих станціях. Я виявив, що OpenVPN представив найбільшу затримку, і PPTP був найшвидшим. Врешті-решт я пішов з L2TP. Проблеми із затримкою виявилися лише у кількох поганих мережах 3G, але навіть у тих самих мережах L2TP, здавалося, спрацював нормально.
Сурайрам Кумаравель
Читання ivpn.net/pptp-vs-l2tp-vs-openvpn змушує мене думати, що це було специфічним питанням моєї установки, а не загальною проблемою. Дякуємо, що допомогли мені зрозуміти, що Джефф!
Сураджрам Кумаравель
1

Я віддаю перевагу IPSec майже кожного разу, тому що я з ним знайомий і він завжди працює. Базуючись на стандартах, його підтримують майже все, від телефонів і планшетів до машин Windows та Linux, і він має корисні функції, такі як підтримка NAT і виявлення мертвих однолітків.

FYI я в основному використовую Openswan в Linux.

Однією з головних причин безпеки, яку ми віддаємо перевагу IPSec, є обертання клавіш сеансу. OpenVPN, можливо, це реалізував (але я цього не бачу). Це означає, що зловмисник, який пасивно фіксує дані довгостроково, не може одразу змусити весь журнал зв’язку, а варто лише кожного ключа сеансу.

мікебаккок
джерело
Як порівняння, OpenVPN також працює через NAT і підтримується на ПК, телефонах і таблицях (Windows, Mac OS X, Linux, BSD, Android, iOS тощо).
jwbensley
Я мав на увазі вбудовану підтримку, можливо, не очевидно @javano
mikebabcock
Я припускаю, що ви ніколи не використовували OpenVPN. Ніхто, хто не використовував OpenVPN і IPsec, не вибере IPsec, оскільки він "завжди працює". Серед найбільших переваг OpenVPN - це різко знижена складність і простота усунення несправностей. Я бачив це як хтось, хто кілька років тому перетворював сотні віддалених пристроїв Linux (які проживають на сайтах клієнтів) з IPsec на OpenVPN. IPsec хороший, якщо вам потрібно підключитися до того, що ви не керуєте / керуєте, що підтримує лише IPsec. OpenVPN - кращий вибір майже в кожному іншому випадку.
Крістофер Кашелл
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.