OpenVPN vs. IPsec - плюси і мінуси, що використовувати?

Цікаво, що я не знайшов хороших результатів пошуку при пошуку "OpenVPN vs IPsec". Тож ось моє запитання:

Мені потрібно налаштувати приватну локальну мережу через ненадійну мережу. Наскільки я знаю, обидва підходи здаються справедливими. Але я не знаю, який із них кращий.

Буду дуже вдячний, якщо ви можете перерахувати плюси і мінуси обох підходів, а може бути і ваші пропозиції та досвід щодо того, що використовувати.

Оновлення (щодо коментаря / питання):

У моєму конкретному випадку мета полягає в тому, щоб будь-яка кількість серверів (зі статичними IP-адресами) прозоро з'єднувалась один з одним. Але невелика частина динамічних клієнтів, таких як "дорожні воїни" (з динамічними IP-адресами), також повинна мати можливість з'єднатися. Основна мета, однак, полягає в тому, щоб "прозора захищена мережа" працювала над непідтвердженою мережею. Я досить новачок, тому не знаю, як правильно інтерпретувати "1: 1" Підключення до точки "=> Рішення повинно підтримувати трансляції та все те, що є цілком функціональною мережею.

У мене все налаштування сценаріїв у моєму середовищі. (openvpn-сайт, дорожні воїни; сайт cisco ipsec, віддалені користувачі)

Напевно openvpn швидше. Програмне забезпечення openvpn менше витрачається на віддалених користувачів. Openvpn є / може бути налаштований на порт 80 за допомогою tcp, щоб він проходив у місцях з обмеженим вільним інтернетом. Openvpn стабільніший.

Openvpn в моєму середовищі не змушує політику до кінцевого користувача. Розподіл ключів Openvpn трохи складніше зробити безпечно. Паролі ключів Openvpn призначені для кінцевих користувачів (вони можуть мати порожні паролі). Openvpn не схвалюється певними аудиторами (тими, хто читає лише погані торгові лахміття). Openvpn потребує трохи мізків для налаштування (на відміну від Cisco).

Це мій досвід роботи з openvpn: я знаю, що більшість моїх негативів можна усунути через зміни конфігурації чи зміни в процесі. Тому сприймайте всі мої негативи з трохи скептицизму.

Однією з ключових переваг OpenVPN перед IPSec є те, що деякі брандмауэры не дозволяють IPSec трафіку проходити, але дозволяють UDP-пакетам OpenVPN або потокам TCP рухатися без перешкод.

Щоб IPSec функціонував ваш брандмауер, або потрібно знати (або потрібно ігнорувати та прокладати маршрути, не знаючи, що це таке) пакетів типів протоколів IP ESP і AH, а також більш всюдисущого тріо (TCP, UDP і ICMP.

Звичайно, ви можете знайти деякі корпоративні середовища навпаки: дозволити IPSec через, але не OpenVPN, якщо ви не зробите щось божевільне, як тунелювання через HTTP, так що це залежить від призначеного середовища.

OpenVPN може робити тунелі на рівні Ethernet, що не може зробити IPsec. Це важливо для мене, тому що я хочу тунелювати IPv6 з будь-якої точки світу, яка має лише IPv4 доступ. Можливо, є спосіб зробити це за допомогою IPsec, але я цього не бачив. Крім того, у більш новій версії OpenVPN ви зможете зробити тунелі на рівні Інтернет, які можуть тунелювати IPv6, але версія Debian стискати не може цього, тому тунель на рівні Ethernet добре працює.

Тож якщо ви хочете тунелювати трафік, який не стосується IPv4, OpenVPN перемагає над IPsec.

OpenVPN є

набагато простіше адмініструвати налаштування та використовувати на мою думку .. Його повністю прозорий VPN, який мені подобається ...

IPsec - це більше "професійний" підхід із значно більшою кількістю варіантів щодо класичної маршрутизації в vpns.

Якщо ви хочете лише vpn від 1 до 1, я б запропонував використовувати OpenVPN

Сподіваюся, що це допомагає: D

Я мав певний досвід управління десятками сайтів по всій країні (NZ), кожен з яких підключався до Інтернету через ADSL. Вони працювали з IPSec VPN, переходячи на єдиний сайт.

Вимога клієнтів змінилася, і їм потрібно було мати два VPN, один переходив на основний сайт, а другий - на веб-сайт з відмовою. Замовник хотів, щоб обидва VPN були активними одночасно.

Ми виявили, що використовувані маршрутизатори ADSL не впоралися з цим. З одним IPSec VPN вони були в порядку, але як тільки дві VPN були підняті, маршрутизатор ADSL перезавантажився. Зауважте, що VPN був ініційований із сервера всередині офісу, за маршрутизатором. У нас є постачальники техніки для перевірки маршрутизаторів, і вони направили багато діагностики назад постачальнику, але виправлення не знайдено.

Ми протестували OpenVPN, і проблем не було. Враховуючи пов'язані з цим витрати (замінити десятки маршрутизаторів ADSL або змінити технологію VPN), було вирішено змінити на OpenVPN.

Ми також знайшли діагностику простішою (OpenVPN набагато зрозумілішою), і багато інших аспектів управління накладними витратами для такої великої та широко розповсюдженої мережі було набагато простішим. Ми ніколи не оглядалися.

Я використовую OpenVPN для VPN від сайту до сайту, і він чудово працює. Мені дуже подобається, як налаштовується OpenVPN для кожної ситуації. Єдине питання, яке у мене виникло, це те, що OpenVPN не є багатопоточним, тому ви можете отримати лише стільки пропускної здатності, скільки 1 CPU. Провівши тестування, ми змогли без проблем просунути ~ 375 Мбіт / сек через тунель, що більш ніж достатньо для більшості людей.

Відкрити VPN-сайт на сайт набагато краще, ніж IPSEC. У нас є клієнт, для якого ми встановили Open-VPN в мережі MPLS, який працював чудово і підтримував швидше і безпечніше шифрування, наприклад 128-бітний CBC Blow-fish. На іншому веб-сайті, підключеному через загальнодоступний IP, ми використовували це з'єднання також у низькій смузі пропускання, такі як 256kbps / 128kbps.

Однак дозвольте зазначити, що інтерфейси IPSec VTI зараз підтримуються в Linux / Unix. Це дозволяє створювати маршрутизовані та захищені тунелі приблизно так само, як сайт OpenVPN на сайт або GRE через IPSec.