OpenVPN vs. IPsec - плюси і мінуси, що використовувати?


76

Цікаво, що я не знайшов хороших результатів пошуку при пошуку "OpenVPN vs IPsec". Тож ось моє запитання:

Мені потрібно налаштувати приватну локальну мережу через ненадійну мережу. Наскільки я знаю, обидва підходи здаються справедливими. Але я не знаю, який із них кращий.

Буду дуже вдячний, якщо ви можете перерахувати плюси і мінуси обох підходів, а може бути і ваші пропозиції та досвід щодо того, що використовувати.

Оновлення (щодо коментаря / питання):

У моєму конкретному випадку мета полягає в тому, щоб будь-яка кількість серверів (зі статичними IP-адресами) прозоро з'єднувалась один з одним. Але невелика частина динамічних клієнтів, таких як "дорожні воїни" (з динамічними IP-адресами), також повинна мати можливість з'єднатися. Основна мета, однак, полягає в тому, щоб "прозора захищена мережа" працювала над непідтвердженою мережею. Я досить новачок, тому не знаю, як правильно інтерпретувати "1: 1" Підключення до точки "=> Рішення повинно підтримувати трансляції та все те, що є цілком функціональною мережею.


2
Ви повинні вказати, чи потрібен вам "стійкий" тунель VPN від сайту до сайту або рішення для багатьох клієнтів для віддаленого підключення до одного сайту. Це робить різницю у відповіді.
rmalayter

2
Оновлення: я знайшов досить цікаву статтю. Можливо, стаття упереджена? Підсумовуючи цю статтю, IPSec набагато швидше! enterprisenetworkingplanet.com/netsecur/article.php/3844861 / ...
Jens

Відповіді:


29

У мене все налаштування сценаріїв у моєму середовищі. (openvpn-сайт, дорожні воїни; сайт cisco ipsec, віддалені користувачі)

Напевно openvpn швидше. Програмне забезпечення openvpn менше витрачається на віддалених користувачів. Openvpn є / може бути налаштований на порт 80 за допомогою tcp, щоб він проходив у місцях з обмеженим вільним інтернетом. Openvpn стабільніший.

Openvpn в моєму середовищі не змушує політику до кінцевого користувача. Розподіл ключів Openvpn трохи складніше зробити безпечно. Паролі ключів Openvpn призначені для кінцевих користувачів (вони можуть мати порожні паролі). Openvpn не схвалюється певними аудиторами (тими, хто читає лише погані торгові лахміття). Openvpn потребує трохи мізків для налаштування (на відміну від Cisco).

Це мій досвід роботи з openvpn: я знаю, що більшість моїх негативів можна усунути через зміни конфігурації чи зміни в процесі. Тому сприймайте всі мої негативи з трохи скептицизму.


2
Гарний коментар про аудиторів; погодиться зі своїми звичками читання;) Просто скажи їм, що він використовує стандартний протокол TLS з 128-бітовим шифруванням AES CBC, і вони будуть
відлякані

Мені важко взяти аргумент "набагато швидше", викладений у багатьох відповідях. Накладні витрати на шифрування для AES, безумовно, повинні бути незначними.
user239558

@ user239558: Хоча IPSec два рази інкапсулює пакети, тож накладні витрати подвоюються порівняно з OpenVPN.
jupp0r

4
@ jupp0r це неправильно. IPsec спричиняє накладні витрати 66B (IP 20B, 8B UDP, 38B ESP) з включеним NAT проходженням. OpenVPN викликає накладні витрати 69B (IP 20B, 8B UDP, 41B OpenVPN hdr).
tobias

1
Старий відповідь, але я використовував OpenVPN "голий" (тобто: без шифрування), "слабкий" (64-бітний) і "сильний" (AES256-бітний), і між ними існує різниця в 1 мс. Т.е.: Нічого. ||| Я робив тест на однопотоковому VPS-машині у Vultr, що, звичайно, не є науковим тестом. Але підсумок такий же. Якщо ви використовуєте будь-який тип Xeon (або віртуалізуєтесь на Xeon), ви не побачите різниці. Звичайно, зі збільшенням швидкості це змінюється. Рекомендується використовувати 128-розрядний AES або Intel-прискорений AES, якщо у вас стільки пропускної здатності.
Apache

18

Однією з ключових переваг OpenVPN перед IPSec є те, що деякі брандмауэры не дозволяють IPSec трафіку проходити, але дозволяють UDP-пакетам OpenVPN або потокам TCP рухатися без перешкод.

Щоб IPSec функціонував ваш брандмауер, або потрібно знати (або потрібно ігнорувати та прокладати маршрути, не знаючи, що це таке) пакетів типів протоколів IP ESP і AH, а також більш всюдисущого тріо (TCP, UDP і ICMP.

Звичайно, ви можете знайти деякі корпоративні середовища навпаки: дозволити IPSec через, але не OpenVPN, якщо ви не зробите щось божевільне, як тунелювання через HTTP, так що це залежить від призначеного середовища.


5
Якщо з'явиться проблема з брандмауером, IPSec може бути переведений в режим NAT-обходу, який використовуватиме пакети на UDP / 4500 замість ESP (протокол 50).
MadHatter

3
Це не є перевагою OpenVPN. IPsec також може працювати з додатковим заголовком UDP, як зазначив MadHatter. Проблема OpenVPN полягає в тому, що це не стандарт (RFC), там є дуже менше продуктів (наприклад, маршрутизаторів), що підтримують OpenVPN. Наприклад, ви не отримаєте маршрутизатор Cisco, що підтримує OpenVPN. Єдина користь, яку я можу побачити від цього власного протоколу, - це те, що його легко налаштувати.
tobias

13

OpenVPN може робити тунелі на рівні Ethernet, що не може зробити IPsec. Це важливо для мене, тому що я хочу тунелювати IPv6 з будь-якої точки світу, яка має лише IPv4 доступ. Можливо, є спосіб зробити це за допомогою IPsec, але я цього не бачив. Крім того, у більш новій версії OpenVPN ви зможете зробити тунелі на рівні Інтернет, які можуть тунелювати IPv6, але версія Debian стискати не може цього, тому тунель на рівні Ethernet добре працює.

Тож якщо ви хочете тунелювати трафік, який не стосується IPv4, OpenVPN перемагає над IPsec.


Ось де ви використовуєте L2TP через IPsec.
Кенан Сулайман

10

OpenVPN є

набагато простіше адмініструвати налаштування та використовувати на мою думку .. Його повністю прозорий VPN, який мені подобається ...

IPsec - це більше "професійний" підхід із значно більшою кількістю варіантів щодо класичної маршрутизації в vpns.

Якщо ви хочете лише vpn від 1 до 1, я б запропонував використовувати OpenVPN

Сподіваюся, що це допомагає: D


9

Я мав певний досвід управління десятками сайтів по всій країні (NZ), кожен з яких підключався до Інтернету через ADSL. Вони працювали з IPSec VPN, переходячи на єдиний сайт.

Вимога клієнтів змінилася, і їм потрібно було мати два VPN, один переходив на основний сайт, а другий - на веб-сайт з відмовою. Замовник хотів, щоб обидва VPN були активними одночасно.

Ми виявили, що використовувані маршрутизатори ADSL не впоралися з цим. З одним IPSec VPN вони були в порядку, але як тільки дві VPN були підняті, маршрутизатор ADSL перезавантажився. Зауважте, що VPN був ініційований із сервера всередині офісу, за маршрутизатором. У нас є постачальники техніки для перевірки маршрутизаторів, і вони направили багато діагностики назад постачальнику, але виправлення не знайдено.

Ми протестували OpenVPN, і проблем не було. Враховуючи пов'язані з цим витрати (замінити десятки маршрутизаторів ADSL або змінити технологію VPN), було вирішено змінити на OpenVPN.

Ми також знайшли діагностику простішою (OpenVPN набагато зрозумілішою), і багато інших аспектів управління накладними витратами для такої великої та широко розповсюдженої мережі було набагато простішим. Ми ніколи не оглядалися.


8

Я використовую OpenVPN для VPN від сайту до сайту, і він чудово працює. Мені дуже подобається, як налаштовується OpenVPN для кожної ситуації. Єдине питання, яке у мене виникло, це те, що OpenVPN не є багатопоточним, тому ви можете отримати лише стільки пропускної здатності, скільки 1 CPU. Провівши тестування, ми змогли без проблем просунути ~ 375 Мбіт / сек через тунель, що більш ніж достатньо для більшості людей.


3
Як ще анекдотичні докази використання CPU OpenVPN: коли я провів кілька тестів на нетбуці, я виявив, що OpenVPN може майже (але не зовсім) наситити 100 Мбіт / сек з'єднанням, навіть лише з одноядерним процесором Atom.
Девід Спіллетт

8

Відкрити VPN-сайт на сайт набагато краще, ніж IPSEC. У нас є клієнт, для якого ми встановили Open-VPN в мережі MPLS, який працював чудово і підтримував швидше і безпечніше шифрування, наприклад 128-бітний CBC Blow-fish. На іншому веб-сайті, підключеному через загальнодоступний IP, ми використовували це з'єднання також у низькій смузі пропускання, такі як 256kbps / 128kbps.

Однак дозвольте зазначити, що інтерфейси IPSec VTI зараз підтримуються в Linux / Unix. Це дозволяє створювати маршрутизовані та захищені тунелі приблизно так само, як сайт OpenVPN на сайт або GRE через IPSec.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.