Вопрос: OpenVPN против IPsec - за и против, что использовать?


Интересно, что я не нашел хороших результатов поиска при поиске «OpenVPN vs IPsec». Итак, вот мой вопрос:

Мне нужно настроить частную локальную сеть по ненадежной сети. И, насколько я знаю, оба подхода кажутся действительными. Но я не знаю, какой из них лучше.

Я был бы очень благодарен, если бы вы могли перечислить плюсы и минусы обоих подходов и, возможно, ваши предложения и опыт относительно того, что использовать.

Обновление (Что касается комментария / вопроса):

В моем конкретном случае цель состоит в том, чтобы любое количество серверов (со статическими IP-адресами) было прозрачно подключено друг к другу. Но небольшая часть динамичных клиентов, таких как «дорожные воины» (с динамическими IP-адресами), также должна быть в состоянии подключиться. Основная цель, однако, заключается в том, что «прозрачная защищенная сеть» работает поверх ненадежной сети. Я довольно новичок, поэтому я не знаю, как правильно интерпретировать «1: 1 Point to Point Connections» => Решение должно поддерживать широковещательные передачи и все такое, чтобы это была полностью функциональная сеть.


70
2017-11-17 13:41


Источник


Вы можете указать, нужен ли вам «постоянный» VPN-туннель «сайт-сайт» или решение для многих клиентов для удаленного подключения к одному сайту. Это имеет значение в ответе. - rmalayter
Обновление: я нашел довольно интересную статью. Может быть, статья предвзятая? Итак, в статье говорится, что IPSec намного быстрее !? enterprisenetworkingplanet.com/netsecur/article.php/3844861/... - jens


Ответы:


У меня есть все настройки сценариев в моей среде. (сайт openvpn, дорожные воины, сайт cisco ipsec, удаленные пользователи)

Напротив, openvpn работает быстрее. Программное обеспечение openvpn меньше накладных расходов на удаленных пользователей. Openvpn можно установить на порт 80 с tcp, чтобы он проходил в местах с ограниченным доступом к интернету. Openvpn более стабилен.

Openvpn в моей среде не принуждает политику к конечному пользователю. Распределение ключей Openvpn немного сложнее сделать безопасно. Пароль ключа Openvpn зависит от конечных пользователей (у них могут быть пустые пароли). Openvpn не одобряется некоторыми аудиторами (те, которые только читают плохие торговые тряпки). Openvpn требует немного мозгов для настройки (в отличие от cisco).

Это мой опыт работы с openvpn: я знаю, что большинство моих негативов можно облегчить с помощью изменений конфигурации или изменений процесса. Так что все мои негативы с небольшим скептицизмом.


27
2017-11-17 16:50



Хороший комментарий об аудиторах; согласятся с их привычками чтения;) Просто скажите им, что он использует стандартный протокол TLS с использованием 128-битного шифрования AES CBC, и они будут отпугивать;) - reiniero
Мне трудно взять аргумент «намного быстрее», высказанный во многих ответах. Накладные расходы на шифрование для AES, безусловно, должны быть незначительными. - user239558
@ user239558: IPSec дважды инкапсулирует пакеты, поэтому накладные расходы удваиваются по сравнению с OpenVPN. - jupp0r
@ jupp0r это неправильно. IPsec вызывает накладные расходы 66B (20B IP, 8B UDP, 38B ESP) с включенным обходом NAT. OpenVPN вызывает накладные расходы 69B (20B IP, 8B UDP, 41B OpenVPN hdr). - tobias
Старый ответ, но я использовал OpenVPN «голый» (то есть: отсутствие шифрования), «слабый» (64-разрядный) и «сильный» (AES256-бит), и между ними существует разница в 1 мс. И.: Ничего. ||| Я провела тест на одной машине VPS на Vultr, которая, конечно же, не является научным испытанием. Но суть в том же. Если вы используете какой-либо Xeon (или виртуализируете на Xeon), вы не увидите никакой разницы. Конечно, с ростом скорости это меняется. Рекомендуется использовать 128-разрядную AES или ускоренную AES AES, если у вас так много пропускной способности. - Shiki


Одним из ключевых преимуществ OpenVPN над IPSec является то, что некоторые брандмауэры не пропускают трафик IPSec, но позволяют UDP-пакетам OpenVPN или потокам TCP беспрепятственно путешествовать.

Для того, чтобы IPSec мог работать с вашим брандмауэром, вам необходимо знать (или игнорировать и маршрутизировать, не зная, что это такое), пакеты типов IP-протокола ESP и AH, а также более вездесущее трио (TCP, UDP и ICMP.

Конечно, вы можете найти некоторые корпоративные среды по-другому: разрешить IPSec, но не OpenVPN, если вы не делаете что-то сумасшедшее, как туннелирование через HTTP, так что это зависит от вашей предполагаемой среды.


16
2017-11-17 14:25



Если проблема брандмауэра возникает, IPSec можно поместить в режим обхода NAT, который будет использовать пакеты на UDP / 4500 вместо ESP (протокол 50). - MadHatter
Это не является преимуществом OpenVPN. IPsec также может работать с дополнительным UDP-заголовком, как указывал MadHatter. Проблема OpenVPN заключается в том, что он не является стандартным (RFC), там очень мало продуктов (например, маршрутизаторов), поддерживающих OpenVPN. Например, вы не получите маршрутизатор Cisco, поддерживающий OpenVPN. Единственное преимущество, которое я вижу в этом проприетарном протоколе, заключается в том, что его легко настроить. - tobias


OpenVPN может выполнять туннели уровня Ethernet, которые IPsec не может сделать. Это важно для меня, потому что я хочу туннелировать IPv6 из любого места, где есть только доступ IPv4. Возможно, есть способ сделать это с помощью IPsec, но я этого не видел. Кроме того, в более новой версии OpenVPN вы сможете создавать туннели уровня Интернета, которые могут туннелировать IPv6, но версия в сжатии Debian не может этого сделать, поэтому туннель на уровне Ethernet работает хорошо.

Поэтому, если вы хотите туннелировать трафик, отличный от IPv4, OpenVPN выигрывает через IPsec.


10
2017-08-08 07:08



Здесь вы используете L2TP через IPsec. - Kenan Sulayman


Я использую OpenVPN для VPN-соединения между сайтами, и он отлично работает. Мне очень нравится, как настраиваемый OpenVPN для каждой ситуации. Единственная проблема, с которой я столкнулся, заключается в том, что OpenVPN не многопоточен, поэтому вы можете получить только такую ​​пропускную способность, как 1 процессор может обрабатывать. Тестирование, которое я сделал, мы смогли протащить ~ 375 Мбит / с в туннеле без проблем, чего для большинства людей более чем достаточно.


6
2017-11-17 14:24



В качестве более подробных доказательств использования процессора OpenVPN: когда я выполнил несколько тестов на нетбуке, я обнаружил, что OpenVPN может почти (но не совсем) насытить соединение 100 Мбит / с даже с одноядерным процессором Atom. - David Spillett


У меня был некоторый опыт управления десятками сайтов по всей стране (NZ), каждый из которых подключался к Интернету через ADSL. Они работали с IPSec VPN, идущими на один сайт.

Требование клиентов изменилось, и им нужно было иметь две виртуальные машины, одна из которых переходила на основной сайт, а другой - на сайт перехода на другой ресурс. Клиент хотел, чтобы оба VPN были активны одновременно.

Мы обнаружили, что используемые маршрутизаторы ADSL не справились с этим. С одной IPSec VPN они были в порядке, но как только две VPN были подняты, маршрутизатор ADSL перезагрузился. Обратите внимание, что VPN был инициирован с сервера внутри офиса, за маршрутизатором. Мы получили техников от поставщика, чтобы проверить маршрутизаторы, и они отправили много диагностических средств обратно поставщику, но никаких исправлений не обнаружено.

Мы тестировали OpenVPN и проблем не было. При рассмотрении связанных с этим затрат (замените десятки ADSL-маршрутизаторов или измените технологию VPN) было принято решение перейти на OpenVPN.

Мы также нашли диагностику проще (OpenVPN намного яснее), и многие другие аспекты накладных расходов на управление для такой большой и широко распространенной сети были намного проще. Мы никогда не оглядывались назад.


6
2017-12-13 04:26





Открытый VPN-сайт намного лучше по сравнению с IPSEC. У нас есть клиент, для которого мы установили Open-VPN в сети MPLS, которая отлично работала и поддерживала более быстрое и безопасное шифрование, такое как 128-битный CBC Blow-fish. На другом сайте, который подключен через публичный IP, мы использовали это соединение, а также с низкой полосой пропускания, такой как 256 Кбит / с 128 Кбит / с.

Однако позвольте мне отметить, что интерфейсы IPSec VTI теперь поддерживаются в Linux / Unix. Это позволяет создавать маршрутизируемые и защищенные туннели так же, как сайт OpenVPN на сайт или GRE поверх IPSec.


6
2018-01-29 12:52





OpenVPN -

гораздо проще управлять настройкой и использованием на мой взгляд .. Его полностью прозрачная VPN, которую я люблю ...

IPsec является более «профессиональным» подходом со многими дополнительными параметрами классической маршрутизации в vpns.

Если вам нужен только точка-точка vpn (от 1 до 1), я бы предложил использовать OpenVPN

Надеюсь, что это поможет: D


5
2017-11-17 14:02