Назад | Перейти на главную страницу

В чем разница между VPN AWS ​​типа "сеть-сеть" и VPN-клиентом AWS?

я знаю это сайт-сайт использует IPSec (уровень 3), но клиент использует TLS (прикладной уровень). Похоже, что оба на самом деле с сайта на сайт vpns после прочтения статей / документы онлайн.

Я предполагаю, что протокол (IPSec против TLS) - их единственное отличие, которое имеет значение, когда вы будете использовать какой из них. Я предполагаю, что оба они одинаково хороши, и вы всегда должны использовать TLS на уровне приложения, даже поверх клиентской VPN.

Как вы решаете, какой из них использовать и почему?

В общем, протокол тут не причем. Вы можете иметь IPSec туннелей в обоих сайт-сайт или клиент (он же дорожный Воин) конфигурации, как и у вас OpenVPN (TLS) туннелей в обоих сайт-сайт или клиент настройки. Это вопрос конфигурации и назначения, а не используемого протокола.

Межсайтовый VPN

  • обычно 1 к 1 конфигурации
  • обе стороны в целом имеют одинаковую конфигурацию
  • обе стороны имеют фиксированный IP-адрес
  • любая сторона может инициировать или перезапустить соединение
  • у обоих обычно есть сеть (например, соединены две офисные сети)
  • вы можете запустить протокол маршрутизации (BGP, OSPF, ...) через туннель
  • сети могут общаться в обоих направлениях

VPN-клиент-сайт

  • обычно N-к-1 конфигурации, с N клиенты подключаются к 1 сервер
  • конфиги сервера и клиента разные
  • клиентам не нужен фиксированный IP-адрес
  • только клиенты инициируют соединения (поскольку сервер не знает текущий IP-адрес клиента)
  • клиент, как правило, представляет собой один ноутбук без сети за ним
  • маршрутизация разрешает только один IP-адрес на клиента, BGP или OSPF не поддерживаются
  • разрешено подключение только клиента к сайту за сервером, обычно сайт не может инициировать подключение к клиенту

Это примерно разница между VPN между сайтами и клиентами.

В AWS VPN-шлюз использует Протокол IPsec и Клиентская VPN использует Протокол OpenVPN но именно так AWS реализовал сервисы. Однако в целом вполне возможно использовать любой протокол в любой настройке.

Надеюсь, это поможет :)

вы всегда должны использовать TLS на уровне приложения, даже поверх клиентской VPN.

TLS - это протокол, который имеет множество различных применений. Самый распространенный из них - HTTPS, но многие другие протоколы тоже используют его, поскольку это стандартный способ шифрования сетевого трафика. Это уровень приложения.

В AWS Client VPN он используется на один уровень ниже - для шифрования фактического трафика сетевого уровня (уровень 3), независимо от того, что проходит через туннель. Они решили использовать TLS, потому что это стандартный хорошо известный протокол.

Amazon могла бы реализовать Client VPN с IPsec или даже изобрести собственный протокол, но они выбрали TLS, потому что это проверенная технология.

И да, вы действительно можете использовать HTTPS через этот VPN, который технически является TLS через TLS, но с другими конечными точками и сертификатами.

Я знаю, что между сайтами используется IPSec (уровень 3),

Это действительно так.

но клиент использует TLS (прикладной уровень).

Не знаете, где вы это читаете? в документация похоже, указывает на то, что клиентская VPN AWS ​​основана на openvpn

OpenVPN использует TLS для согласования, но не использует его для фактических данных.

Похоже, что оба на самом деле являются VPN-сервисами между сайтами после чтения статей / документов в Интернете.

Openvpn способен выполнять как клиентские, так и межсайтовые задачи VPN, но AWS, похоже, использует его как клиентскую VPN, я не вижу в документации ничего, что позволило бы вам сказать, что нужно выделить целый сетевой блок для отдельного VPN-клиента. .

Конечно, вы можете запустить NAT на клиенте VPN, чтобы все устройства, находящиеся за ним, могли использовать VPN, но это не будет использовать службу по назначению.

Я думаю, что протокол (IPSec против TLS) - их единственное отличие

Межсайтовые и клиентские VPN имеют разные приоритеты, что определяет типичный выбор протокола.

Проблема с ipsec в том, что он был разработан в эпоху до появления повсеместного NAT. В результате он работает непосредственно поверх IP и не имеет ничего похожего на номера портов TCP / UDP, которые NAT могут использовать для устранения неоднозначности нескольких клиентских сеансов.

Так что использование IPsec VPN из-за NAT - рискованное предложение. Он может не работать вообще или, что более коварно, работать, но только для одного клиента за раз.

Для VPN между сайтами это обычно не имеет большого значения, ваше пограничное устройство, скорее всего, будет иметь общедоступный IPv4 от постоянного интернет-провайдера.

Для мобильного клиента это большая проблема. Поэтому использование решения VPN, которое работает поверх UDP или даже TCP (openvpn может делать то же самое, я не уверен, какую конфигурацию использует Amazon), вероятно, хорошая идея. Даже если он менее эффективен.