Что интересно, я не нашел хороших результатов поиска по запросу «OpenVPN vs IPsec». Итак, вот мой вопрос:
Мне нужно настроить частную локальную сеть в ненадежной сети. Насколько мне известно, оба подхода кажутся верными. Но я не знаю, какой из них лучше.
Я был бы очень благодарен, если бы вы перечислили плюсы и минусы обоих подходов и, возможно, ваши предложения и опыт относительно того, что использовать.
В моем конкретном случае цель состоит в том, чтобы любое количество серверов (со статическими IP-адресами) прозрачно подключалось друг к другу. Но небольшая часть динамических клиентов, таких как «дорожные воины» (с динамическими IP-адресами), также должна иметь возможность подключения. Однако основная цель состоит в том, чтобы «прозрачная безопасная сеть» работала поверх ненадежной сети. Я новичок, поэтому не знаю, как правильно интерпретировать «1: 1 Point to Point Connections» => Решение должно поддерживать широковещательные передачи и все такое, чтобы это была полностью функциональная сеть.
У меня в моей среде настроены все сценарии. (openvpn site-site, road warriors; cisco ipsec site-site, удаленные пользователи)
Безусловно, openvpn быстрее. Программное обеспечение openvpn снижает нагрузку на удаленных пользователей. OpenVPN может быть настроен на порт 80 с TCP, чтобы он проходил в местах с ограниченным бесплатным доступом в Интернет. OpenVPN более стабилен.
Openvpn в моей среде не навязывает политику конечному пользователю. Распространение ключей OpenVPN немного сложнее сделать безопасно. Пароли ключей OpenVPN принадлежат конечным пользователям (они могут иметь пустые пароли). Openvpn не одобрен некоторыми аудиторами (теми, которые читают только плохие торговые тряпки). Openvpn требует немного мозгов для настройки (в отличие от cisco).
Таков мой опыт работы с openvpn: я знаю, что большинство моих недостатков можно устранить путем изменения конфигурации или изменения процесса. Так что отнеситесь ко всем моим негативам с долей скептицизма.
Одним из ключевых преимуществ OpenVPN над IPSec является то, что некоторые межсетевые экраны не пропускают трафик IPSec, но пропускают UDP-пакеты OpenVPN или потоки TCP без помех.
Для работы IPSec ваш брандмауэр либо должен знать (или игнорировать и маршрутизировать, не зная, что это такое) пакеты типов IP-протокола ESP и AH, а также более распространенного трио (TCP, UDP и ICMP.
Конечно, вы можете найти в некоторых корпоративных средах наоборот: разрешить IPSec, но не OpenVPN, если только вы не сделаете что-то сумасшедшее, например, туннелирование через HTTP, поэтому это зависит от вашей предполагаемой среды.
OpenVPN может создавать туннели уровня Ethernet, чего не может делать IPsec. Это важно для меня, потому что я хочу туннелировать IPv6 из любого места, где есть доступ только по IPv4. Возможно, есть способ сделать это с помощью IPsec, но я его не видел. Кроме того, в более новой версии OpenVPN вы сможете создавать туннели уровня Интернета, которые могут туннелировать IPv6, но версия в Debian squeeze не может этого сделать, поэтому туннель уровня Ethernet работает нормально.
Поэтому, если вы хотите туннелировать трафик, не относящийся к IPv4, OpenVPN побеждает IPsec.
OpenVPN - это
На мой взгляд, намного проще управлять настройкой и использовать ... Это полностью прозрачный VPN, который мне очень нравится ...
IPsec - это более «профессиональный» подход с гораздо большим количеством вариантов классической маршрутизации внутри vpns.
Если вам нужна только точка-точка vpn (1-к-1), я бы предложил использовать OpenVPN.
Надеюсь, это поможет: D
У меня был некоторый опыт управления десятками сайтов по всей стране (Новой Зеландии), каждый из которых подключается к Интернету через ADSL. Они работали с IPSec VPN на одном сайте.
Требования клиентов изменились, и им потребовалось иметь две сети VPN, одна из которых идет на основной сайт, а другая - на резервный. Заказчик хотел, чтобы обе сети VPN были активны одновременно.
Мы обнаружили, что используемые маршрутизаторы ADSL не справлялись с этим. С одной IPSec VPN все было в порядке, но как только были подключены две VPN, маршрутизатор ADSL перезагрузился. Обратите внимание, что VPN был инициирован с сервера внутри офиса за маршрутизатором. Мы попросили технических специалистов от поставщика проверить маршрутизаторы, и они отправили поставщику множество диагностических данных, но исправления не нашли.
Мы протестировали OpenVPN, проблем не было. Учитывая связанные с этим затраты (заменить десятки маршрутизаторов ADSL или изменить технологию VPN) было решено перейти на OpenVPN.
Мы также обнаружили, что диагностика проще (OpenVPN намного понятнее), и многие другие аспекты накладных расходов на управление для такой большой и широко распространенной сети были намного проще. Мы никогда не оглядывались назад.
Я использую OpenVPN для межсайтового VPN, и он отлично работает. Мне очень нравится, насколько OpenVPN настраивается для каждой ситуации. Единственная проблема, с которой я столкнулся, заключается в том, что OpenVPN не является многопоточным, поэтому вы можете получить столько пропускной способности, сколько может обработать 1 процессор. Проведенное мною тестирование показало, что мы смогли без проблем протолкнуть через туннель ~ 375 Мбит / с, что более чем достаточно для большинства людей.
Open VPN site-to-site намного лучше IPSEC. У нас есть клиент, для которого мы установили Open-VPN в сети MPLS, которая работала нормально и поддерживала более быстрое и безопасное шифрование, такое как Blow-fish 128 bit CBC. На другом сайте, который подключен через общедоступный IP-адрес, мы также использовали это соединение с низкой пропускной способностью, например, 256 кбит / с / 128 кбит / с.
Однако позвольте мне отметить, что интерфейсы IPSec VTI теперь поддерживаются в Linux / Unix. Это позволяет создавать маршрутизируемые и безопасные туннели почти так же, как OpenVPN site to site или GRE over IPSec.