OpenVPN vs. IPsec - Artıları ve eksileri, ne kullanılmalı?

İlginç bir şekilde "OpenVPN vs IPsec" ararken hiç iyi bir arama sonucu bulamadım. İşte benim sorum:

Güvenilmeyen bir ağ üzerinden özel bir LAN kurmam gerekiyor. Ve bildiğim kadarıyla her iki yaklaşım da geçerli görünüyor. Ama hangisinin daha iyi olduğunu bilmiyorum.

Hem yaklaşımların artılarını ve eksilerini, belki de ne kullanılacağına ilişkin önerilerini ve deneyimlerini listeleyebilirseniz çok minnettar olurum.

Güncelle (Yorum / soru ile ilgili olarak):

Benim somut örneğimde amaç, birbirine şeffaf bir şekilde bağlı herhangi bir sayıda sunucunun (statik IP'li) sahip olmasıdır. Ancak “yol savaşçıları” (dinamik IP'ler ile) gibi dinamik istemcilerin küçük bir kısmı da bağlanabilmelidir. Ancak asıl amaç, güvenilmeyen ağın tepesinde çalışan "şeffaf güvenli bir ağa" sahip olmaktır. Ben oldukça acemiyim, bu yüzden doğru bir şekilde nasıl yorumlayacağımı bilmiyorum "1: 1 Noktadan Noktaya Bağlantılar" => Çözüm, yayınları ve bunların hepsini tamamıyla işlevsel bir ağ olarak desteklemelidir.

Ortamımda ayarlanmış tüm senaryolara sahibim. (openvpn site-site, yol savaşçıları; cisco ipsec site-site, uzak kullanıcılar)

Şimdiye kadar openvpn daha hızlı. Openvpn yazılımı uzaktaki kullanıcılara daha az ek yük verir. Openvpn, ücretsiz internet bağlantısı olan yerlerde geçmesi için tcp ile 80 numaralı bağlantı noktasında ayarlanabilir / ayarlanabilir. Openvpn daha kararlı.

Ortamımdaki Openvpn, politikayı son kullanıcıya zorlamıyor. Openvpn anahtar dağıtımını güvenli yapmak biraz zor. Openvpn anahtar şifreleri son kullanıcıya bağlıdır (boş şifreleri olabilir). Openvpn belirli denetçiler tarafından onaylanmamıştır (sadece kötü ticaret değerlerini okuyanlar). Openvpn'ın kurulumu biraz beyin alır (cisco'nun aksine).

Bu benim openvpn ile olan deneyimim: Negatiflerimin çoğunun ya yapılandırma değişiklikleri ya da süreç değişiklikleri yoluyla hafifletilebileceğini biliyorum. Bu yüzden bütün olumsuzluklarımı biraz şüphecilikle al.

OpenVPN'in IPSec'teki en önemli avantajlarından biri, bazı güvenlik duvarlarının IPSec trafiğine izin vermemesi, ancak OpenVPN'in UDP paketlerinin veya TCP akışlarının engel olmadan seyahat etmesine izin vermesidir.

IPSec'in güvenlik duvarınızın çalışması için ESP ve AH IP protokolü türlerinin paketlerinin yanı sıra daha yaygın üçlünün (TCP, UDP ve ICMP) de farkında olması (veya yok sayması ve yönlendirmesi gerekir) gerekir.

Elbette bazı şirket ortamlarını başka yollarla da bulabilirsiniz: HTTP üzerinden tünel yapmak gibi çılgınca bir şey yapmadığınız sürece IPSec'in OpenVPN üzerinden geçmesine ancak OpenVPN'e izin vermemesine izin verin, bu nedenle istediğiniz ortamlara bağlıdır.

OpenVPN, IPsec'in yapamadığı Ethernet-katman tünellerini yapabilir. Bu benim için önemlidir, çünkü IPv6'yı sadece IPv4 erişimi olan herhangi bir yerden tünellemek istiyorum. Belki de bunu IPsec ile yapmanın bir yolu vardır, ancak görmedim. Ayrıca, OpenVPN'in daha yeni bir sürümünde IPv6'yı tünelleyebilecek İnternet katmanı tünelleri yapabileceksiniz, ancak Debian sıkıştırmasındaki sürüm bunu yapamıyor, bu nedenle Ethernet katmanı tüneli iyi çalışıyor.

Bu yüzden IPv4 olmayan trafiği tünellemek istiyorsanız, OpenVPN IPsec üzerinden kazanır.

OpenVPN

kurulumu ve kullanımı bence çok daha kolay .. Bence tamamen şeffaf olan VPN.

IPsec, vpns içindeki klasik yönlendirme ile ilgili daha birçok seçenekle daha "profesyonel" bir yaklaşımdır.

Sadece bir noktadan noktaya vpn (1'e 1) istiyorsanız, OpenVPN kullanmanızı öneririm

Bu yardımcı olur umarım: D

Her biri İnternet'e ADSL aracılığıyla bağlanan ülke çapında (NZ) düzinelerce siteyi yönetme konusunda biraz deneyimim oldu. IPSec VPN ile tek bir siteye gidiyorlardı.

Müşteri gereksinimi değişti ve bir tanesi ana siteye, diğerini yerine çalışma sitesine giden iki VPN'e sahip olmaları gerekiyordu. Müşteri, her iki VPN'nin de aynı anda aktif olmasını istedi.

Kullanılan ADSL yönlendiricilerin bununla baş etmediğini gördük. Bir IPSec VPN ile iyi durumdalardı, ancak iki VPN açıldığında, ADSL yönlendirici yeniden başlatıldı. VPN'in ofis içindeki bir sunucudan yönlendiricinin arkasından başlatıldığını unutmayın. Yönlendiricileri kontrol etmek için tedarikçiden teknisyenlerimiz var ve satıcıya birçok teşhis gönderdiler ancak hiçbir düzeltme bulunamadı.

OpenVPN'i test ettik ve bir problem olmadı. İlgili maliyetler göz önüne alındığında (düzinelerce ADSL yönlendiricisini değiştirin veya VPN teknolojisini değiştirin) OpenVPN olarak değiştirilmesine karar verildi.

Ayrıca teşhisi daha kolay bulduk (OpenVPN çok daha net) ve böylesine büyük ve yaygın bir ağ için genel yönetimin genel yönleri çok daha kolaydı. Asla geriye bakmadık.

Siteden siteye VPN için OpenVPN kullanıyorum ve harika çalışıyor. Her durum için OpenVPN'in ne kadar özelleştirilebilir olduğunu gerçekten çok seviyorum. Sahip olduğum tek sorun OpenVPN'in çok iş parçacıklı olmaması, bu nedenle yalnızca 1 CPU'nun kaldırabileceği kadar bant genişliği elde edebiliyorsunuz. Yaptığım testler, çoğu insan için fazlasıyla yeterli olan, hiçbir sorun yaşamadan tünel boyunca ~ 375 MBit / sn hıza ulaştık.

VPN'i siteden siteye açmak IPSEC'e göre çok daha iyidir. Blow-fish 128 bit CBC gibi daha iyi ve daha hızlı ve daha güvenli şifrelemeyi destekleyen ve iyi çalışan bir MPLS ağına Open-VPN'i kurduğumuz bir müşterimiz var. Genel IP üzerinden bağlanan başka bir sitede bu bağlantıyı 256kbps / 128kbps gibi düşük bant genişliğinde kullandık.

Ancak, şimdi IPSec VTI arayüzlerinin Linux / Unix'te desteklendiğini belirteyim. Bu, IPSec üzerinden siteye veya GRE'ye, OpenVPN sitesindeki gibi aynı şekilde yönlendirilebilir ve güvenli tüneller oluşturmanıza olanak sağlar.