OpenVPN vs. IPsec - Plusy i minusy, z czego korzystać?

76

Co ciekawe, nie znalazłem żadnych dobrych wyników wyszukiwania podczas wyszukiwania „OpenVPN vs IPsec”. Oto moje pytanie:

Muszę skonfigurować prywatną sieć LAN w niezaufanej sieci. I o ile wiem, oba podejścia wydają się być prawidłowe. Ale nie wiem, który z nich jest lepszy.

Byłbym bardzo wdzięczny, gdybyś mógł wymienić zalety i wady obu podejść oraz być może swoje sugestie i doświadczenia dotyczące tego, czego użyć.

Aktualizacja (w odniesieniu do komentarza / pytania):

W moim konkretnym przypadku celem jest, aby dowolna liczba serwerów (ze statycznymi adresami IP) była połączona ze sobą w sposób przezroczysty. Ale niewielka część klientów dynamicznych, takich jak „wojownicy drogowi” (z dynamicznymi adresami IP), powinna również móc się połączyć. Głównym celem jest jednak zapewnienie „przezroczystej bezpiecznej sieci” działającej na niezaufanej sieci. Jestem całkiem nowicjuszem, więc nie wiem, jak poprawnie interpretować „Połączenia punkt-punkt 1: 1” => Rozwiązanie powinno obsługiwać transmisje i tak dalej, więc jest to w pełni funkcjonalna sieć.

jens
źródło
2
Musisz określić, czy potrzebujesz „trwałego” tunelu VPN typu lokacja-lokacja, czy rozwiązania dla wielu klientów do zdalnego łączenia się z jedną witryną. To robi różnicę w odpowiedzi.
rmalayter
2
Aktualizacja: Znalazłem dość interesujący artykuł. Może artykuł jest stronniczy? Podsumowując, artykuł mówi, że IPSec jest znacznie szybszy !? enterprisenetworkingplanet.com/netsecur/article.php/3844861/...
jens

Odpowiedzi:

29

Mam wszystkie scenariusze skonfigurowane w moim środowisku. (strona openvpn, wojownicy drogowi; witryna cisco ipsec, użytkownicy zdalni)

Zdecydowanie openvpn jest szybszy. Oprogramowanie openvpn zmniejsza obciążenie użytkowników zdalnych. Openvpn jest / może być skonfigurowany na porcie 80 za pomocą tcp, dzięki czemu przechodzi w miejsca, które mają ograniczony bezpłatny dostęp do Internetu. Openvpn jest bardziej stabilny.

Openvpn w moim środowisku nie wymusza polityki dla użytkownika końcowego. Dystrybucja kluczy Openvpn jest nieco trudniejsza do bezpiecznego. Hasła klucza Openvpn zależą od użytkowników końcowych (mogą mieć puste hasła). Openvpn nie jest zatwierdzony przez niektórych audytorów (tych, którzy czytają tylko złe szmaty handlowe). Konfiguracja Openvpn wymaga trochę rozumu (w przeciwieństwie do Cisco).

Takie jest moje doświadczenie z openvpn: wiem, że większość moich negatywów można złagodzić poprzez zmiany konfiguracji lub zmiany procesu. Więc weź wszystkie moje negatywy z odrobiną sceptycyzmu.

Lew
źródło
2
Miły komentarz na temat audytorów; zgodziłby się z ich nawykami czytania;) Po prostu powiedz im, że używa standardowego w branży protokołu TLS z 128-bitowym szyfrowaniem AES CBC i będą wystraszeni;)
reiniero
Trudno mi przyjąć argument „zdecydowanie szybszy” przedstawiony w wielu odpowiedziach. Narzuty szyfrowania dla AES z pewnością muszą być nieistotne.
user239558
@ user239558: IPSec hermetyzuje pakiety dwa razy, więc obciążenie jest podwojone w porównaniu z OpenVPN.
jupp0r
4
@ jupp0r to źle. IPsec powoduje narzut 66B (20B IP, 8B UDP, 38B ESP) z włączoną funkcją translacji NAT. OpenVPN powoduje obciążenie 69B (20B IP, 8B UDP, 41B OpenVPN hdr).
tobias
1
Stara odpowiedź, ale użyłem OpenVPN „goły” (tj .: bez szyfrowania), „słaby” (64-bitowy) i „silny” (AES256-bitowy), a różnica między nimi wynosi 1 ms. Tj .: nic. ||| Test wykonałem na maszynie VPS z jednym wątkiem w Vultr, co oczywiście nie jest testem naukowym. Ale dolna linia jest taka sama. Jeśli używasz dowolnego rodzaju Xeon (lub wirtualizujesz na Xeon), nie zobaczysz żadnej różnicy. Oczywiście wraz ze wzrostem prędkości zmienia się to. Zaleca się użycie 128-bitowego AES lub przyspieszonego AES Intela, jeśli masz dostęp do tak dużej przepustowości.
Apache
18

Jedną z kluczowych zalet OpenVPN w porównaniu z IPSec jest to, że niektóre zapory ogniowe nie przepuszczają ruchu IPSec, ale pozwalają pakietom UDP OpenVPN lub strumieniom TCP podróżować bez przeszkód.

Aby IPSec działał, twoja zapora ogniowa musi być świadoma (lub musi ignorować i kierować nie wiedząc, co to jest) pakiety protokołu IP typu ESP i AH, a także bardziej wszechobecne trio (TCP, UDP i ICMP).

Oczywiście możesz znaleźć jakieś środowiska korporacyjne na odwrót: zezwalając na IPSec przez OpenVPN, ale nie na OpenVPN, chyba że zrobisz coś szalonego, jak tunelowanie go przez HTTP, więc zależy to od twoich zamierzonych środowisk.

David Spillett
źródło
5
Jeśli pojawi się problem z zaporą, IPSec można przełączyć w tryb translacji NAT, który będzie korzystał z pakietów na UDP / 4500 zamiast ESP (protokół 50).
MadHatter
3
To nie jest zaleta OpenVPN. IPsec może również działać z dodatkowym nagłówkiem UDP, jak wskazał MadHatter. Problemem OpenVPN jest to, że nie jest on standardem (RFC), istnieje bardzo niewiele produktów (np. Routerów) obsługujących OpenVPN. Na przykład nie dostaniesz routera Cisco obsługującego OpenVPN. Jedyną korzyścią, jaką widzę z tego zastrzeżonego protokołu, jest to, że można go łatwo skonfigurować.
tobias
13

OpenVPN może wykonywać tunele w warstwie Ethernet, czego nie może zrobić IPsec. Jest to dla mnie ważne, ponieważ chcę tunelować IPv6 z dowolnego miejsca, które ma dostęp tylko IPv4. Być może istnieje sposób, aby to zrobić za pomocą IPsec, ale nie widziałem tego. Ponadto, w nowszej wersji OpenVPN będziesz mógł tworzyć tunele warstwy internetowej, które mogą tunelować IPv6, ale wersja w squeeze Debiana nie może tego zrobić, więc tunel warstwy Ethernet działa dobrze.

Więc jeśli chcesz tunelować ruch inny niż IPv4, OpenVPN wygrywa przez IPsec.

Kenia
źródło
Tam właśnie używasz L2TP przez IPsec.
Kenan Sulayman
10

OpenVPN jest

moim zdaniem znacznie łatwiej zarządzać konfiguracją i korzystać z niego. Jest to w pełni przezroczysta sieć VPN, którą uwielbiam ...

IPsec jest bardziej „profesjonalnym” podejściem z wieloma dodatkowymi opcjami dotyczącymi klasycznego routingu w VPN.

Jeśli chcesz tylko VPN typu point-to-point (1 do 1), sugerowałbym użycie OpenVPN

Mam nadzieję, że to pomoże: D

Arenstar
źródło
9

Miałem trochę doświadczenia w zarządzaniu dziesiątkami witryn w całym kraju (NZ), z których każda łączy się z Internetem za pośrednictwem ADSL. Działali z IPSec VPN, przechodząc do jednej witryny.

Zmieniły się wymagania klientów i musieli mieć dwie sieci VPN, jedna do strony głównej, druga do strony awaryjnej. Klient chciał, aby obie sieci VPN były jednocześnie aktywne.

Odkryliśmy, że używane routery ADSL nie radziły sobie z tym. Z jednym VPN IPSec były w porządku, ale jak tylko uruchomiono dwa VPN, router ADSL uruchomił się ponownie. Pamiętaj, że VPN został zainicjowany z serwera w biurze za routerem. Poprosiliśmy techników od dostawcy, aby sprawdzili routery, i wysłali wiele informacji diagnostycznych do dostawcy, ale nie znaleziono poprawki.

Przetestowaliśmy OpenVPN i nie było żadnych problemów. Po uwzględnieniu związanych z tym kosztów (wymiana dziesiątek routerów ADSL lub zmiana technologii VPN) zdecydowano się na OpenVPN.

Uznaliśmy również, że diagnostyka jest łatwiejsza (OpenVPN jest znacznie bardziej przejrzysty), a wiele innych aspektów związanych z zarządzaniem dla tak dużej i powszechnej sieci było znacznie łatwiejsze. Nigdy nie oglądaliśmy się za siebie.

Steve
źródło
8

Używam OpenVPN do VPN typu site-to-site i działa świetnie. Naprawdę podoba mi się, jak konfigurowalny jest OpenVPN w każdej sytuacji. Jedyny problem, jaki miałem, to to, że OpenVPN nie jest wielowątkowy, dlatego możesz uzyskać tylko taką przepustowość, jaką może obsłużyć 1 procesor. Testy, które przeprowadziłem, były w stanie przepchnąć ~ 375 MBitów na sekundę przez tunel bez żadnych problemów, co jest więcej niż wystarczające dla większości ludzi.


źródło
3
Jako więcej anegdotycznych dowodów na użycie procesora przez OpenVPN: kiedy przeprowadziłem kilka testów na netbooku, odkryłem, że OpenVPN może prawie (ale nie całkiem) nasycić połączenie 100 Mb / s, nawet przy użyciu tylko jednordzeniowego procesora Atom.
David Spillett,
8

Otwarta sieć VPN typu site-to-site jest znacznie lepsza niż IPSEC. Mamy klienta, dla którego zainstalowaliśmy Open-VPN w sieci MPLS, która działała dobrze i wspierała szybsze i bezpieczniejsze szyfrowanie, takie jak Blow-fish 128 bit CBC. W innej witrynie, która jest połączona za pośrednictwem publicznego adresu IP, korzystaliśmy z tego połączenia również w pasmach o niskiej przepustowości, takich jak 256 kb / s / 128 kb / s.

Zaznaczam jednak, że interfejsy IPSec VTI są teraz obsługiwane w systemie Linux / Unix. Pozwala to tworzyć routowalne i bezpieczne tunele w podobny sposób, jak witryna OpenVPN do strony lub GRE przez IPSec.

Botto
źródło