OpenVPN vs. IPsec - Plusy i minusy, z czego korzystać?

Co ciekawe, nie znalazłem żadnych dobrych wyników wyszukiwania podczas wyszukiwania „OpenVPN vs IPsec”. Oto moje pytanie:

Muszę skonfigurować prywatną sieć LAN w niezaufanej sieci. I o ile wiem, oba podejścia wydają się być prawidłowe. Ale nie wiem, który z nich jest lepszy.

Byłbym bardzo wdzięczny, gdybyś mógł wymienić zalety i wady obu podejść oraz być może swoje sugestie i doświadczenia dotyczące tego, czego użyć.

Aktualizacja (w odniesieniu do komentarza / pytania):

W moim konkretnym przypadku celem jest, aby dowolna liczba serwerów (ze statycznymi adresami IP) była połączona ze sobą w sposób przezroczysty. Ale niewielka część klientów dynamicznych, takich jak „wojownicy drogowi” (z dynamicznymi adresami IP), powinna również móc się połączyć. Głównym celem jest jednak zapewnienie „przezroczystej bezpiecznej sieci” działającej na niezaufanej sieci. Jestem całkiem nowicjuszem, więc nie wiem, jak poprawnie interpretować „Połączenia punkt-punkt 1: 1” => Rozwiązanie powinno obsługiwać transmisje i tak dalej, więc jest to w pełni funkcjonalna sieć.

Mam wszystkie scenariusze skonfigurowane w moim środowisku. (strona openvpn, wojownicy drogowi; witryna cisco ipsec, użytkownicy zdalni)

Zdecydowanie openvpn jest szybszy. Oprogramowanie openvpn zmniejsza obciążenie użytkowników zdalnych. Openvpn jest / może być skonfigurowany na porcie 80 za pomocą tcp, dzięki czemu przechodzi w miejsca, które mają ograniczony bezpłatny dostęp do Internetu. Openvpn jest bardziej stabilny.

Openvpn w moim środowisku nie wymusza polityki dla użytkownika końcowego. Dystrybucja kluczy Openvpn jest nieco trudniejsza do bezpiecznego. Hasła klucza Openvpn zależą od użytkowników końcowych (mogą mieć puste hasła). Openvpn nie jest zatwierdzony przez niektórych audytorów (tych, którzy czytają tylko złe szmaty handlowe). Konfiguracja Openvpn wymaga trochę rozumu (w przeciwieństwie do Cisco).

Takie jest moje doświadczenie z openvpn: wiem, że większość moich negatywów można złagodzić poprzez zmiany konfiguracji lub zmiany procesu. Więc weź wszystkie moje negatywy z odrobiną sceptycyzmu.

Jedną z kluczowych zalet OpenVPN w porównaniu z IPSec jest to, że niektóre zapory ogniowe nie przepuszczają ruchu IPSec, ale pozwalają pakietom UDP OpenVPN lub strumieniom TCP podróżować bez przeszkód.

Aby IPSec działał, twoja zapora ogniowa musi być świadoma (lub musi ignorować i kierować nie wiedząc, co to jest) pakiety protokołu IP typu ESP i AH, a także bardziej wszechobecne trio (TCP, UDP i ICMP).

Oczywiście możesz znaleźć jakieś środowiska korporacyjne na odwrót: zezwalając na IPSec przez OpenVPN, ale nie na OpenVPN, chyba że zrobisz coś szalonego, jak tunelowanie go przez HTTP, więc zależy to od twoich zamierzonych środowisk.

OpenVPN może wykonywać tunele w warstwie Ethernet, czego nie może zrobić IPsec. Jest to dla mnie ważne, ponieważ chcę tunelować IPv6 z dowolnego miejsca, które ma dostęp tylko IPv4. Być może istnieje sposób, aby to zrobić za pomocą IPsec, ale nie widziałem tego. Ponadto, w nowszej wersji OpenVPN będziesz mógł tworzyć tunele warstwy internetowej, które mogą tunelować IPv6, ale wersja w squeeze Debiana nie może tego zrobić, więc tunel warstwy Ethernet działa dobrze.

Więc jeśli chcesz tunelować ruch inny niż IPv4, OpenVPN wygrywa przez IPsec.

OpenVPN jest

moim zdaniem znacznie łatwiej zarządzać konfiguracją i korzystać z niego. Jest to w pełni przezroczysta sieć VPN, którą uwielbiam ...

IPsec jest bardziej „profesjonalnym” podejściem z wieloma dodatkowymi opcjami dotyczącymi klasycznego routingu w VPN.

Jeśli chcesz tylko VPN typu point-to-point (1 do 1), sugerowałbym użycie OpenVPN

Mam nadzieję, że to pomoże: D

Miałem trochę doświadczenia w zarządzaniu dziesiątkami witryn w całym kraju (NZ), z których każda łączy się z Internetem za pośrednictwem ADSL. Działali z IPSec VPN, przechodząc do jednej witryny.

Zmieniły się wymagania klientów i musieli mieć dwie sieci VPN, jedna do strony głównej, druga do strony awaryjnej. Klient chciał, aby obie sieci VPN były jednocześnie aktywne.

Odkryliśmy, że używane routery ADSL nie radziły sobie z tym. Z jednym VPN IPSec były w porządku, ale jak tylko uruchomiono dwa VPN, router ADSL uruchomił się ponownie. Pamiętaj, że VPN został zainicjowany z serwera w biurze za routerem. Poprosiliśmy techników od dostawcy, aby sprawdzili routery, i wysłali wiele informacji diagnostycznych do dostawcy, ale nie znaleziono poprawki.

Przetestowaliśmy OpenVPN i nie było żadnych problemów. Po uwzględnieniu związanych z tym kosztów (wymiana dziesiątek routerów ADSL lub zmiana technologii VPN) zdecydowano się na OpenVPN.

Uznaliśmy również, że diagnostyka jest łatwiejsza (OpenVPN jest znacznie bardziej przejrzysty), a wiele innych aspektów związanych z zarządzaniem dla tak dużej i powszechnej sieci było znacznie łatwiejsze. Nigdy nie oglądaliśmy się za siebie.

Używam OpenVPN do VPN typu site-to-site i działa świetnie. Naprawdę podoba mi się, jak konfigurowalny jest OpenVPN w każdej sytuacji. Jedyny problem, jaki miałem, to to, że OpenVPN nie jest wielowątkowy, dlatego możesz uzyskać tylko taką przepustowość, jaką może obsłużyć 1 procesor. Testy, które przeprowadziłem, były w stanie przepchnąć ~ 375 MBitów na sekundę przez tunel bez żadnych problemów, co jest więcej niż wystarczające dla większości ludzi.

Otwarta sieć VPN typu site-to-site jest znacznie lepsza niż IPSEC. Mamy klienta, dla którego zainstalowaliśmy Open-VPN w sieci MPLS, która działała dobrze i wspierała szybsze i bezpieczniejsze szyfrowanie, takie jak Blow-fish 128 bit CBC. W innej witrynie, która jest połączona za pośrednictwem publicznego adresu IP, korzystaliśmy z tego połączenia również w pasmach o niskiej przepustowości, takich jak 256 kb / s / 128 kb / s.

Zaznaczam jednak, że interfejsy IPSec VTI są teraz obsługiwane w systemie Linux / Unix. Pozwala to tworzyć routowalne i bezpieczne tunele w podobny sposób, jak witryna OpenVPN do strony lub GRE przez IPSec.