OpenVPN vs. IPsec - Pro e contro, cosa usare?


76

È interessante notare che non ho trovato buoni risultati di ricerca durante la ricerca di "OpenVPN vs IPsec". Quindi, ecco la mia domanda:

Devo configurare una LAN privata su una rete non attendibile. E per quanto ne so, entrambi gli approcci sembrano essere validi. Ma non so quale sia la migliore.

Sarei molto grato se potessi elencare i pro e i contro di entrambi gli approcci e forse i tuoi suggerimenti ed esperienze su cosa usare.

Aggiornamento (per quanto riguarda il commento / domanda):

Nel mio caso concreto, l'obiettivo è quello di avere un numero qualsiasi di server (con IP statici) collegati in modo trasparente tra loro. Ma una piccola parte di client dinamici come i "guerrieri della strada" (con IP dinamici) dovrebbe anche essere in grado di connettersi. L'obiettivo principale è tuttavia far funzionare una "rete sicura trasparente" sulla rete non attendibile. Sono un principiante, quindi non so come interpretare correttamente "1: 1 Point to Point Connections" => La soluzione dovrebbe supportare le trasmissioni e tutte quelle cose, quindi è una rete completamente funzionale.


2
È necessario specificare se è necessario un tunnel VPN "persistente" da sito a sito o una soluzione per molti client per connettersi in remoto a un sito. Fa la differenza nella risposta.
rmalayter,

2
Aggiornamento: ho trovato un articolo abbastanza interessante. Forse l'articolo è di parte? In sintesi l'articolo dice che IPSec è molto più veloce !? enterprisenetworkingplanet.com/netsecur/article.php/3844861/…
jens

Risposte:


29

Ho impostato tutti gli scenari nel mio ambiente. (sito openvpn, guerrieri della strada; sito cisco ipsec, utenti remoti)

Di gran lunga openvpn è più veloce. Il software openvpn è meno sovraccarico per gli utenti remoti. Openvpn è / può essere configurato sulla porta 80 con tcp in modo che passi in luoghi che dispongono di connessione internet gratuita limitata. Openvpn è più stabile.

Openvpn nel mio ambiente non impone criteri all'utente finale. La distribuzione delle chiavi di Openvpn è un po 'più difficile da eseguire in sicurezza. Le password delle chiavi di Openvpn sono a carico degli utenti finali (possono avere password vuote). Openvpn non è approvato da alcuni revisori (quelli che leggono solo stracci commerciali sbagliati). Openvpn richiede un po 'di cervello per l'installazione (a differenza di Cisco).

Questa è la mia esperienza con openvpn: so che la maggior parte dei miei aspetti negativi può essere alleviata tramite modifiche alla configurazione o al processo. Quindi prendi tutti i miei aspetti negativi con un po 'di scetticismo.


2
Bel commento sui revisori contabili; sarebbe d'accordo con le loro abitudini di lettura;) Dì loro che utilizza il protocollo TLS standard del settore con crittografia AES CBC a 128 bit e saranno spaventati;)
Reiniero

Ho difficoltà a sostenere l'argomento "molto più veloce" espresso in molte risposte. Le spese generali di crittografia per AES sicuramente devono essere trascurabili.
user239558

@ user239558: IPSec incapsula due volte i pacchetti, quindi l'overhead viene raddoppiato rispetto a OpenVPN.
jupp0r

4
@ jupp0r questo è sbagliato. IPsec causa un sovraccarico di 66B (20B IP, 8B UDP, 38B ESP) con l'attraversamento NAT abilitato. OpenVPN causa 69B di sovraccarico (20B IP, 8B UDP, 41B OpenVPN hdr).
Tobias,

1
Vecchia risposta, ma ho usato OpenVPN "bare" (ovvero: nessuna crittografia), "debole" (64-bit) e "forte" (AES256-bit), e c'è una differenza di 1 ms tra di loro. Vale a dire: niente. ||| Ho fatto il mio test su una macchina VPS a thread singolo presso Vultr, che ovviamente non è un test scientifico. Ma la linea di fondo è la stessa. Se usi qualsiasi tipo di Xeon (o virtualizzi su un Xeon), non vedrai alcuna differenza. Naturalmente, con l'aumentare della velocità, questo cambia. Si consiglia di utilizzare AES a 128 bit o Intel accelerato AES se si ha così tanta larghezza di banda in arrivo.
Apache,

18

Un vantaggio chiave di OpenVPN su IPSec è che alcuni firewall non consentono il traffico IPSec, ma consentono ai pacchetti UDP o ai flussi TCP di OpenVPN di viaggiare senza ostacoli.

Affinché IPSec funzioni il firewall deve essere consapevole (o deve ignorare e instradare senza sapere di cosa si tratta) pacchetti dei tipi di protocollo IP ESP e AH, nonché il trio più onnipresente (TCP, UDP e ICMP.

Ovviamente potresti trovare alcuni ambienti aziendali al contrario: consentire a IPSec di passare, ma non a OpenVPN, a meno che tu non faccia qualcosa di folle come scavalcarlo via HTTP, quindi dipende dagli ambienti previsti.


5
Se si verifica il problema del firewall, IPSec può essere messo in modalità NAT-traversal, che utilizzerà i pacchetti su UDP / 4500 anziché ESP (protocollo 50).
MadHatter il

3
Questo non è un vantaggio di OpenVPN. IPsec può anche funzionare con un'intestazione UDP aggiuntiva, come sottolineato da MadHatter. Un problema di OpenVPN è che non è uno standard (RFC), ci sono molti meno prodotti (es. Router) che supportano OpenVPN. Ad esempio, non otterrai un router Cisco che supporta OpenVPN. L'unico vantaggio che posso vedere di questo protocollo proprietario è che è facile da configurare.
Tobias,

13

OpenVPN può eseguire tunnel a livello Ethernet, cosa che IPsec non può fare. Questo è importante per me perché voglio tunnelare IPv6 da qualsiasi luogo che abbia solo l'accesso IPv4. Forse c'è un modo per farlo con IPsec, ma non l'ho visto. Inoltre, in una versione più recente di OpenVPN sarai in grado di realizzare tunnel a livello Internet che possono tunnelare IPv6, ma la versione in compressione Debian non può farlo, quindi un tunnel a livello Ethernet funziona bene.

Quindi, se vuoi tunnelare il traffico non IPv4, OpenVPN vince su IPsec.


Ecco dove usi L2TP su IPsec.
Kenan Sulayman,

10

OpenVPN è

secondo me è molto più facile amministrare l'installazione e l'uso. La sua VPN completamente trasparente, che adoro ...

IPsec è più un approccio "professionale" con molte più opzioni relative al routing classico all'interno di vpns.

Se vuoi solo un punto - punto - punto vpn (da 1 a 1), suggerirei di usare OpenVPN

Spero che questo aiuti: D


9

Ho avuto qualche esperienza con la gestione di dozzine di siti in tutto il paese (NZ), ognuno dei quali si connetteva a Internet tramite ADSL. Stavano funzionando con IPSec VPN andando su un unico sito.

Il requisito dei clienti è cambiato e avevano bisogno di avere due VPN, una che andava al sito principale e l'altra che andava a un sito di failover. Il cliente voleva che entrambe le VPN fossero attive contemporaneamente.

Abbiamo scoperto che i router ADSL in uso non stavano affrontando questo problema. Con una VPN IPSec stavano bene, ma non appena due VPN sono state richiamate, il router ADSL è stato riavviato. Si noti che la VPN è stata avviata da un server all'interno dell'ufficio, dietro il router. Abbiamo ottenuto tecnici dal fornitore per controllare i router e hanno inviato molti diagnostici al fornitore, ma non è stata trovata alcuna correzione.

Abbiamo testato OpenVPN e non ci sono stati problemi. Considerando i costi (sostituire dozzine di router ADSL o cambiare la tecnologia VPN) è stato deciso di passare a OpenVPN.

Abbiamo anche trovato la diagnostica più semplice (OpenVPN è molto più chiara) e molti altri aspetti del sovraccarico di gestione per una rete così ampia e diffusa sono stati molto più facili. Non abbiamo mai guardato indietro.


8

Uso OpenVPN per una VPN da sito a sito e funziona benissimo. Adoro quanto OpenVPN sia personalizzabile per ogni situazione. L'unico problema che ho avuto è che OpenVPN non è multithread, quindi puoi ottenere solo la larghezza di banda che 1 CPU può gestire. I test che ho fatto, siamo stati in grado di spingere ~ 375 MBits / sec attraverso il tunnel senza problemi, il che è più che sufficiente per la maggior parte delle persone.


3
Come prova più aneddotica sull'uso della CPU da parte di OpenVPN: quando ho eseguito alcuni test su un netbook ho scoperto che OpenVPN poteva quasi (ma non del tutto) saturare una connessione a 100 Mbit / sec anche con una sola CPU Atom single-core.
David Spillett,

8

Open VPN site-to-site è molto meglio su IPSEC. Abbiamo un client per il quale abbiamo installato Open-VPN in una rete MPLS che funzionava bene e supportava una crittografia più veloce e sicura come Blow-fish 128 bit CBC. In un altro sito collegato tramite IP pubblico abbiamo utilizzato questa connessione anche in banda bassa con 256kbps / 128kbps.

Tuttavia, vorrei sottolineare che le interfacce IPSec VTI sono ora supportate in Linux / Unix. Ciò consente di creare tunnel instradabili e sicuri in modo molto simile a OpenVPN da sito a sito o GRE su IPSec.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.