OpenVPN vs. IPsec - Pro e contro, cosa usare?

È interessante notare che non ho trovato buoni risultati di ricerca durante la ricerca di "OpenVPN vs IPsec". Quindi, ecco la mia domanda:

Devo configurare una LAN privata su una rete non attendibile. E per quanto ne so, entrambi gli approcci sembrano essere validi. Ma non so quale sia la migliore.

Sarei molto grato se potessi elencare i pro e i contro di entrambi gli approcci e forse i tuoi suggerimenti ed esperienze su cosa usare.

Aggiornamento (per quanto riguarda il commento / domanda):

Nel mio caso concreto, l'obiettivo è quello di avere un numero qualsiasi di server (con IP statici) collegati in modo trasparente tra loro. Ma una piccola parte di client dinamici come i "guerrieri della strada" (con IP dinamici) dovrebbe anche essere in grado di connettersi. L'obiettivo principale è tuttavia far funzionare una "rete sicura trasparente" sulla rete non attendibile. Sono un principiante, quindi non so come interpretare correttamente "1: 1 Point to Point Connections" => La soluzione dovrebbe supportare le trasmissioni e tutte quelle cose, quindi è una rete completamente funzionale.

Ho impostato tutti gli scenari nel mio ambiente. (sito openvpn, guerrieri della strada; sito cisco ipsec, utenti remoti)

Di gran lunga openvpn è più veloce. Il software openvpn è meno sovraccarico per gli utenti remoti. Openvpn è / può essere configurato sulla porta 80 con tcp in modo che passi in luoghi che dispongono di connessione internet gratuita limitata. Openvpn è più stabile.

Openvpn nel mio ambiente non impone criteri all'utente finale. La distribuzione delle chiavi di Openvpn è un po 'più difficile da eseguire in sicurezza. Le password delle chiavi di Openvpn sono a carico degli utenti finali (possono avere password vuote). Openvpn non è approvato da alcuni revisori (quelli che leggono solo stracci commerciali sbagliati). Openvpn richiede un po 'di cervello per l'installazione (a differenza di Cisco).

Questa è la mia esperienza con openvpn: so che la maggior parte dei miei aspetti negativi può essere alleviata tramite modifiche alla configurazione o al processo. Quindi prendi tutti i miei aspetti negativi con un po 'di scetticismo.

Un vantaggio chiave di OpenVPN su IPSec è che alcuni firewall non consentono il traffico IPSec, ma consentono ai pacchetti UDP o ai flussi TCP di OpenVPN di viaggiare senza ostacoli.

Affinché IPSec funzioni il firewall deve essere consapevole (o deve ignorare e instradare senza sapere di cosa si tratta) pacchetti dei tipi di protocollo IP ESP e AH, nonché il trio più onnipresente (TCP, UDP e ICMP.

Ovviamente potresti trovare alcuni ambienti aziendali al contrario: consentire a IPSec di passare, ma non a OpenVPN, a meno che tu non faccia qualcosa di folle come scavalcarlo via HTTP, quindi dipende dagli ambienti previsti.

OpenVPN può eseguire tunnel a livello Ethernet, cosa che IPsec non può fare. Questo è importante per me perché voglio tunnelare IPv6 da qualsiasi luogo che abbia solo l'accesso IPv4. Forse c'è un modo per farlo con IPsec, ma non l'ho visto. Inoltre, in una versione più recente di OpenVPN sarai in grado di realizzare tunnel a livello Internet che possono tunnelare IPv6, ma la versione in compressione Debian non può farlo, quindi un tunnel a livello Ethernet funziona bene.

Quindi, se vuoi tunnelare il traffico non IPv4, OpenVPN vince su IPsec.

OpenVPN è

secondo me è molto più facile amministrare l'installazione e l'uso. La sua VPN completamente trasparente, che adoro ...

IPsec è più un approccio "professionale" con molte più opzioni relative al routing classico all'interno di vpns.

Se vuoi solo un punto - punto - punto vpn (da 1 a 1), suggerirei di usare OpenVPN

Spero che questo aiuti: D

Ho avuto qualche esperienza con la gestione di dozzine di siti in tutto il paese (NZ), ognuno dei quali si connetteva a Internet tramite ADSL. Stavano funzionando con IPSec VPN andando su un unico sito.

Il requisito dei clienti è cambiato e avevano bisogno di avere due VPN, una che andava al sito principale e l'altra che andava a un sito di failover. Il cliente voleva che entrambe le VPN fossero attive contemporaneamente.

Abbiamo scoperto che i router ADSL in uso non stavano affrontando questo problema. Con una VPN IPSec stavano bene, ma non appena due VPN sono state richiamate, il router ADSL è stato riavviato. Si noti che la VPN è stata avviata da un server all'interno dell'ufficio, dietro il router. Abbiamo ottenuto tecnici dal fornitore per controllare i router e hanno inviato molti diagnostici al fornitore, ma non è stata trovata alcuna correzione.

Abbiamo testato OpenVPN e non ci sono stati problemi. Considerando i costi (sostituire dozzine di router ADSL o cambiare la tecnologia VPN) è stato deciso di passare a OpenVPN.

Abbiamo anche trovato la diagnostica più semplice (OpenVPN è molto più chiara) e molti altri aspetti del sovraccarico di gestione per una rete così ampia e diffusa sono stati molto più facili. Non abbiamo mai guardato indietro.

Uso OpenVPN per una VPN da sito a sito e funziona benissimo. Adoro quanto OpenVPN sia personalizzabile per ogni situazione. L'unico problema che ho avuto è che OpenVPN non è multithread, quindi puoi ottenere solo la larghezza di banda che 1 CPU può gestire. I test che ho fatto, siamo stati in grado di spingere ~ 375 MBits / sec attraverso il tunnel senza problemi, il che è più che sufficiente per la maggior parte delle persone.

Open VPN site-to-site è molto meglio su IPSEC. Abbiamo un client per il quale abbiamo installato Open-VPN in una rete MPLS che funzionava bene e supportava una crittografia più veloce e sicura come Blow-fish 128 bit CBC. In un altro sito collegato tramite IP pubblico abbiamo utilizzato questa connessione anche in banda bassa con 256kbps / 128kbps.

Tuttavia, vorrei sottolineare che le interfacce IPSec VTI sono ora supportate in Linux / Unix. Ciò consente di creare tunnel instradabili e sicuri in modo molto simile a OpenVPN da sito a sito o GRE su IPSec.