Nhược điểm của OpenVPN là gì?


29

Tôi đã thấy rất nhiều người luôn vật lộn với IPSec và nhiều công nghệ VPN an toàn khác. Tôi, trước hết, luôn luôn sử dụng OpenVPN, với kết quả đẹp và đơn giản và linh hoạt. Tôi đã sử dụng nó trên các bộ định tuyến DD-WRT, máy chủ lớn và điện thoại Android, để đặt tên cho một số.

Ai đó có thể vui lòng giải thích cho tôi những gì tôi đang bỏ lỡ? Có bất kỳ nhược điểm nào đối với OpenVPN mà tôi không biết? IPSec và bạn bè có cung cấp một số tính năng tuyệt vời mà tôi không biết không? Tại sao mọi người không sử dụng OpenVPN?

Câu trả lời:


20

IMHO, nhược điểm lớn nhất của OpenVPN là nó không tương thích với phần lớn các sản phẩm từ các nhà cung cấp mạng "tên tuổi" ngoài kia. Các sản phẩm bộ định tuyến và bảo mật của Cisco & Juniper không hỗ trợ nó - chúng chỉ hỗ trợ IPsec và SSL VPN độc quyền. Palo Alto, Fortinet, Check Point, v.v. cũng không hỗ trợ nó. Vì vậy, nếu tổ chức / doanh nghiệp của bạn muốn thiết lập VPN extranet giữa các trang web cho một công ty khác và bạn chỉ có một thiết bị OpenVPN, có lẽ bạn sẽ không gặp may.

Điều đó đang được nói, một số công ty phần cứng và phần mềm mạng đang bắt đầu nắm lấy OpenVPN. MikroTik là một trong số đó. Nó được hỗ trợ kể từ RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Ngoài ra, trong thời gian dài nhất, cách duy nhất để chạy ứng dụng khách OpenVPN trên iOS cần phải bẻ khóa. Đây không phải là như vậy, nữa:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

Nhìn chung, tình hình đang được cải thiện. Tuy nhiên, không có nhà cung cấp nào như Cisco & Juniper triển khai nó trong các sản phẩm của họ, tôi không thể thấy các doanh nghiệp lớn chấp nhận nó mà không gặp phải vấn đề về khả năng tương tác.


Cũng như MikroTik OpenVPN là trong (và đã được trong một thời gian bây giờ) pfSense pfsense.org (Mặc dù tôi không tin bạn có thể tạo site-to-site hầm với nó, có thể thông qua CLI?
jwbensley

Tôi không biết họ là một ứng dụng OpenVPN IOS, yay!
zevlag

6

IPSEC là tiêu chuẩn. Hầu như mọi nhà cung cấp mạng đều hỗ trợ nó. Bạn không thể đạt được cùng mức độ tương tác giữa các bộ định tuyến với OpenVPN.

Như David đã nói, không có gì sai với OpenVPN cho giải pháp VPN máy khách. Đối với các giải pháp cơ sở hạ tầng hoặc VPN của trang này đến trang web, tôi chọn IPSEC VPN.


5

Một trong những nhược điểm là trong môi trường doanh nghiệp, một số nhà quản lý không muốn dựa vào phần mềm nguồn mở.

Cá nhân tôi thấy không có gì sai với OpenVPN cho một giải pháp VPN người dùng.

IPSEC có thể được triển khai trong phần cứng (hay đúng hơn là yếu tố mã hóa của IPSEC) và vì vậy rất hữu ích khi bạn muốn đẩy nhiều dữ liệu qua VPN và không muốn hy sinh năng lượng CPU trên các trạm người dùng cuối.


Có các giải pháp IPsec đầy đủ trong phần cứng. Tuy nhiên, chúng là một) đắt tiền và b) hầu như luôn luôn là độc quyền của windows (máy chủ). (tiền điện tử phù hợp với NIC [cavium] hoặc được tích hợp trực tiếp vào nic [intel])
Ricky Beam

Tôi đã đề cập nhiều hơn đến những thứ giống như ASA làm tiền điện tử trong phần cứng.
David Rothera

Tôi đã suy nghĩ một NIC mà làm điều đó. Ngày nay, rất nhiều bộ định tuyến / phần cứng tường lửa có chip tiền điện tử. (khóa chính là phần rất tốn kém, 'bộ xử lý thiếu máu được sử dụng trong hầu hết các bộ định tuyến cũng cần nó cho lưu lượng truy cập)
Ricky Beam

Tôi nghĩ rằng IPSEC về điểm phần cứng là một điểm cộng lớn cho IPSEC. OpenVPN đã từng (và tôi tin rằng nó vẫn còn, nhưng tôi không thể tìm thấy bất kỳ tài liệu dứt khoát nào theo cách nào) theo từng luồng. Hỗ trợ điều tra ban đầu về một công ty VPN thương mại khởi nghiệp, nó đã bị bỏ vì OpenVPN sẽ không đủ nhanh. Xem câu trả lời ServerFault này để biết thêm thông tin chi tiết (thông tin thêm về các kết nối đồng thời); serverfault.com/questions/439848/ Tốc độ có thể không quan trọng đối với bạn, chúng tôi đã xem xét việc bán VPN 100Mbps.
jwbensley

1
  • OpenVPN có triển khai an toàn hơn (Userspace vs Kernel).

  • Nó hoạt động tốt hơn với Tường lửa và NAT (không cần đảm bảo NAT-T) và rất khó lọc.

  • Nó ít phức tạp hơn IPsec


3
Nhiệm vụ đang hỏi về những nhược điểm của OpenVPN ...
tegbains

Không gian người dùng vốn không an toàn hơn không gian kernel và bảo mật được quyết định tốt nhất bằng cách xem xét và kiểm tra - một lý do được chuẩn hóa vì một lý do.
mikebabcock

2
Thực sự nó là. triển khai VPN trong không gian người dùng an toàn hơn từ góc độ hệ thống so với trong nhân. để biết thêm chi tiết có một cái nhìn vào tờ giấy SANS này về SSL VPN dựa sans.org/reading_room/whitepapers/vpns/...
hyussuf

Mọi thứ đã phát triển phần nào kể từ khi câu trả lời này ban đầu được đăng; đặc biệt, lỗ hổng Heartbleed năm 2014 đã không may nhắc nhở chúng ta về tất cả các lỗ hổng sâu trên OpenSSL có thể ảnh hưởng đến toàn bộ OpenVPN. Nó cũng chứng minh rằng việc chạy trong không gian người dùng sẽ không khiến các cuộc tấn công trở nên ít nghiêm trọng hơn, vì các phần mềm VPN có xác suất tiếp xúc rất cao trong nội dung có độ nhạy cao, thường theo dõi đường dẫn để có được đặc quyền gốc trên máy VPN và / hoặc các máy khác xung quanh. Cuối cùng, hầu hết các giải pháp tường lửa của công ty hiện chặn OpenVPN thông qua Kiểm tra gói sâu Deep
jwatkins

1

OpenVPN không có các chứng nhận theo quy định nhất định, như hỗ trợ Trin 140-2.


1
Thực sự có hỗ trợ Trin 140-2 với OpenVPN ... có một bản dựng mở rộng được chứng nhận và bản vá cho OpenVPN để sử dụng nó theo cách được chứng nhận ... trên thực tế, chúng tôi đang làm chính xác điều đó.
Jeff McAdams

1

Nhược điểm kỹ thuật duy nhất của OpenVPN mà tôi thấy là so với các đối thủ cạnh tranh, hệ thống đưa ra rất nhiều độ trễ trong các liên kết VPN . Cập nhật: Tôi đã thấy rằng đây không phải là lỗi với OpenVPN, mà chỉ với các thử nghiệm của tôi. Khi OpenVPN được chạy trên giao thức TCP, các chi phí TCP làm cho OpenVPN chậm hơn một chút. L2TP sử dụng các cổng và giao thức cố định cho khả năng tương tác và do đó không có tính năng nào để chạy nó trên TCP. Openvpn trên UDP dường như nhanh hơn đối với nhiều người dùng khác.

Ưu điểm duy nhất khác khi sử dụng PPTP / L2TP / Ipsec là tôi thấy việc cài đặt trên máy Windows hoặc iPhone dễ dàng hơn mà không cần cài đặt thêm bất kỳ phần mềm phía máy khách nào. YMMV.

Bạn có thể muốn đọc này trang


1
Nơi tôi làm việc, chúng tôi sử dụng OpenVPN khá nhiều và không biết về những lo ngại về độ trễ bổ sung vì nó. Bạn có thể giải thích về bản chất của điều đó?
Jeff McAdams

Tôi đã kiểm tra OpenVPN, L2TP và PPTP khi cố mã hóa kết nối đến máy chủ VoIP của mình trong khi sử dụng điện thoại trên máy trạm từ xa. Tôi thấy OpenVPN giới thiệu độ trễ cao nhất và PPTP là nhanh nhất. Cuối cùng tôi đã đi với L2TP. Các vấn đề về độ trễ chỉ xuất hiện trên một số mạng 3G kém, nhưng ngay cả trên cùng một mạng L2TP dường như vẫn hoạt động tốt.
Surajram Kumaravel

Đọc ivpn.net/pptp-vs-l2tp-vs-openvpn khiến tôi nghĩ rằng đây là một vấn đề cụ thể với thiết lập của tôi và không phải là một vấn đề chung. Cảm ơn đã giúp tôi nhận ra rằng Jeff!
Surajram Kumaravel

1

Tôi thích IPSec gần như mọi lúc vì tôi quen với nó và nó luôn hoạt động. Dựa trên các tiêu chuẩn, nó được hỗ trợ bởi hầu hết mọi thứ, từ điện thoại và máy tính bảng cho đến các máy Windows và Linux và nó có các tính năng hữu ích như hỗ trợ NAT và phát hiện ngang hàng.

FYI Tôi sử dụng chủ yếu Openswan trên Linux.

Một trong những lý do bảo mật chính mà chúng tôi thích IPSec là xoay các khóa phiên. OpenVPN có thể đã thực hiện điều này (nhưng tôi không thấy nó). Điều này có nghĩa là kẻ tấn công nắm bắt dữ liệu một cách thụ động trong thời gian dài không thể buộc toàn bộ nhật ký liên lạc cùng một lúc, mà chỉ có giá trị của mỗi khóa phiên riêng lẻ.


Chỉ là một so sánh, OpenVPN cũng hoạt động thông qua NAT và được hỗ trợ trên PC, điện thoại và bảng (Windows, Mac OS X, Linux, BSD, Android, iOS, v.v.).
jwbensley

Tôi có nghĩa là hỗ trợ tích hợp, có lẽ không rõ ràng là @javano
mikebabcock

Tôi sẽ giả định rằng bạn chưa bao giờ sử dụng OpenVPN. Không ai đã sử dụng OpenVPN và IPsec sẽ chọn IPsec vì nó "luôn luôn hoạt động". Trong số các ưu điểm lớn nhất của OpenVPN là nó giảm đáng kể độ phức tạp và dễ khắc phục sự cố. Tôi thấy điều này như một người đã chuyển đổi hàng trăm thiết bị Linux từ xa (sống tại các trang web của khách hàng) từ IPsec sang OpenVPN vài năm trước. IPsec là tốt nếu bạn phải kết nối với thứ gì đó mà bạn không quản lý / kiểm soát chỉ hỗ trợ IPsec. OpenVPN là một lựa chọn tốt hơn trong hầu hết các trường hợp khác.
Christopher Cashell

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.