OpenVPN so với IPsec - Ưu và nhược điểm, sử dụng cái gì?


76

Thật thú vị, tôi đã không tìm thấy bất kỳ kết quả tìm kiếm tốt khi tìm kiếm "OpenVPN vs IPsec". Vì vậy, đây là câu hỏi của tôi:

Tôi cần thiết lập một mạng LAN riêng qua mạng không tin cậy. Và theo như tôi biết, cả hai cách tiếp cận dường như đều hợp lệ. Nhưng tôi không biết cái nào tốt hơn.

Tôi sẽ rất biết ơn nếu bạn có thể liệt kê những ưu và nhược điểm của cả hai phương pháp và có thể là những gợi ý và kinh nghiệm của bạn về những gì nên sử dụng.

Cập nhật (Về nhận xét / câu hỏi):

Trong trường hợp cụ thể của tôi, mục tiêu là có bất kỳ số lượng máy chủ (có IP tĩnh) nào được kết nối trong suốt với nhau. Nhưng một phần nhỏ khách hàng năng động như "chiến binh đường phố" (có IP động) cũng có thể kết nối. Tuy nhiên, mục tiêu chính là có một "mạng an toàn trong suốt" chạy trên mạng không tin cậy. Tôi là một người mới nên tôi không biết cách diễn giải chính xác "Kết nối điểm 1: 1" => Giải pháp nên hỗ trợ phát sóng và tất cả những thứ đó để nó là một mạng đầy đủ chức năng.


2
Bạn nên xác định xem bạn cần một đường hầm VPN "liên tục" tại chỗ hay một giải pháp cho nhiều khách hàng để kết nối từ xa đến một trang web. Nó làm cho một sự khác biệt trong câu trả lời.
rmalayter

2
Cập nhật: Tôi đã tìm thấy một bài viết khá thú vị. Có lẽ bài báo là thiên vị? Tóm lại bài báo đang nói IPSec nhanh hơn nhiều!? enterprisenetworkingplanet.com/netsecur/article.php/3844861/ cường
jens

Câu trả lời:


29

Tôi có tất cả các thiết lập kịch bản trong môi trường của tôi. (trang web openvpn, chiến binh đường bộ; trang web cisco ipsec, người dùng từ xa)

Cho đến nay openvpn là nhanh hơn. Phần mềm openvpn ít chi phí hơn đối với người dùng từ xa. Openvpn là / có thể được thiết lập trên cổng 80 với tcp để nó đi qua ở những nơi có internet miễn phí hạn chế. Các openvpn ổn định hơn.

Openvpn trong môi trường của tôi không ép buộc chính sách cho người dùng cuối. Phân phối khóa Openvpn khó hơn một chút để làm an toàn. Mật khẩu khóa Openvpn tùy thuộc vào người dùng cuối (họ có thể có mật khẩu trống). Openvpn không được phê duyệt bởi một số kiểm toán viên (những người chỉ đọc giẻ rách thương mại xấu). Openvpn cần một chút bộ não để thiết lập (không giống như cisco).

Đây là kinh nghiệm của tôi với openvpn: Tôi biết rằng hầu hết các tiêu cực của tôi có thể được giảm bớt thông qua thay đổi cấu hình hoặc thay đổi quy trình. Vì vậy, lấy tất cả tiêu cực của tôi với một chút hoài nghi.


2
Nhận xét tốt đẹp về các kiểm toán viên; sẽ đồng ý với thói quen đọc sách của họ;) Chỉ cần nói với họ rằng nó sử dụng giao thức TLS tiêu chuẩn công nghiệp với mã hóa AES CBC 128 bit và họ sẽ sợ hãi;)
rebiero

Tôi có một thời gian khó khăn để đưa ra lập luận "nhanh hơn nhiều" trong nhiều câu trả lời. Chi phí mã hóa cho AES chắc chắn phải không đáng kể.
dùng239558

@ user239558: IPSec đóng gói các gói hai lần, do đó, chi phí được tăng gấp đôi so với OpenVPN.
jupp0r

4
@ jupp0r điều này là sai. IPsec gây ra tổng phí 66B (IP 20B, 8B UDP, 38B ESP) với tính năng truyền tải NAT. OpenVPN gây ra 69B phí (20B IP, 8B UDP, 41B OpenVPN hdr).
tobias

1
Trả lời cũ, nhưng tôi đã sử dụng OpenVPN "trần" (nghĩa là: không mã hóa), "yếu" (64 bit) và "mạnh" (AES256-bit) và có sự khác biệt 1ms giữa chúng. Tức là: Không có gì. | | Tôi đã thực hiện thử nghiệm của mình trên một máy VPS đơn luồng tại Vultr, tất nhiên đây không phải là thử nghiệm khoa học. Nhưng điểm mấu chốt là như nhau. Nếu bạn sử dụng bất kỳ loại Xeon nào (hoặc ảo hóa trên Xeon), bạn sẽ thấy không có sự khác biệt. Tất nhiên, khi tốc độ tăng lên, điều này thay đổi. Bạn nên sử dụng AES 128 bit hoặc AES tăng tốc của Intel nếu bạn có quá nhiều băng thông đi qua.
Apache

18

Một lợi thế chính của OpenVPN so với IPSec là một số tường lửa không cho lưu lượng truy cập IPSec đi qua mà hãy để các gói UDP của OpenVPN hoặc các luồng TCP truyền đi mà không gặp trở ngại.

Để IPSec hoạt động, tường lửa của bạn cần phải nhận biết (hoặc cần bỏ qua và định tuyến mà không cần biết đó là gì) các gói giao thức IP ESP và AH cũng như bộ ba phổ biến hơn (TCP, UDP và ICMP.

Tất nhiên bạn có thể tìm thấy một số môi trường doanh nghiệp theo cách khác: cho phép IPSec thông qua nhưng không phải OpenVPN, trừ khi bạn làm điều gì đó điên rồ như đường hầm thông qua HTTP, vì vậy nó phụ thuộc vào môi trường dự định của bạn.


5
Nếu vấn đề tường lửa xuất hiện, IPSec có thể được đưa vào chế độ truyền tải NAT, sẽ sử dụng các gói trên UDP / 4500 thay vì ESP (giao thức 50).
MadHatter

3
Đây không phải là lợi ích của OpenVPN. IPsec cũng có thể hoạt động với một tiêu đề UDP bổ sung như MadHatter đã chỉ ra. Một vấn đề của OpenVPN là nó không có tiêu chuẩn (RFC), có rất ít sản phẩm (ví dụ như bộ định tuyến) ngoài kia hỗ trợ OpenVPN. Ví dụ: bạn sẽ không nhận được bộ định tuyến của Cisco hỗ trợ OpenVPN. Lợi ích duy nhất tôi có thể thấy của giao thức độc quyền này là dễ cài đặt.
tobias

13

OpenVPN có thể thực hiện các đường hầm lớp Ethernet, điều mà IPsec không thể làm được. Điều này rất quan trọng đối với tôi vì tôi muốn tạo đường hầm IPv6 từ bất kỳ nơi nào chỉ có quyền truy cập IPv4. Có lẽ có một cách để làm điều này với IPsec, nhưng tôi chưa thấy nó. Ngoài ra, trong phiên bản OpenVPN mới hơn, bạn sẽ có thể tạo các đường hầm lớp Internet có thể tạo đường hầm IPv6, nhưng phiên bản trong Debian nén không thể làm điều đó, do đó, đường hầm lớp Ethernet hoạt động độc đáo.

Vì vậy, nếu bạn muốn tạo đường hầm lưu lượng không phải là IPv4, OpenVPN sẽ thắng IPsec.


Đó là nơi bạn sử dụng L2TP trên IPsec.
Kenan Sulayman

10

OpenVPN là

Theo ý kiến ​​của tôi, việc quản lý thiết lập và sử dụng dễ dàng hơn nhiều .. Nó hoàn toàn minh bạch, mà tôi yêu thích ...

IPsec là một cách tiếp cận "chuyên nghiệp" hơn với nhiều tùy chọn hơn liên quan đến định tuyến cổ điển trong vpns ..

Nếu bạn chỉ muốn một điểm vpn điểm (1 đến 1), tôi khuyên bạn nên sử dụng OpenVPN

Hy vọng điều này sẽ giúp: D


9

Tôi đã có một số kinh nghiệm với việc quản lý hàng chục trang web trên toàn quốc (New Zealand) từng kết nối với Internet thông qua ADSL. Họ đã hoạt động với IPSec VPN đến một trang web duy nhất.

Yêu cầu của khách hàng đã thay đổi và họ cần phải có hai VPN, một đến trang chính còn trang kia chuyển đến trang dự phòng. Khách hàng muốn cả hai VPN hoạt động cùng một lúc.

Chúng tôi thấy rằng các bộ định tuyến ADSL đang sử dụng không đối phó với điều này. Với một VPN IPSec, chúng vẫn ổn nhưng ngay sau khi hai VPN được đưa lên, bộ định tuyến ADSL đã được khởi động lại. Lưu ý rằng VPN đã được bắt đầu từ một máy chủ bên trong văn phòng, phía sau bộ định tuyến. Chúng tôi đã nhờ các kỹ thuật viên từ nhà cung cấp kiểm tra các bộ định tuyến và họ đã gửi nhiều chẩn đoán lại cho nhà cung cấp nhưng không tìm thấy bản sửa lỗi nào.

Chúng tôi đã thử nghiệm OpenVPN và không có vấn đề gì. Khi xem xét các chi phí liên quan (thay thế hàng chục bộ định tuyến ADSL hoặc thay đổi công nghệ VPN), họ đã quyết định đổi thành OpenVPN.

Chúng tôi cũng nhận thấy chẩn đoán dễ dàng hơn (OpenVPN rõ ràng hơn nhiều) và nhiều khía cạnh khác của chi phí quản lý cho một mạng lưới rộng lớn và rộng khắp như vậy dễ dàng hơn rất nhiều. Chúng tôi không bao giờ nhìn lại.


8

Tôi sử dụng OpenVPN cho VPN site-to-site và nó hoạt động rất tốt. Tôi thực sự thích cách OpenVPN tùy biến cho từng tình huống. Vấn đề duy nhất tôi gặp phải là OpenVPN không đa luồng, do đó bạn chỉ có thể nhận được nhiều băng thông mà 1 CPU có thể xử lý. Thử nghiệm tôi đã thực hiện, chúng tôi đã có thể đẩy ~ 375 MBits / giây qua đường hầm mà không gặp vấn đề gì, quá đủ cho hầu hết mọi người.


3
Như nhiều bằng chứng về giai đoạn sử dụng CPU của OpenVPN: khi tôi thực hiện một vài thử nghiệm trên netbook, tôi thấy rằng OpenVPN gần như có thể (nhưng không hoàn toàn) bão hòa kết nối 100Mbit / giây ngay cả khi chỉ có CPU lõi đơn.
David Spillett

8

Open-site-site-site tốt hơn nhiều so với IPSEC. Chúng tôi có một ứng dụng khách mà chúng tôi đã cài đặt Open-VPN trong mạng MPLS hoạt động tốt và được hỗ trợ mã hóa nhanh hơn và an toàn hơn như CBC 128 bit. Tại một trang web khác được kết nối thông qua IP công cộng, chúng tôi cũng đã sử dụng kết nối này với băng thông thấp như 256kbps / 128kbps.

Tuy nhiên, để tôi chỉ ra rằng các giao diện VTI IPSec hiện được hỗ trợ trong Linux / Unix. Điều này cho phép bạn tạo các đường hầm an toàn và có thể định tuyến theo cách tương tự như trang OpenVPN đến trang web hoặc GRE qua IPSec.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.