OpenVPN so với IPsec - Ưu và nhược điểm, sử dụng cái gì?

Thật thú vị, tôi đã không tìm thấy bất kỳ kết quả tìm kiếm tốt khi tìm kiếm "OpenVPN vs IPsec". Vì vậy, đây là câu hỏi của tôi:

Tôi cần thiết lập một mạng LAN riêng qua mạng không tin cậy. Và theo như tôi biết, cả hai cách tiếp cận dường như đều hợp lệ. Nhưng tôi không biết cái nào tốt hơn.

Tôi sẽ rất biết ơn nếu bạn có thể liệt kê những ưu và nhược điểm của cả hai phương pháp và có thể là những gợi ý và kinh nghiệm của bạn về những gì nên sử dụng.

Cập nhật (Về nhận xét / câu hỏi):

Trong trường hợp cụ thể của tôi, mục tiêu là có bất kỳ số lượng máy chủ (có IP tĩnh) nào được kết nối trong suốt với nhau. Nhưng một phần nhỏ khách hàng năng động như "chiến binh đường phố" (có IP động) cũng có thể kết nối. Tuy nhiên, mục tiêu chính là có một "mạng an toàn trong suốt" chạy trên mạng không tin cậy. Tôi là một người mới nên tôi không biết cách diễn giải chính xác "Kết nối điểm 1: 1" => Giải pháp nên hỗ trợ phát sóng và tất cả những thứ đó để nó là một mạng đầy đủ chức năng.

Tôi có tất cả các thiết lập kịch bản trong môi trường của tôi. (trang web openvpn, chiến binh đường bộ; trang web cisco ipsec, người dùng từ xa)

Cho đến nay openvpn là nhanh hơn. Phần mềm openvpn ít chi phí hơn đối với người dùng từ xa. Openvpn là / có thể được thiết lập trên cổng 80 với tcp để nó đi qua ở những nơi có internet miễn phí hạn chế. Các openvpn ổn định hơn.

Openvpn trong môi trường của tôi không ép buộc chính sách cho người dùng cuối. Phân phối khóa Openvpn khó hơn một chút để làm an toàn. Mật khẩu khóa Openvpn tùy thuộc vào người dùng cuối (họ có thể có mật khẩu trống). Openvpn không được phê duyệt bởi một số kiểm toán viên (những người chỉ đọc giẻ rách thương mại xấu). Openvpn cần một chút bộ não để thiết lập (không giống như cisco).

Đây là kinh nghiệm của tôi với openvpn: Tôi biết rằng hầu hết các tiêu cực của tôi có thể được giảm bớt thông qua thay đổi cấu hình hoặc thay đổi quy trình. Vì vậy, lấy tất cả tiêu cực của tôi với một chút hoài nghi.

Một lợi thế chính của OpenVPN so với IPSec là một số tường lửa không cho lưu lượng truy cập IPSec đi qua mà hãy để các gói UDP của OpenVPN hoặc các luồng TCP truyền đi mà không gặp trở ngại.

Để IPSec hoạt động, tường lửa của bạn cần phải nhận biết (hoặc cần bỏ qua và định tuyến mà không cần biết đó là gì) các gói giao thức IP ESP và AH cũng như bộ ba phổ biến hơn (TCP, UDP và ICMP.

Tất nhiên bạn có thể tìm thấy một số môi trường doanh nghiệp theo cách khác: cho phép IPSec thông qua nhưng không phải OpenVPN, trừ khi bạn làm điều gì đó điên rồ như đường hầm thông qua HTTP, vì vậy nó phụ thuộc vào môi trường dự định của bạn.

OpenVPN có thể thực hiện các đường hầm lớp Ethernet, điều mà IPsec không thể làm được. Điều này rất quan trọng đối với tôi vì tôi muốn tạo đường hầm IPv6 từ bất kỳ nơi nào chỉ có quyền truy cập IPv4. Có lẽ có một cách để làm điều này với IPsec, nhưng tôi chưa thấy nó. Ngoài ra, trong phiên bản OpenVPN mới hơn, bạn sẽ có thể tạo các đường hầm lớp Internet có thể tạo đường hầm IPv6, nhưng phiên bản trong Debian nén không thể làm điều đó, do đó, đường hầm lớp Ethernet hoạt động độc đáo.

Vì vậy, nếu bạn muốn tạo đường hầm lưu lượng không phải là IPv4, OpenVPN sẽ thắng IPsec.

OpenVPN là

Theo ý kiến ​​của tôi, việc quản lý thiết lập và sử dụng dễ dàng hơn nhiều .. Nó hoàn toàn minh bạch, mà tôi yêu thích ...

IPsec là một cách tiếp cận "chuyên nghiệp" hơn với nhiều tùy chọn hơn liên quan đến định tuyến cổ điển trong vpns ..

Nếu bạn chỉ muốn một điểm vpn điểm (1 đến 1), tôi khuyên bạn nên sử dụng OpenVPN

Hy vọng điều này sẽ giúp: D

Tôi đã có một số kinh nghiệm với việc quản lý hàng chục trang web trên toàn quốc (New Zealand) từng kết nối với Internet thông qua ADSL. Họ đã hoạt động với IPSec VPN đến một trang web duy nhất.

Yêu cầu của khách hàng đã thay đổi và họ cần phải có hai VPN, một đến trang chính còn trang kia chuyển đến trang dự phòng. Khách hàng muốn cả hai VPN hoạt động cùng một lúc.

Chúng tôi thấy rằng các bộ định tuyến ADSL đang sử dụng không đối phó với điều này. Với một VPN IPSec, chúng vẫn ổn nhưng ngay sau khi hai VPN được đưa lên, bộ định tuyến ADSL đã được khởi động lại. Lưu ý rằng VPN đã được bắt đầu từ một máy chủ bên trong văn phòng, phía sau bộ định tuyến. Chúng tôi đã nhờ các kỹ thuật viên từ nhà cung cấp kiểm tra các bộ định tuyến và họ đã gửi nhiều chẩn đoán lại cho nhà cung cấp nhưng không tìm thấy bản sửa lỗi nào.

Chúng tôi đã thử nghiệm OpenVPN và không có vấn đề gì. Khi xem xét các chi phí liên quan (thay thế hàng chục bộ định tuyến ADSL hoặc thay đổi công nghệ VPN), họ đã quyết định đổi thành OpenVPN.

Chúng tôi cũng nhận thấy chẩn đoán dễ dàng hơn (OpenVPN rõ ràng hơn nhiều) và nhiều khía cạnh khác của chi phí quản lý cho một mạng lưới rộng lớn và rộng khắp như vậy dễ dàng hơn rất nhiều. Chúng tôi không bao giờ nhìn lại.

Tôi sử dụng OpenVPN cho VPN site-to-site và nó hoạt động rất tốt. Tôi thực sự thích cách OpenVPN tùy biến cho từng tình huống. Vấn đề duy nhất tôi gặp phải là OpenVPN không đa luồng, do đó bạn chỉ có thể nhận được nhiều băng thông mà 1 CPU có thể xử lý. Thử nghiệm tôi đã thực hiện, chúng tôi đã có thể đẩy ~ 375 MBits / giây qua đường hầm mà không gặp vấn đề gì, quá đủ cho hầu hết mọi người.

Open-site-site-site tốt hơn nhiều so với IPSEC. Chúng tôi có một ứng dụng khách mà chúng tôi đã cài đặt Open-VPN trong mạng MPLS hoạt động tốt và được hỗ trợ mã hóa nhanh hơn và an toàn hơn như CBC 128 bit. Tại một trang web khác được kết nối thông qua IP công cộng, chúng tôi cũng đã sử dụng kết nối này với băng thông thấp như 256kbps / 128kbps.

Tuy nhiên, để tôi chỉ ra rằng các giao diện VTI IPSec hiện được hỗ trợ trong Linux / Unix. Điều này cho phép bạn tạo các đường hầm an toàn và có thể định tuyến theo cách tương tự như trang OpenVPN đến trang web hoặc GRE qua IPSec.