Frage OpenVPN vs IPsec - Pro und Kontra, was zu verwenden?


Interessanterweise habe ich bei der Suche nach "OpenVPN vs IPsec" keine guten Suchergebnisse gefunden. Also hier ist meine Frage:

Ich muss ein privates LAN über ein nicht vertrauenswürdiges Netzwerk einrichten. Und soweit ich weiß, scheinen beide Ansätze gültig zu sein. Aber ich weiß nicht, welcher besser ist.

Ich wäre sehr dankbar, wenn Sie die Vor- und Nachteile beider Ansätze aufzählen könnten und vielleicht auch Ihre Vorschläge und Erfahrungen, was zu verwenden ist.

Update (Betreffend den Kommentar / die Frage):

In meinem konkreten Fall ist es das Ziel, eine beliebige Anzahl von Servern (mit statischen IPs) transparent miteinander verbunden zu haben. Aber auch ein kleiner Teil dynamischer Clients wie "Road Warriors" (mit dynamischen IPs) sollte sich verbinden können. Das Hauptziel ist jedoch, dass ein "transparentes sicheres Netzwerk" auf dem nicht vertrauenswürdigen Netzwerk ausgeführt wird. Ich bin ein ziemlich Neuling, also weiß ich nicht, wie man "1: 1 Point to Point Connections" richtig interpretiert => Die Lösung sollte Broadcasts und all diese Sachen unterstützen, so dass es ein voll funktionsfähiges Netzwerk ist.


70
2017-11-17 13:41


Ursprung


Sie sollten angeben, ob Sie einen "persistenten" VPN-Tunnel von Standort zu Standort oder eine Lösung für viele Clients benötigen, um sich remote mit einer Site zu verbinden. Es macht einen Unterschied in der Antwort. - rmalayter
Update: Ich habe einen ziemlich interessanten Artikel gefunden. Vielleicht ist der Artikel voreingenommen? Zusammenfassend sagt der Artikel, IPSec ist viel schneller !? enterprisenetworkingplanet.com/netsecur/article.php/3844861/... - jens


Antworten:


Ich habe alle Szenarien in meiner Umgebung eingerichtet. (openvpn Website-Site, Road Warriors; Cisco IPSec Site-Site, Remote-Benutzer)

Bei weitem ist das OpenVPN schneller. Die openvpn-Software hat weniger Aufwand für die Remote-Benutzer. Der openvpn ist / kann auf Port 80 mit tcp eingerichtet werden, so dass er an Orten mit eingeschränktem freiem Internet läuft. Das openvpn ist stabiler.

Openvpn in meiner Umgebung erzwingt keine Richtlinie für den Endbenutzer. Openvpn Schlüsselverteilung ist ein wenig schwieriger sicher zu tun. Openvpn Schlüssel Passwörter sind bis zu den Endbenutzern (sie können leere Passwörter haben). Openvpn ist nicht von bestimmten Auditoren genehmigt (diejenigen, die nur schlechte Handelslumpen lesen). Openvpn braucht ein wenig Gehirne zum Setup (anders als Cisco).

Das ist meine Erfahrung mit openvpn: Ich weiß, dass die meisten meiner Negative durch Konfigurationsänderungen oder Prozessänderungen gelindert werden können. Also nimm alle meine Negative mit ein wenig Skepsis.


27
2017-11-17 16:50



Netter Kommentar zu den Wirtschaftsprüfern; würde mit ihren Lesegewohnheiten übereinstimmen;) Sagen Sie ihnen einfach, dass es das Industriestandard-TLS-Protokoll mit AES CBC 128-Bit-Verschlüsselung verwendet, und sie werden abgeschreckt;) - reiniero
Es fällt mir schwer, das Argument "viel schneller" in vielen Antworten zu nehmen. Der Verschlüsselungsaufwand für AES muss sicherlich vernachlässigbar sein. - user239558
@ user239558: IPSec kapselt Pakete jedoch zweimal, sodass der Overhead im Vergleich zu OpenVPN verdoppelt wird. - jupp0r
@ jupp0r das ist falsch. IPsec verursacht einen Overhead von 66B (20B IP, 8B UDP, 38B ESP) mit aktiviertem NAT-Traversal. OpenVPN verursacht 69B Overhead (20B IP, 8B UDP, 41B OpenVPN hdr). - tobias
Alte Antwort, aber ich habe OpenVPN "blank" (dh: keine Verschlüsselung), "schwach" (64-Bit) und "stark" (AES256-Bit), und es gibt wie eine 1ms Unterschied zwischen ihnen. Ie .: Nichts. ||| Ich habe meinen Test auf einer Single-Thread-VPS-Maschine bei Vultr gemacht, was natürlich kein wissenschaftlicher Test ist. Aber das Endergebnis ist das Gleiche. Wenn Sie irgendeine Art von Xeon verwenden (oder auf einem Xeon virtualisieren), werden Sie keinen Unterschied sehen. Wenn sich die Geschwindigkeit erhöht, ändert sich dies natürlich. Es wird empfohlen, 128-Bit-AES oder Intel beschleunigte AES zu verwenden, wenn so viel Bandbreite verfügbar ist. - Shiki


Ein wichtiger Vorteil von OpenVPN gegenüber IPSec ist, dass einige Firewalls IPSec-Verkehr nicht durchlassen, aber OpenVPN-UDP-Pakete oder TCP-Streams ungehindert weiterlaufen lassen.

Damit IPSec funktioniert, muss Ihre Firewall Pakete der IP-Protokolltypen ESP und AH sowie das allgegenwärtigere Trio (TCP, UDP und ICMP) beachten (oder ignorieren und routen müssen, ohne zu wissen, was es ist).

Natürlich könnten Sie einige Unternehmensumgebungen andersherum finden: IPSec durchlassen, aber nicht OpenVPN, es sei denn, Sie tun etwas Verrücktes, wie das Tunneln über HTTP, also hängt es von Ihren beabsichtigten Umgebungen ab.


16
2017-11-17 14:25



Wenn das Firewall-Problem auftritt, kann IPSec in den NAT-Traversal-Modus versetzt werden, der Pakete auf UDP / 4500 anstelle von ESP (Protokoll 50) verwendet. - MadHatter
Dies ist kein Vorteil von OpenVPN. IPsec kann auch mit einem zusätzlichen UDP-Header arbeiten, wie MadHatter darauf hingewiesen hat. Ein Problem von OpenVPN ist, dass es kein Standard (RFC) ist, da es sehr wenig Produkte (z. B. Router) gibt, die OpenVPN unterstützen. Zum Beispiel erhalten Sie keinen Cisco-Router, der OpenVPN unterstützt. Der einzige Vorteil, den ich an diesem proprietären Protokoll feststellen kann, ist, dass es einfach einzurichten ist. - tobias


OpenVPN kann Ethernet-Layer-Tunnel tun, was IPsec nicht kann. Dies ist wichtig für mich, weil ich IPv6 von einem beliebigen IPv6-Tunnel aus tunneln möchte. Vielleicht gibt es einen Weg, dies mit IPsec zu tun, aber ich habe es nicht gesehen. Außerdem können Sie in einer neueren Version von OpenVPN Internet-Layer-Tunnel erstellen, die IPv6 tunneln können, aber die Version in Debian-Squeeze kann das nicht, daher funktioniert ein Ethernet-Layer-Tunnel gut.

Wenn Sie also Nicht-IPv4-Datenverkehr tunneln möchten, gewinnt OpenVPN gegenüber IPsec.


10
2017-08-08 07:08



Hier verwenden Sie L2TP über IPsec. - Kenan Sulayman


Ich benutze OpenVPN für ein Site-to-Site-VPN und es funktioniert gut. Ich liebe wirklich, wie anpassungsfähig OpenVPN für jede Situation ist. Das einzige Problem, das ich hatte, ist, dass OpenVPN nicht Multithread ist, daher können Sie nur so viel Bandbreite bekommen, wie 1 CPU verarbeiten kann. Bei den Tests, die ich gemacht habe, waren wir in der Lage, ~ 375 MBits / Sek. Über den Tunnel ohne Probleme zu übertragen, was für die meisten Leute mehr als genug ist.


6
2017-11-17 14:24



Als weitere anekdotische Beweise für die CPU-Nutzung durch OpenVPN: Als ich ein paar Tests an einem Netbook durchführte, fand ich heraus, dass OpenVPN eine 100Mbit / s Verbindung fast (aber nicht ganz) sogar mit nur einer Single-Core Atom CPU sättigen konnte. - David Spillett


Ich hatte einige Erfahrung mit der Verwaltung von Dutzenden von Websites im ganzen Land (NZ), die jeweils über ADSL mit dem Internet verbunden sind. Sie hatten mit IPSec VPN an einer einzigen Site gearbeitet.

Die Anforderungen der Kunden änderten sich und sie mussten zwei VPNs haben, von denen einer zur Haupt-Site ging und der andere zu einer Failover-Site. Der Kunde wollte, dass beide VPNs gleichzeitig aktiv sind.

Wir stellten fest, dass die verwendeten ADSL-Router dies nicht bewältigten. Mit einem IPSec-VPN waren sie in Ordnung, aber sobald zwei VPNs hochgefahren wurden, startete der ADSL-Router neu. Beachten Sie, dass das VPN von einem Server im Büro hinter dem Router initiiert wurde. Wir haben Techniker vom Lieferanten, um die Router zu überprüfen, und sie haben viele Diagnosen an den Hersteller zurückgeschickt, aber es wurde keine Lösung gefunden.

Wir haben OpenVPN getestet und es gab keine Probleme. Unter Berücksichtigung der damit verbundenen Kosten (tausende von ADSL-Routern ersetzen oder VPN-Technologie ändern) wurde entschieden, zu OpenVPN zu wechseln.

Wir fanden auch die Diagnose einfacher (OpenVPN ist viel klarer) und viele andere Aspekte des Verwaltungsaufwands für solch ein großes und weit verbreitetes Netzwerk war viel einfacher. Wir haben nie zurückgeschaut.


6
2017-12-13 04:26





Open VPN Site-to-Site ist viel besser als IPSEC.Wir haben einen Client, für den wir Open-VPN in einem MPLS-Netzwerk installiert haben, das gut funktioniert und eine schnellere und sicherere Verschlüsselung wie Blow-fish 128 bit CBC unterstützt. An einer anderen Seite, die über eine öffentliche IP-Adresse verbunden ist, haben wir diese Verbindung auch in einer niedrigen Bandbreite wie 256 kbps / 128 kbps verwendet.

Ich möchte jedoch darauf hinweisen, dass IPSec VTI-Schnittstellen jetzt unter Linux / Unix unterstützt werden. Auf diese Weise können Sie routingfähige und sichere Tunnel auf die gleiche Weise wie OpenVPN-Site zu Site oder GRE-over-IPSec erstellen.


6
2018-01-29 12:52





OpenVPN ist

viel einfacher zu verwalten Einrichtung und Verwendung meiner Meinung nach .. Sein völlig transparentes VPN, das ich liebe ...

IPsec ist eher ein "professioneller" Ansatz mit vielen weiteren Optionen bezüglich des klassischen Routing innerhalb von VPNs.

Wenn Sie nur eine Punkt-zu-Punkt-VPN (1 zu 1) möchten, würde ich vorschlagen, OpenVPN zu verwenden

Hoffe das hilft: D


5
2017-11-17 14:02