ฉันได้เห็นคนจำนวนมากมักจะต่อสู้กับ IPSec และเทคโนโลยี VPN ที่ปลอดภัยอื่น ๆ อีกมากมาย สำหรับฉันใช้ OpenVPN ง่าย ๆ ด้วยผลลัพธ์ที่สวยงามและเรียบง่ายและหลากหลาย ฉันใช้มันกับเราเตอร์ DD-WRT เซิร์ฟเวอร์ขนาดใหญ่และโทรศัพท์ Android เพื่อบอกชื่อไม่กี่
มีใครช่วยอธิบายให้ฉันฟังว่าฉันพลาดอะไรไป มีข้อเสียของ OpenVPN ที่ฉันไม่ทราบหรือไม่? IPSec และเพื่อน ๆ นำเสนอฟีเจอร์ที่ยอดเยี่ยมที่ฉันไม่รู้หรือไม่? ทำไมทุกคนไม่ใช้ OpenVPN
คำตอบ:
IMHO ข้อเสียที่ใหญ่ที่สุดของ OpenVPN คือไม่สามารถทำงานร่วมกับผลิตภัณฑ์ส่วนใหญ่จากผู้จำหน่ายเครือข่าย "บิ๊กชื่อ" ได้ ผลิตภัณฑ์ด้านความปลอดภัยและเราเตอร์ของ Cisco & Juniper ไม่รองรับ - พวกเขาสนับสนุนเฉพาะ IPsec และ SSL VPN ที่เป็นกรรมสิทธิ์ Palo Alto, Fortinet, Check Point และอื่น ๆ ไม่รองรับเช่นกัน ดังนั้นหากองค์กร / องค์กรของคุณต้องการติดตั้งเอกซ์ทราเน็ต VPN แบบหนึ่งต่อหนึ่งไปยังอีก บริษัท หนึ่งและคุณมีอุปกรณ์ OpenVPN เพียงอย่างเดียวคุณอาจจะโชคไม่ดี
ดังที่กล่าวไปแล้ว บริษัท ฮาร์ดแวร์และซอฟต์แวร์เครือข่ายบางรายเริ่มที่จะยอมรับ OpenVPN MikroTik เป็นหนึ่งในนั้น ได้รับการสนับสนุนตั้งแต่ RouterOS 3.x:
http://wiki.mikrotik.com/wiki/OpenVPN
นอกจากนี้เป็นเวลานานที่สุดวิธีเดียวที่จะเรียกใช้ไคลเอนต์ OpenVPN บน iOS ของ Apple นั้นต้องมีการแหกคุก ไม่เช่นนั้นอีกต่อไป:
https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8
โดยรวมแล้วสถานการณ์กำลังดีขึ้น อย่างไรก็ตามหากไม่มีผู้ขายอย่าง Cisco & Juniper ที่ใช้มันในผลิตภัณฑ์ของพวกเขาฉันไม่สามารถเห็นองค์กรขนาดใหญ่ใช้งานได้โดยไม่ประสบปัญหาการทำงานร่วมกัน
IPSec เป็นมาตรฐาน ผู้ขายเครือข่ายเกือบทุกรายสนับสนุน คุณไม่สามารถบรรลุความสามารถในการทำงานร่วมกันระดับเดียวกันระหว่างเราเตอร์กับ OpenVPN
อย่างที่เดวิดพูดไม่มีอะไรผิดปกติกับ OpenVPN สำหรับโซลูชัน VPN ของลูกค้า สำหรับโซลูชันเว็บไซต์หรือโครงสร้างพื้นฐาน VPN ไปยังไซต์ฉันเลือก IPSEC VPN
หนึ่งในข้อเสียคือในสภาพแวดล้อมขององค์กรผู้จัดการบางคนไม่ชอบที่จะพึ่งพาซอฟต์แวร์โอเพนซอร์ซ
ฉันเห็นว่าไม่มีอะไรผิดปกติกับ OpenVPN สำหรับโซลูชัน VPN ของผู้ใช้
IPSEC สามารถนำไปใช้ในฮาร์ดแวร์ (หรือมากกว่าองค์ประกอบการเข้ารหัสของ IPSEC) และมีประโยชน์เมื่อคุณต้องการที่จะผลักดันข้อมูลจำนวนมากผ่าน VPN และไม่ต้องการเสียสละพลังงาน CPU ในสถานีผู้ใช้ปลายทาง
OpenVPN มีการนำไปใช้ที่ปลอดภัยยิ่งขึ้น (Userspace vs Kernel)
ใช้งานได้ดีกับไฟร์วอลล์และ NAT (ไม่จำเป็นต้องมั่นใจ NAT-T) และกรองได้ยาก
มันซับซ้อนน้อยกว่า IPsec
OpenVPN ไม่มีการรับรองตามกฎระเบียบบางอย่างเช่นการสนับสนุน FIPS 140-2
ข้อเสียเพียงทางเทคนิคในการ OpenVPN ผมเห็นก็คือว่าในการเปรียบเทียบกับคู่แข่งก็แนะนำระบบจำนวนมากของความล่าช้าในการเชื่อมโยง อัปเดต: ฉันพบว่านี่เป็นความผิดปกติไม่ใช่กับ OpenVPN โดยทั่วไป แต่เป็นการทดสอบของฉันเท่านั้น เมื่อ OpenVPN ทำงานบนโปรโตคอล TCP โอเวอร์เฮดของ TCP จะทำให้ OpenVPN ช้าลงเล็กน้อย L2TP ใช้พอร์ตและโปรโตคอลคงที่สำหรับการทำงานร่วมกันดังนั้นจึงไม่มีคุณสมบัติที่จะเรียกใช้บน TCP Openvpn บน UDP น่าจะเร็วกว่าสำหรับผู้ใช้อื่น ๆ
ข้อได้เปรียบอื่น ๆ เพียงอย่างเดียวในขณะที่ใช้ PPTP / L2TP / Ipsec คือฉันพบว่าการติดตั้งบนเครื่อง Windows หรือ iPhone ทำได้ง่ายขึ้นโดยไม่ต้องติดตั้งซอฟต์แวร์ฝั่งไคลเอ็นต์เพิ่มเติม YMMV
คุณอาจต้องการอ่านหน้านี้
ฉันชอบ IPSec เกือบทุกครั้งเพราะฉันคุ้นเคยกับมันและมันก็ใช้ได้เสมอ เป็นมาตรฐานที่ได้รับการสนับสนุนโดยเกือบทุกอย่างตั้งแต่โทรศัพท์มือถือและแท็บเล็ตไปจนถึงเครื่อง Windows และ Linux และมีคุณสมบัติที่มีประโยชน์เช่นการสนับสนุน NAT และการตรวจจับเพื่อนตาย
FYI ฉันใช้ Openswan บน Linux เป็นหลัก
หนึ่งในเหตุผลด้านความปลอดภัยที่สำคัญที่เราต้องการ IPSec คือการหมุนคีย์เซสชัน OpenVPN อาจใช้งานสิ่งนี้ (แต่ฉันไม่เห็น) ซึ่งหมายความว่าผู้โจมตีที่เก็บข้อมูลในระยะยาวจะไม่สามารถบังคับใช้บันทึกการสื่อสารทั้งหมดได้ในคราวเดียว แต่จะคุ้มค่ากับคีย์ของแต่ละเซสชันเท่านั้น
OpenVPN มีรูปแบบการพูดดังนั้นการสื่อสารทั้งหมดจึงจำเป็นต้องกำหนดเส้นทางผ่านเซิร์ฟเวอร์หลัก Tinc-VPN สามารถกำหนดเส้นทางระหว่างไซต์ต่างๆ คุณสามารถอ่านบล็อกนี้: http://www.allsundry.com/2011/04/10/tinc-better-than-openvpn/