OpenVPN เทียบกับ IPsec - ข้อดีข้อเสียควรใช้อะไร?


76

น่าสนใจฉันไม่พบผลลัพธ์การค้นหาที่ดีเมื่อค้นหา "OpenVPN vs IPsec" ดังนั้นนี่คือคำถามของฉัน:

ฉันต้องตั้งค่า LAN ส่วนตัวผ่านเครือข่ายที่ไม่น่าเชื่อถือ และเท่าที่ฉันรู้วิธีการทั้งสองดูเหมือนจะถูกต้อง แต่ฉันไม่รู้ว่าอันไหนดีกว่า

ฉันจะขอบคุณมากหากคุณสามารถระบุข้อดีข้อเสียของวิธีการทั้งสองและอาจแนะนำและประสบการณ์ของคุณเกี่ยวกับสิ่งที่จะใช้

อัปเดต (เกี่ยวกับความคิดเห็น / คำถาม):

ในกรณีที่เป็นรูปธรรมเป้าหมายคือมีจำนวนเซิร์ฟเวอร์ (ที่มี IP คงที่) ที่เชื่อมต่อกันอย่างโปร่งใส แต่ลูกค้าไดนามิกส่วนน้อยเช่น "road warriors" (ที่มี IP แบบไดนามิก) ก็ควรจะสามารถเชื่อมต่อได้ เป้าหมายหลักคือการมี "เครือข่ายความปลอดภัยที่โปร่งใส" ทำงานบนเครือข่ายที่ไม่น่าเชื่อถือ ฉันเป็นมือใหม่มากฉันเลยไม่รู้วิธีตีความ "1: 1 การเชื่อมต่อแบบจุดต่อจุด" อย่างถูกต้อง "=> โซลูชันควรรองรับการออกอากาศและทุกอย่างนั้นจึงเป็นเครือข่ายที่ใช้งานได้อย่างสมบูรณ์


2
คุณ sholud ระบุว่าคุณต้องการอุโมงค์ VPN แบบ "ต่อเนื่อง" ในไซต์หรือโซลูชันสำหรับไคลเอนต์จำนวนมากเพื่อเชื่อมต่อระยะไกลกับไซต์เดียว มันสร้างความแตกต่างในคำตอบ
rmalayter

2
ปรับปรุง: ฉันได้พบบทความที่น่าสนใจมาก อาจเป็นบทความที่ลำเอียง? โดยสรุปบทความบอกว่า IPSec เร็วกว่ามาก! enterprisenetworkingplanet.com/netsecur/article.php/3844861/...
Jens

คำตอบ:


29

ฉันมีการตั้งค่าสถานการณ์ทั้งหมดในสภาพแวดล้อมของฉัน (openvpn site-site, road warriors; cisco ipsec site-site, ผู้ใช้ระยะไกล)

openvpn เร็วกว่า ซอฟต์แวร์ openvpn มีค่าใช้จ่ายน้อยในผู้ใช้ระยะไกล openvpn คือ / สามารถตั้งค่าบนพอร์ต 80 ด้วย tcp เพื่อให้ส่งผ่านไปยังที่ที่มีอินเทอร์เน็ตฟรี จำกัด openvpn มีเสถียรภาพมากขึ้น

Openvpn ในสภาพแวดล้อมของฉันไม่ได้บังคับใช้นโยบายกับผู้ใช้ปลายทาง การกระจายคีย์ Openvpn นั้นทำได้ยากกว่าเล็กน้อย รหัสผ่านกุญแจ Openvpn นั้นขึ้นอยู่กับผู้ใช้งาน (พวกเขาสามารถมีรหัสผ่านเปล่า) Openvpn ไม่ได้รับการอนุมัติจากผู้สอบบัญชีบางคน (คนที่อ่านเฉพาะการค้าที่ไม่ดี) Openvpn ใช้เวลาในการเซ็ตอัพสมองเล็กน้อย

นี่คือประสบการณ์ของฉันกับ openvpn: ฉันรู้ว่าส่วนใหญ่ของฉันสามารถลบได้ผ่านการเปลี่ยนแปลงการกำหนดค่าหรือการเปลี่ยนแปลงกระบวนการ ดังนั้นให้ลบทั้งหมดของฉันด้วยความสงสัยเล็กน้อย


2
ความคิดเห็นที่ดีเกี่ยวกับผู้สอบบัญชี จะเห็นด้วยกับพฤติกรรมการอ่านของพวกเขา;) เพียงแค่บอกพวกเขาว่ามันใช้โปรโตคอล TLS มาตรฐานอุตสาหกรรมที่มีการเข้ารหัส AES CBC 128 บิตและพวกเขาจะกลัว;)
reiniero

ฉันมีเวลายากที่จะโต้แย้ง "โดยเร็ว" ยื่นออกมาในคำตอบมากมาย ค่าโสหุ้ยการเข้ารหัสสำหรับ AES จะต้องไม่เกิดขึ้นจริง
user239558

@ user239558: IPSec สรุปแพ็กเก็ตสองครั้งดังนั้นค่าใช้จ่ายจะเพิ่มเป็นสองเท่าเมื่อเปรียบเทียบกับ OpenVPN
jupp0r

4
@ jupp0r นี่ผิด IPsec ทำให้โอเวอร์เฮดของ 66B (20B IP, 8B UDP, 38B ESP) โดยเปิดใช้งานการแวะผ่าน NAT OpenVPN ทำให้ค่าใช้จ่าย 69B (20B IP, 8B UDP, 41B OpenVPN hdr)
tobias

1
คำตอบเก่า แต่ฉันใช้ OpenVPN "bare" (เช่น: ไม่มีการเข้ารหัส) "อ่อนแอ" (64 บิต) และ "strong" (AES256-bit) และมีความแตกต่างระหว่าง 1ms เช่น: ไม่มีอะไร ||| ฉันทำการทดสอบบนเครื่อง VPS แบบเธรดเดียวที่ Vultr ซึ่งแน่นอนว่าไม่ใช่การทดสอบทางวิทยาศาสตร์ แต่บรรทัดล่างเหมือนกัน หากคุณใช้ Xeon ประเภทใด (หรือ virtualize บน Xeon) คุณจะไม่เห็นความแตกต่าง แน่นอนว่าเมื่อความเร็วเพิ่มขึ้นการเปลี่ยนแปลงนี้ก็เกิดขึ้น ขอแนะนำให้ใช้ AES 128 บิตหรือ Intel เร่งความเร็ว AES หากคุณมีแบนด์วิดท์จำนวนมากผ่าน
Apache

18

ข้อดีอย่างหนึ่งที่สำคัญของ OpenVPN บน IPSec คือไฟร์วอลล์บางตัวไม่ยอมให้มีการรับส่งข้อมูลผ่าน IPSec แต่จะปล่อยให้แพ็คเก็ต UDP ของ OpenVPN หรือสตรีม TCP เดินทางโดยไม่มีอุปสรรค

เพื่อให้ IPSec สามารถทำงานกับไฟร์วอลล์ของคุณจะต้องระวัง (หรือต้องเพิกเฉยและกำหนดเส้นทางโดยไม่ทราบว่ามันคืออะไร) แพ็กเก็ตของ IP โปรโตคอลประเภท ESP และ AH รวมถึง trio ubiquitous (TCP, UDP และ ICMP)

แน่นอนว่าคุณอาจพบสภาพแวดล้อมขององค์กรในลักษณะอื่น: อนุญาตให้ IPSec ผ่าน แต่ไม่ใช่ OpenVPN เว้นแต่ว่าคุณจะทำสิ่งที่ไม่ชอบอย่างเช่นการเจาะผ่าน HTTP ดังนั้นจึงขึ้นอยู่กับสภาพแวดล้อมที่คุณต้องการ


5
หากปัญหาไฟร์วอลล์เกิดขึ้น IPSec สามารถเข้าสู่โหมด NAT-traversal ซึ่งจะใช้แพ็กเก็ตใน UDP / 4500 แทน ESP (โปรโตคอล 50)
MadHatter

3
นี่ไม่ใช่ประโยชน์ของ OpenVPN IPsec ยังสามารถทำงานกับส่วนหัว UDP เพิ่มเติมตามที่ MadHatter ชี้ให้เห็น ปัญหาของ OpenVPN ก็คือมันไม่มีมาตรฐาน (RFC) มีผลิตภัณฑ์น้อยมาก (เช่นเราเตอร์) ที่นั่นรองรับ OpenVPN ตัวอย่างเช่นคุณจะไม่ได้รับเราเตอร์ Cisco ที่สนับสนุน OpenVPN ประโยชน์อย่างเดียวที่ฉันเห็นจากโพรโทคอลนี้คือมันตั้งค่าได้ง่าย
tobias

13

OpenVPN สามารถทำ Ethernet-layer tunnels ซึ่ง IPsec ไม่สามารถทำได้ สิ่งนี้สำคัญสำหรับฉันเพราะฉันต้องการเชื่อมต่อ IPv6 จากทุกที่ที่มีการเข้าถึง IPv4 เท่านั้น อาจมีวิธีการทำเช่นนี้กับ IPsec แต่ฉันไม่ได้เห็น นอกจากนี้ในรุ่นใหม่ของ OpenVPN คุณจะสามารถสร้างอุโมงค์อินเทอร์เน็ตชั้นที่สามารถอุโมงค์ IPv6 แต่รุ่นในบีบ Debian ไม่สามารถทำเช่นนั้นอุโมงค์อีเทอร์เน็ตชั้นทำงานได้เป็นอย่างดี

ดังนั้นหากคุณต้องการรับส่งข้อมูลที่ไม่ใช่ IPv4 OpenVPN จะชนะ IPsec


นั่นคือที่ที่คุณใช้ L2TP ผ่าน IPsec
Kenan Sulayman

10

OpenVPN คือ

ง่ายกว่ามากในการจัดการการตั้งค่าและใช้งานในความคิดของฉัน .. มันโปร่งใส VPN เต็มรูปแบบซึ่งฉันชอบ ...

IPsec เป็นวิธี "มืออาชีพ" ที่มีตัวเลือกมากมายเกี่ยวกับการกำหนดเส้นทางแบบคลาสสิกภายใน VPN

หากคุณต้องการเพียงจุด - ต่อ - จุด vpn (1 ต่อ 1) ฉันอยากจะแนะนำให้ใช้ OpenVPN

หวังว่าสิ่งนี้จะช่วย: D


9

ฉันมีประสบการณ์เกี่ยวกับการจัดการเว็บไซต์หลายสิบแห่งทั่วประเทศ (NZ) แต่ละการเชื่อมต่ออินเทอร์เน็ตผ่าน ADSL พวกเขาทำงานด้วย IPSec VPN ไปที่ไซต์เดียว

ความต้องการของลูกค้าเปลี่ยนไปและพวกเขาจำเป็นต้องมี VPN สองอันหนึ่งไปที่ไซต์หลักอีกอันหนึ่งไปที่ไซต์ล้มเหลว ลูกค้าต้องการให้ VPNs ทั้งสองพร้อมใช้งานในเวลาเดียวกัน

เราพบว่าเราเตอร์ ADSL ที่ใช้งานไม่ได้จัดการกับสิ่งนี้ ด้วย IPSec VPN หนึ่งตัวพวกเขาก็ใช้ได้ แต่ทันทีที่ VPN สองตัวถูกนำขึ้นมาใหม่เราเตอร์ ADSL จะรีบูต โปรดทราบว่า VPN เริ่มต้นจากเซิร์ฟเวอร์ภายในสำนักงานด้านหลังเราเตอร์ เราได้รับช่างจากซัพพลายเออร์เพื่อตรวจสอบเราเตอร์และพวกเขาส่งการวินิจฉัยจำนวนมากกลับไปยังผู้ขาย แต่ไม่พบการแก้ไข

เราทดสอบ OpenVPN และไม่มีปัญหา เมื่อพิจารณาถึงค่าใช้จ่ายที่เกี่ยวข้อง (แทนที่เราเตอร์ ADSL หลายสิบเครื่องหรือเปลี่ยนเทคโนโลยี VPN) เราตัดสินใจเปลี่ยนเป็น OpenVPN

นอกจากนี้เรายังพบว่าการวินิจฉัยง่ายขึ้น (OpenVPN ชัดเจนยิ่งขึ้น) และด้านอื่น ๆ ของค่าใช้จ่ายในการจัดการสำหรับเครือข่ายขนาดใหญ่และแพร่หลายเช่นนั้นง่าย เราไม่เคยมองย้อนกลับไป


8

ฉันใช้ OpenVPN สำหรับ VPN แบบหนึ่งต่อไซต์และใช้งานได้ดี ฉันชอบที่ OpenVPN ที่ปรับแต่งได้สำหรับแต่ละสถานการณ์ ปัญหาเดียวที่ฉันมีคือ OpenVPN ไม่ได้มีหลายเธรดดังนั้นคุณสามารถรับแบนด์วิดท์ได้มากเท่าที่ 1 CPU สามารถจัดการได้ การทดสอบที่ฉันทำเราสามารถผลักดัน ~ 375 MBits / วินาทีข้ามอุโมงค์ได้โดยไม่มีปัญหาซึ่งเพียงพอสำหรับคนส่วนใหญ่


3
จากหลักฐานเพิ่มเติมเกี่ยวกับการใช้งาน CPU ของ OpenVPN: เมื่อฉันทำการทดสอบเน็ตบุ๊กสองสามครั้งฉันพบว่า OpenVPN สามารถทำให้การเชื่อมต่อ 100Mbit / วินาทีเกือบอิ่มตัว
David Spillett

8

Open VPN ไซต์ต่อไซต์นั้นดีกว่า IPSEC เรามีลูกค้าที่เราติดตั้ง Open-VPN ในเครือข่าย MPLS ซึ่งทำงานได้ดีและรองรับการเข้ารหัสที่รวดเร็วและปลอดภัยยิ่งขึ้นเช่น Blow-fish 128 บิต CBC ที่ไซต์อื่นซึ่งเชื่อมต่อผ่าน IP สาธารณะเราใช้การเชื่อมต่อนี้เช่นกันในย่านความถี่ต่ำเช่น 256kbps / 128kbps

อย่างไรก็ตามให้ฉันชี้ให้เห็นว่าตอนนี้รองรับ IPSec VTI ใน Linux / Unix สิ่งนี้ช่วยให้คุณสร้างอุโมงค์ที่กำหนดเส้นทางได้และปลอดภัยมากในลักษณะเดียวกับไซต์ OpenVPN ไปยังไซต์หรือ GRE มากกว่า IPSec

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.