Vraag OpenVPN versus IPsec - Voors en tegens, wat te gebruiken?


Interessant genoeg heb ik geen goede zoekresultaten gevonden bij het zoeken naar "OpenVPN vs IPsec". Dus hier is mijn vraag:

Ik moet een privé-LAN opzetten via een niet-vertrouwd netwerk. En voor zover ik weet, lijken beide benaderingen geldig. Maar ik weet niet welke beter is.

Ik zou erg dankbaar zijn als u de voor- en nadelen van beide benaderingen en misschien uw suggesties en ervaringen met betrekking tot wat te gebruiken.

Update (met betrekking tot de opmerking / vraag):

In mijn concrete geval is het doel om een ​​willekeurig aantal servers (met statische IP's) transparant op elkaar te laten aansluiten. Maar een klein deel van de dynamische clients zoals 'road warriors' (met dynamische IP's) moet ook kunnen verbinden. Het belangrijkste doel is echter om een ​​'transparant beveiligd netwerk' te laten draaien op het niet-vertrouwde netwerk. Ik ben een nieuweling dus ik weet niet hoe ik "1: 1 punt-tot-punt-verbindingen" correct moet interpreteren => De oplossing zou uitzendingen en al die dingen moeten ondersteunen, dus het is een volledig functioneel netwerk.


70
2017-11-17 13:41


oorsprong


U geeft aan of u een 'permanente' VPN-tunnel op locatie nodig hebt of een oplossing voor veel clients om op afstand verbinding te maken met één site. Het maakt een verschil in het antwoord. - rmalayter
Update: ik heb een vrij interessant artikel gevonden. Misschien is het artikel bevooroordeeld? Samenvattend zegt het artikel dat IPSec veel sneller is !? enterprisenetworkingplanet.com/netsecur/article.php/3844861/... - jens


antwoorden:


Ik heb alle scenario's ingesteld in mijn omgeving. (openvpn site-site, road warriors; cisco ipsec site-site; externe gebruikers)

Verreweg de openvpn is sneller. De openvpn-software is minder overheadkosten voor de externe gebruikers. De openvpn is / kan worden ingesteld op poort 80 met tcp, zodat deze wordt doorgegeven op plaatsen met beperkt gratis internet. De openvpn is stabieler.

Openvpn in mijn omgeving dwingt het beleid niet tot de eindgebruiker. Openvpn-sleuteldistributie is een beetje moeilijker om veilig te doen. Openvpn-sleutelwachtwoorden zijn aan de eindgebruikers (ze kunnen blanco wachtwoorden hebben). Openvpn is niet goedgekeurd door bepaalde auditors (degenen die alleen slechte trade-vodden lezen). Openvpn heeft een beetje hersens nodig om op te zetten (in tegenstelling tot cisco).

Dit is mijn ervaring met openvpn: ik weet dat de meeste van mijn negatieven kunnen worden verlicht door configuratiewijzigingen of proceswijzigingen. Dus neem al mijn negatieven met een beetje scepticisme.


27
2017-11-17 16:50



Leuke opmerking over de auditors; zou het eens zijn met hun leesgewoonten;) Vertel hen gewoon dat het het standaard TLS-protocol gebruikt met AES CBC 128-bits codering en dat ze bang zullen zijn;) - reiniero
Ik vind het moeilijk om het "veel snellere" argument uit vele antwoorden te gebruiken. Versleuteling van AES voor AES moet zeker te verwaarlozen zijn. - user239558
@ user239558: IPSec encapsulates pakketten twee keer, dus de overhead is verdubbeld in vergelijking met OpenVPN. - jupp0r
@ jupp0r dit is verkeerd. IPsec veroorzaakt een overhead van 66B (20B IP, 8B UDP, 38B ESP) met NAT traversal ingeschakeld. OpenVPN veroorzaakt 69B overhead (20B IP, 8B UDP, 41B OpenVPN hdr). - tobias
Oud antwoord, maar ik gebruikte OpenVPN "kaal" (dwz .: geen codering), "zwak" (64-bit) en "sterk" (AES256-bit), en er is een verschil van 1 ms tussen beide. I.e .: Niets. ||| Ik deed mijn test op een VPS-machine met enkele draad op Vultr, wat natuurlijk geen wetenschappelijke test is. Maar de bottom line is hetzelfde. Als u een Xeon gebruikt (of virtualiseert op een Xeon), ziet u geen verschil. Natuurlijk, als de snelheid omhoog gaat, verandert dit. Het wordt aanbevolen om 128-bits AES of door Intel versnelde AES te gebruiken als er zoveel bandbreedte doorkomt. - Shiki


Een belangrijk voordeel van OpenVPN ten opzichte van IPSec is dat sommige firewalls IPSec-verkeer niet laten doorsturen, maar dat OpenVPN's UDP-pakketten of TCP-streams ongehinderd kunnen reizen.

Om IPSec te laten werken, moet uw firewall zich bewust zijn van (of moeten negeren en routes uitvoeren zonder te weten wat het is), pakketten van de IP-protocoltypen ESP en AH, evenals het meer alomtegenwoordige trio (TCP, UDP en ICMP.

Natuurlijk kun je sommige bedrijfsomgevingen andersom vinden: IPSec toestaan ​​via maar niet OpenVPN, tenzij je iets geks doet zoals het tunnelen via HTTP, dus het hangt af van je beoogde omgevingen.


16
2017-11-17 14:25



Als het probleem met de firewall optreedt, kan IPSec in de NAT-traversal-modus worden gezet, die pakketten op UDP / 4500 in plaats van ESP gebruikt (protocol 50). - MadHatter
Dit is geen voordeel van OpenVPN. IPsec kan ook werken met een extra UDP-header zoals MadHatter aangaf. Een probleem van OpenVPN is dat het geen standaard (RFC) is, er zijn zeer minder producten (bijvoorbeeld routers) die OpenVPN ondersteunen. U krijgt bijvoorbeeld geen Cisco-router die OpenVPN ondersteunt. Het enige voordeel dat ik kan zien aan dit gepatenteerde protocol is dat het gemakkelijk is in te stellen. - tobias


OpenVPN kan Ethernet-laagtunnels maken, wat IPsec niet kan doen. Dit is belangrijk voor mij omdat ik IPv6 wil tunnelen vanaf elke locatie die alleen IPv4-toegang heeft. Misschien is er een manier om dit met IPsec te doen, maar ik heb het niet gezien. Ook kun je in een nieuwere versie van OpenVPN internetlaag-tunnels maken die IPv6 kunnen tunneleren, maar de versie in Debian Squeeze kan dat niet, dus een Ethernet-laagtunnel werkt goed.

Dus als u niet-IPv4-verkeer wilt tunnelen, wint OpenVPN via IPsec.


10
2017-08-08 07:08



Dat is waar u L2TP via IPsec gebruikt. - Kenan Sulayman


Ik gebruik OpenVPN voor een site-to-site VPN en het werkt prima. Ik ben er echt dol op hoe aanpasbaar OpenVPN is voor elke situatie. Het enige probleem dat ik had was dat OpenVPN niet multithreaded is, daarom kun je alleen zoveel bandbreedte krijgen als 1 CPU aankan. Door de tests die ik heb gedaan, hebben we zonder problemen 375 ms / sec door de tunnel kunnen duwen, wat voor de meeste mensen meer dan genoeg is.


6
2017-11-17 14:24



Zoals meer anekdotisch bewijs over CPU-gebruik door OpenVPN: toen ik een paar tests op een netbook uitvoerde, ontdekte ik dat OpenVPN bijna een (100Mbit / sec) verbinding kon verzadigen, zelfs met alleen een Atom-CPU met één kern. - David Spillett


Ik had enige ervaring met het beheren van tientallen sites in het hele land (NZ) die elk via ADSL verbinding maakten met het internet. Ze werkten samen met IPSec VPN naar een enkele site.

De behoefte van de klant veranderde en ze moesten twee VPN's hebben, één ging naar de hoofdsite en de andere ging naar een failover-site. De klant wilde dat beide VPN's tegelijkertijd actief zijn.

We vonden dat de gebruikte ADSL-routers hiermee niet omgingen. Met één IPSec VPN waren ze prima, maar zodra er twee VPN's werden uitgebracht, startte de ADSL-router opnieuw op. Merk op dat de VPN werd geïnitieerd vanaf een server binnen het kantoor, achter de router. We hebben technici van de leverancier om de routers te controleren en ze stuurden veel diagnoses terug naar de leverancier, maar er werd geen oplossing gevonden.

We hebben OpenVPN getest en er waren geen problemen. Op basis van de kosten (vervang tientallen ADSL-routers of verander VPN-technologie) werd besloten om over te schakelen naar OpenVPN.

We vonden ook diagnostiek eenvoudiger (OpenVPN is veel duidelijker) en veel andere aspecten van managementoverhead voor zo'n groot en wijdverspreid netwerk was een stuk eenvoudiger. We hebben nooit achterom gekeken.


6
2017-12-13 04:26





Open VPN-site-naar-site is veel beter dan IPSEC. We hebben een client waarvoor we Open-VPN hebben geïnstalleerd in een MPLS-netwerk dat goed werkte en sneller en veiliger versleuteling ondersteunt, zoals Blow-fish 128-bits CBC. Op een andere site die is verbonden via publieke IP hebben we deze verbinding ook gebruikt in lage bandbreedte zoals 256 kbps / 128 kbps.

Ik wil er echter op wijzen dat IPSec VTI-interfaces nu worden ondersteund in Linux / Unix. Hiermee kunt u routeerbare en beveiligde tunnels maken op dezelfde manier als OpenVPN-site naar site of GRE via IPSec.


6
2018-01-29 12:52





OpenVPN is

veel eenvoudiger om de set-up in te stellen en naar mijn mening te gebruiken .. De volledig transparante VPN, waar ik dol op ben ...

IPsec is meer een "professionele" benadering met veel meer opties met betrekking tot klassieke routing binnen vpns ..

Als je alleen een point-to-point vpn (1-op-1) wilt, zou ik willen voorstellen OpenVPN te gebruiken

Hope this Helps: D


5
2017-11-17 14:02