Каковы недостатки OpenVPN?

29

Я видел очень много людей, всегда борющихся с IPSec и многими другими технологиями безопасного VPN. Я, например, всегда просто использовал OpenVPN, с красивыми и простыми и универсальными результатами. Я использовал его на маршрутизаторах DD-WRT, больших серверах и телефонах Android, чтобы назвать несколько.

Может кто-нибудь объяснить мне, что я упускаю? Есть ли какие-либо недостатки в OpenVPN, о которых я не знаю? Предлагает ли IPSec и друзья какую-то удивительную функцию, о которой я не знал? Почему не все используют OpenVPN?

user1056
источник

Ответы:

20

ИМХО, самый большой недостаток OpenVPN заключается в том, что он не совместим с подавляющим большинством продуктов от известных сетевых поставщиков. Продукты Cisco и Juniper для обеспечения безопасности и маршрутизаторов не поддерживают его - они поддерживают только IPsec и собственные SSL VPN. Пало-Альто, Fortinet, Check Point и т. Д. Также не поддерживают его. Итак, если ваша организация / предприятие хочет настроить VPN-соединение между экстрасетями типа «сеть-сеть» с другой компанией, а у вас есть только устройство OpenVPN, вам, вероятно, не повезет.

Тем не менее, некоторые сетевые аппаратные и программные компании начинают использовать OpenVPN. MikroTik является одним из них. Это поддерживается с RouterOS 3.x:

http://wiki.mikrotik.com/wiki/OpenVPN

Кроме того, долгое время единственный способ запустить клиент OpenVPN на iOS от Apple требовал джейлбрейка. Это уже не так

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

В целом ситуация улучшается. Однако без таких поставщиков, как Cisco и Juniper, которые внедрили бы их в свои продукты, я не смогу увидеть, чтобы крупные предприятия приняли его, не столкнувшись с проблемами взаимодействия.

Марк Камичофф
источник
Кроме того, Mikrotik OpenVPN находится (и уже некоторое время) в pfSense pfsense.org (хотя я не верю, что вы можете создавать с него туннели сайт-сайт, возможно, через CLI?
jwbensley,
Я не знал, что это было приложение OpenVPN IOS, ура!
зевлаг
6

IPSEC является стандартным. Почти каждый сетевой поставщик поддерживает это. Вы не можете достичь того же уровня взаимодействия между маршрутизаторами с OpenVPN.

Как сказал Дэвид, нет ничего плохого в OpenVPN для решения VPN клиента. Для межсетевых VPN-решений или инфраструктурных решений я бы выбрал IPSEC VPN.

sergejv
источник
5

Одним из недостатков является то, что в корпоративной среде некоторые менеджеры не любят полагаться на программное обеспечение с открытым исходным кодом.

Лично я не вижу ничего плохого в OpenVPN для решения VPN пользователя.

IPSEC может быть реализован аппаратно (или, скорее, как элемент шифрования IPSEC) и поэтому полезен, когда вы хотите передавать большие объемы данных через VPN и не хотите жертвовать мощностью ЦП на станциях конечных пользователей.

Дэвид Ротера
источник
Существуют полностью аппаратные решения IPsec. Однако они а) дороги и б) почти всегда являются собственностью Windows (сервера). (крипто-в соответствии с NIC [кавиум], или встроенный непосредственно в ник [intel])
Рикки Бим
Я имел в виду больше подобных ASA, которые делают крипто в аппаратном обеспечении.
Дэвид Ротера
Я думал, что NIC это делает. В наши дни на многих маршрутизаторах / брандмауэрах установлены крипто-чипы. (ключевой шаг - очень дорогая часть, так как анемичные процессоры, используемые в большинстве маршрутизаторов, также нуждаются в ней для трафика)
Рикки Бим
Я думаю, что IPSEC в аппаратной части - огромный плюс для IPSEC. OpenVPN раньше был (и я верю, что все еще есть, но я не могу найти какую-либо определенную документацию в любом случае) однопоточным Помощь в первоначальном расследовании запуска коммерческой VPN-компании была прекращена, поскольку OpenVPN не собирался быть достаточно быстрым. Посмотрите этот ответ ServerFault для некоторого понимания (больше о параллельных соединениях); serverfault.com/questions/439848/… Скорость может быть не так важна для вас, мы рассматривали возможность продажи VPN со скоростью 100 Мбит / с.
Jwbensley
1
  • OpenVPN имеет более безопасную реализацию (Userspace vs Kernel).

  • Он лучше работает с межсетевыми экранами и NAT (нет необходимости обеспечивать NAT-T) и его трудно фильтровать.

  • Это намного менее сложно, чем IPsec

hyussuf
источник
3
Квест спрашивает о недостатках OpenVPN ...
tegbains
Пространство пользователя по своей природе не является более безопасным, чем пространство ядра, и безопасность лучше всего определяется путем анализа и тестирования - одно стандартизировано по определенной причине.
Майкбабкок
2
На самом деле это так. реализация VPN в пользовательском пространстве более безопасна с точки зрения системы, чем в ядре. для получения более подробной информации посмотрите документ SANS о VPNS на основе SSL sans.org/reading_room/whitepapers/vpns/…
hyussuf
Ситуация несколько изменилась с тех пор, как этот ответ был первоначально опубликован; в частности, уязвимость Heartbleed в 2014 году, к сожалению, напомнила всем нам, как глубокие уязвимости в OpenSSL могут повлиять на весь OpenVPN. Это также продемонстрировало, что работа в пользовательском пространстве не делает атаки менее критичными, учитывая, что программное обеспечение VPN имеет очень высокую вероятность контакта с высокочувствительным контентом, часто отслеживая путь для получения привилегии root на машине VPN и / или других машинах около. Наконец, большинство корпоративных брандмауэров теперь блокируют OpenVPN с помощью Deep Packet Inspection…
jwatkins
1

OpenVPN не имеет определенных нормативных сертификатов, таких как поддержка FIPS 140-2.

AWH
источник
1
На самом деле возможна поддержка FIPS 140-2 с OpenVPN ... была сертифицированная сборка openssl и патчи для OpenVPN, чтобы использовать его сертифицированным способом ... мы делаем именно это, на самом деле.
Джефф Макадамс
1

Единственный технический недостаток OpenVPN, который я вижу, заключается в том, что по сравнению с конкурентами система вносит большую задержку в соединениях VPN . Обновление: я обнаружил, что это была ошибка не в OpenVPN вообще, а только в моих тестах. Когда OpenVPN запускается по протоколу TCP, издержки TCP делают OpenVPN немного медленнее. L2TP использует фиксированные порты и протоколы для взаимодействия, и, следовательно, нет функции для его запуска по TCP. Openvpn на UDP, кажется, быстрее для многих других пользователей.

Единственное другое преимущество при использовании PPTP / L2TP / Ipsec - это то, что мне было проще настраивать компьютер под управлением Windows или iPhone без установки дополнительного клиентского программного обеспечения. YMMV.

Вы можете прочитать эту страницу

Сурайрам Кумаравел
источник
1
Там, где я работаю, мы довольно часто используем OpenVPN и не знаем о дополнительных проблемах с задержкой из-за этого. Можете ли вы уточнить природу этого?
Джефф Макадамс
Я протестировал OpenVPN, L2TP и PPTP при попытке зашифровать соединение с моим VoIP-сервером при использовании программных телефонов на удаленных рабочих станциях. Я обнаружил, что OpenVPN представил наибольшую задержку, а PPTP был самым быстрым. В конце концов я пошел с L2TP. Проблемы с задержкой обнаруживались только в нескольких плохих сетях 3G, но даже в тех же сетях L2TP, казалось, работал нормально.
Сураджрам Кумаравел
Чтение ivpn.net/pptp-vs-l2tp-vs-openvpn заставляет меня думать, что это была конкретная проблема с моей настройкой, а не общая проблема. Спасибо, что помогли мне понять, что Джефф!
Сураджрам Кумаравел
1

Я предпочитаю IPSec почти каждый раз, потому что я знаком с ним, и он всегда работает. Основанный на стандартах, он поддерживается практически всем, от телефонов и планшетов до компьютеров с Windows и Linux, и имеет полезные функции, такие как поддержка NAT и обнаружение мертвых узлов.

К вашему сведению, я использую в первую очередь Openswan на Linux.

Одна из главных причин безопасности, которую мы предпочитаем IPSec - это ротация сеансовых ключей. OpenVPN, возможно, реализовал это (но я этого не вижу). Это означает, что злоумышленник, который пассивно захватывает данные в течение длительного времени, не может перебрать весь журнал сообщений сразу, а только ценность каждого отдельного сеансового ключа.

Бэбкок
источник
В качестве сравнения, OpenVPN также работает через NAT и поддерживается на ПК, телефонах и столах (Windows, Mac OS X, Linux, BSD, Android, iOS и т. Д.).
Jwbensley
Я имел в виду встроенную поддержку, возможно не явно @javano
mikebabcock
Я собираюсь предположить, что вы никогда не использовали OpenVPN. Никто, кто использовал OpenVPN и IPsec, не выберет IPsec, потому что он «всегда работает». Среди самых больших преимуществ OpenVPN - это значительно уменьшенная сложность и простота устранения неисправностей. Я видел это как кого-то, кто несколько лет назад преобразовал сотни удаленных устройств Linux (живущих на сайтах клиентов) из IPsec в OpenVPN. IPsec хорош, если вам нужно подключиться к чему-то, что вы не управляете / не контролируете и поддерживает только IPsec. OpenVPN - лучший выбор практически во всех остальных случаях.
Кристофер Кашелл
0

OpenVPN имеет лучевую разметку, поэтому все коммуникации должны проходить через главный сервер. Tinc-VPN может выполнять маршрутизацию между разными сайтами. Вы можете прочитать этот блог: http://www.allsundry.com/2011/04/10/tinc-better-than-openvpn/

Морда кирпичом
источник