OpenVPN против IPsec - плюсы и минусы, что использовать?

Интересно, что я не нашел хороших результатов поиска при поиске "OpenVPN vs IPsec". Итак, вот мой вопрос:

Мне нужно настроить частную локальную сеть через ненадежную сеть. И, насколько я знаю, оба подхода кажутся обоснованными. Но я не знаю, какой из них лучше.

Я был бы очень благодарен, если бы вы могли перечислить плюсы и минусы обоих подходов и, возможно, ваши предложения и опыт относительно того, что использовать.

Обновление (относительно комментария / вопроса):

В моем конкретном случае цель состоит в том, чтобы любое количество серверов (со статическими IP-адресами) прозрачно подключались друг к другу. Но небольшая часть динамических клиентов, таких как «дорожные воины» (с динамическими IP-адресами), также должна иметь возможность подключения. Однако основной целью является создание «прозрачной защищенной сети» поверх ненадежной сети. Я новичок, поэтому не знаю, как правильно интерпретировать «Соединения точка-точка 1: 1» => Решение должно поддерживать широковещательные рассылки и все такое, так что это полностью функциональная сеть.

У меня есть все сценарии настройки в моей среде. (openvpn site-site, road warriors; cisco ipsec site-site, удаленные пользователи)

Безусловно openvpn быстрее. Программное обеспечение openvpn менее затратно для удаленных пользователей. Openvpn можно настроить на порт 80 с tcp, чтобы он проходил в местах с ограниченным бесплатным доступом в Интернет. OpenVPN является более стабильным.

Openvpn в моей среде не навязывает политику конечному пользователю. Распределение ключей Openvpn немного сложнее сделать безопасно. Пароли ключей Openvpn предназначены для конечных пользователей (они могут иметь пустые пароли). Openvpn не одобрен некоторыми аудиторами (которые читают только плохую торговую тряпку). Openvpn требует немного мозгов для настройки (в отличие от cisco).

Это мой опыт работы с openvpn: я знаю, что большинство моих негативов можно смягчить либо путем изменения конфигурации, либо из-за изменений процесса. Так что отнеси все мои негативы с небольшим скептицизмом.

Одним из ключевых преимуществ OpenVPN над IPSec является то, что некоторые брандмауэры не пропускают трафик IPSec, но позволяют UDP-пакетам OpenVPN или потокам TCP перемещаться без помех.

Чтобы IPSec функционировал, ваш брандмауэр либо должен знать (или должен игнорировать и маршрутизировать, не зная, что это) пакеты IP-протоколов типов ESP и AH, а также более распространенное трио (TCP, UDP и ICMP).

Конечно, вы можете найти некоторые корпоративные среды с другой стороны: разрешить IPSec через, но не OpenVPN, если вы не сделаете что-то сумасшедшее, например, туннелирование через HTTP, так что это зависит от ваших предполагаемых сред.

OpenVPN может создавать туннели уровня Ethernet, чего не может сделать IPsec. Это важно для меня, потому что я хочу туннелировать IPv6 из любой точки, где есть только IPv4-доступ. Может быть, есть способ сделать это с IPsec, но я этого не видел. Кроме того, в более новой версии OpenVPN вы сможете создавать туннели интернет-уровня, которые могут туннелировать IPv6, но версия в Debian squeeze не может этого сделать, поэтому туннель уровня Ethernet работает хорошо.

Так что если вы хотите туннелировать трафик не-IPv4, OpenVPN выигрывает у IPsec.

OpenVPN есть

Гораздо проще администрировать настройку и использовать на мой взгляд .. Его полностью прозрачный VPN, который я люблю ...

IPsec - это более «профессиональный» подход с большим количеством опций, касающихся классической маршрутизации в vpns.

Если вы хотите просто двухточечный vpn (1-к-1), я бы предложил использовать OpenVPN

Надеюсь это поможет: D

У меня был некоторый опыт управления десятками сайтов по всей стране (NZ), каждый из которых подключался к Интернету через ADSL. Они работали с IPSec VPN на одном сайте.

Потребности клиентов изменились, и им нужно было иметь две VPN-сети, одна для основного сайта, а другая для отказоустойчивого сайта. Заказчик хотел, чтобы обе VPN были активны одновременно.

Мы обнаружили, что используемые маршрутизаторы ADSL не справляются с этим. С одной IPSec VPN они были в порядке, но как только были подключены две VPN, маршрутизатор ADSL перезагрузился. Обратите внимание, что VPN был инициирован с сервера внутри офиса, за маршрутизатором. Мы наняли техников от поставщика, чтобы проверить маршрутизаторы, и они отправили много диагностики обратно поставщику, но никакого исправления не было найдено.

Мы тестировали OpenVPN и проблем не было. Принимая во внимание связанные с этим расходы (заменить десятки ADSL-маршрутизаторов или сменить технологию VPN), было решено перейти на OpenVPN.

Мы также обнаружили, что диагностика проще (OpenVPN намного понятнее), и многие другие аспекты управления издержками для такой большой и широко распространенной сети стали намного проще. Мы никогда не оглядывались назад.

Я использую OpenVPN для VPN типа "сеть-сеть", и она прекрасно работает. Мне очень нравится, как настраиваемый OpenVPN для каждой ситуации. Единственная проблема, с которой я столкнулся, заключается в том, что OpenVPN не является многопоточным, поэтому вы можете получить столько пропускной способности, сколько может выдержать 1 процессор. Проведенное мною тестирование позволило нам протолкнуть ~ 375 Мбит / с по туннелю без проблем, чего более чем достаточно для большинства людей.

Open VPN сайт-сайт намного лучше, чем IPSEC. У нас есть клиент, для которого мы установили Open-VPN в сети MPLS, который работал нормально и поддерживал более быстрое и более безопасное шифрование, такое как 128-битный CBC Blow-fish. На другом сайте, который подключен через публичный IP-адрес, мы использовали это соединение также в низкочастотном диапазоне, таком как 256 кбит / с / 128 кбит / с.

Однако позвольте мне отметить, что интерфейсы IPSec VTI теперь поддерживаются в Linux / Unix. Это позволяет вам создавать маршрутизируемые и защищенные туннели практически так же, как сайт OpenVPN на сайте или GRE через IPSec.