it-swarm.com.de

OpenVPN vs. IPsec - Vor- und Nachteile, was verwenden?

Interessanterweise habe ich bei der Suche nach "OpenVPN vs IPsec" keine guten Suchergebnisse gefunden. Hier ist meine Frage :

Ich muss ein privates LAN über ein nicht vertrauenswürdiges Netzwerk einrichten. Und soweit ich weiß, scheinen beide Ansätze gültig zu sein. Aber ich weiß nicht, welches besser ist.

Ich wäre Ihnen sehr dankbar, wenn Sie die Vor- und Nachteile beider Ansätze sowie Ihre Vorschläge und Erfahrungen in Bezug auf die Verwendung auflisten könnten.

Update (bezüglich des Kommentars/der Frage):

In meinem konkreten Fall besteht das Ziel darin, eine beliebige Anzahl von Servern (mit statischen IPs) transparent miteinander zu verbinden. Ein kleiner Teil der dynamischen Clients wie "Road Warrior" (mit dynamischen IPs) sollte jedoch auch eine Verbindung herstellen können. Das Hauptziel ist jedoch, dass ein "transparentes sicheres Netzwerk" über dem nicht vertrauenswürdigen Netzwerk ausgeführt wird. Ich bin ein ziemlicher Neuling, daher weiß ich nicht, wie ich "1: 1-Punkt-zu-Punkt-Verbindungen" richtig interpretieren soll => Die Lösung sollte Broadcasts und all diese Dinge unterstützen, damit es sich um ein voll funktionsfähiges Netzwerk handelt.

76
jens

Ich habe alle Szenarien in meiner Umgebung eingerichtet. (openvpn site-site, Straßenkämpfer; Cisco ipsec site-site, entfernte Benutzer)

Das openvpn ist bei weitem schneller. Die openvpn-Software ist für die Remotebenutzer weniger aufwendig. Das openvpn ist/kann mit tcp auf Port 80 eingerichtet werden, so dass es an Orten mit eingeschränktem kostenlosem Internet weitergeleitet wird. Das openvpn ist stabiler.

Openvpn in meiner Umgebung erzwingt keine Richtlinien für den Endbenutzer. Die sichere Verteilung von OpenVPN-Schlüsseln ist etwas schwieriger. OpenVPN-Schlüsselkennwörter sind Sache der Endbenutzer (sie können leere Kennwörter haben). Openvpn wird von bestimmten Auditoren nicht genehmigt (diejenigen, die nur schlechte Handelslappen lesen). Das Einrichten von Openvpn erfordert ein wenig Verstand (im Gegensatz zu Cisco).

Dies ist meine Erfahrung mit openvpn: Ich weiß, dass die meisten meiner Negative entweder durch Konfigurationsänderungen oder durch Prozessänderungen behoben werden können. Nehmen Sie also alle meine Negative mit ein wenig Skepsis.

29
Leo

Ein wesentlicher Vorteil von OpenVPN gegenüber IPSec besteht darin, dass einige Firewalls den IPSec-Verkehr nicht durchlassen, sondern die UDP-Pakete von OpenVPN oder TCP Streams) ungehindert übertragen.

Damit IPSec funktioniert, muss Ihre Firewall entweder Pakete der IP-Protokolltypen kennen (oder ignorieren und weiterleiten, ohne zu wissen, was es ist) ESP und AH) sowie das allgegenwärtigere Trio (TCP, UDP und ICMP.

Natürlich finden Sie einige Unternehmensumgebungen möglicherweise umgekehrt: Sie lassen IPSec durch, aber nicht OpenVPN, es sei denn, Sie tun etwas Verrücktes wie das Tunneln über HTTP. Dies hängt also von Ihren beabsichtigten Umgebungen ab.

18
David Spillett

OpenVPN kann Ethernet-Layer-Tunnel ausführen, was IPsec nicht kann. Dies ist wichtig für mich, da ich IPv6 von jedem Ort aus tunneln möchte, der nur IPv4-Zugriff hat. Vielleicht gibt es eine Möglichkeit, dies mit IPsec zu tun, aber ich habe es nicht gesehen. In einer neueren Version von OpenVPN können Sie auch Tunnel auf Internet-Ebene erstellen, die IPv6 tunneln können. Die Version in Debian Squeeze kann dies jedoch nicht, sodass ein Tunnel auf Ethernet-Ebene gut funktioniert.

Wenn Sie also Nicht-IPv4-Verkehr tunneln möchten, gewinnt OpenVPN über IPSec.

13
Kenyon

OpenVPN ist

meiner Meinung nach ist die Einrichtung und Verwendung viel einfacher zu verwalten. Es ist ein vollständig transparentes VPN, das ich liebe ...

IPsec ist eher ein "professioneller" Ansatz mit viel mehr Optionen für das klassische Routing innerhalb von VPNs.

Wenn Sie nur einen Punkt-zu-Punkt-VPN (1-zu-1) möchten, würde ich die Verwendung von OpenVPN vorschlagen

Hoffe das hilft: D.

10
Arenstar

Ich hatte einige Erfahrung mit der Verwaltung von Dutzenden von Websites im ganzen Land (NZ), die jeweils über ADSL eine Verbindung zum Internet herstellen. Sie hatten mit IPSec VPN an einem einzigen Standort gearbeitet.

Die Kundenanforderungen änderten sich und sie mussten zwei VPNs haben, eines zum Hauptstandort und das andere zu einem Failover-Standort. Der Kunde wollte, dass beide VPNs gleichzeitig aktiv sind.

Wir haben festgestellt, dass die verwendeten ADSL-Router damit nicht fertig wurden. Mit einem IPSec-VPN waren sie in Ordnung, aber sobald zwei VPNs gestartet wurden, wurde der ADSL-Router neu gestartet. Beachten Sie, dass das VPN von einem Server im Büro hinter dem Router initiiert wurde. Wir haben Techniker vom Lieferanten beauftragt, die Router zu überprüfen, und sie haben viele Diagnosen an den Anbieter zurückgesendet, aber es wurde keine Lösung gefunden.

Wir haben OpenVPN getestet und es gab keine Probleme. Unter Berücksichtigung der damit verbundenen Kosten (Dutzende von ADSL-Routern ersetzen oder VPN-Technologie ändern) wurde beschlossen, auf OpenVPN umzusteigen.

Wir fanden auch die Diagnose einfacher (OpenVPN ist viel klarer) und viele andere Aspekte des Verwaltungsaufwands für ein so großes und weit verbreitetes Netzwerk waren viel einfacher. Wir haben nie zurückgeschaut.

9
Steve

Open VPN Site-to-Site ist viel besser als IPSEC. Wir haben einen Client, für den wir Open-VPN in einem MPLS-Netzwerk installiert haben, das einwandfrei funktioniert und eine schnellere und sicherere Verschlüsselung wie Blow-Fish 128-Bit-CBC unterstützt. An einem anderen Standort, der über eine öffentliche IP-Adresse verbunden ist, haben wir diese Verbindung auch in einer niedrigen Bandbreite wie 256 KBit/s/128 KBit/s verwendet.

Lassen Sie mich jedoch darauf hinweisen, dass IPSec VTI-Schnittstellen jetzt unter Linux/Unix unterstützt werden. Auf diese Weise können Sie routingfähige und sichere Tunnel erstellen, ähnlich wie OpenVPN Site-to-Site oder GRE über IPSec.

8
Botto

Ich verwende OpenVPN für ein Site-to-Site-VPN und es funktioniert hervorragend. Ich finde es wirklich toll, wie anpassbar OpenVPN für jede Situation ist. Das einzige Problem, das ich hatte, ist, dass OpenVPN kein Multithreading ist, daher können Sie nur so viel Bandbreite erhalten, wie 1 CPU verarbeiten kann. Bei den Tests, die ich durchgeführt habe, konnten wir ohne Probleme ~ 375 MBit/s durch den Tunnel schieben, was für die meisten Menschen mehr als ausreichend ist.

8
user22492