OpenVPN vs IPsec - Pro dan kontra, apa yang harus digunakan?

Menariknya saya belum menemukan hasil pencarian yang baik ketika mencari "OpenVPN vs IPsec". Jadi inilah pertanyaan saya:

Saya perlu mengatur LAN pribadi melalui jaringan yang tidak terpercaya. Dan sejauh yang saya tahu, kedua pendekatan tersebut tampaknya valid. Tapi saya tidak tahu mana yang lebih baik.

Saya akan sangat berterima kasih jika Anda dapat mendaftar pro dan kontra dari kedua pendekatan dan mungkin saran dan pengalaman Anda tentang apa yang harus digunakan.

Perbarui (Mengenai komentar / pertanyaan):

Dalam kasus konkret saya, tujuannya adalah untuk memiliki sejumlah server (dengan IP statis) yang terhubung secara transparan satu sama lain. Tetapi sebagian kecil klien dinamis seperti "pejuang jalanan" (dengan IP dinamis) juga harus dapat terhubung. Namun tujuan utamanya adalah menjalankan "jaringan aman transparan" di atas jaringan yang tidak terpercaya. Saya seorang pemula, jadi saya tidak tahu bagaimana cara menafsirkan dengan benar "1: 1 Sambungan Point-to-Point" => Solusi harus mendukung siaran dan semua hal sehingga itu adalah jaringan yang berfungsi penuh.

Saya memiliki semua pengaturan skenario di lingkungan saya. (situs-situs openvpn, pejuang jalanan; situs-situs cisco ipsec, pengguna jarak jauh)

Sejauh ini openvpn lebih cepat. Perangkat lunak openvpn kurang overhead pada pengguna jarak jauh. Openvpn adalah / dapat diatur pada port 80 dengan tcp sehingga lewat di tempat-tempat yang memiliki internet gratis terbatas. Openvpn lebih stabil.

Openvpn di lingkungan saya tidak memaksa kebijakan untuk pengguna akhir. Distribusi kunci Openvpn sedikit lebih sulit untuk dilakukan secara aman. Kata sandi kunci Openvpn tergantung pada pengguna akhir (mereka dapat memiliki kata sandi kosong). Openvpn tidak disetujui oleh auditor tertentu (yang hanya membaca lap perdagangan yang buruk). Openvpn membutuhkan sedikit otak untuk melakukan setup (tidak seperti cisco).

Ini adalah pengalaman saya dengan openvpn: Saya tahu bahwa sebagian besar negatif saya dapat dikurangi melalui perubahan konfigurasi atau perubahan proses. Jadi singkirkan semua hal negatif saya dengan sedikit skeptisisme.

Satu keuntungan utama dari OpenVPN daripada IPSec adalah bahwa beberapa firewall tidak membiarkan IPSec melintas tetapi membiarkan paket UDP OpenVPN atau stream TCP berjalan tanpa hambatan.

Agar IPSec berfungsi, firewall Anda perlu mengetahui (atau perlu mengabaikan dan mengarahkan tanpa mengetahui apa itu) paket-paket protokol IP tipe ESP dan AH serta trio yang lebih banyak ditemukan (TCP, UDP, dan ICMP.

Tentu saja Anda mungkin menemukan beberapa lingkungan perusahaan sebaliknya: memungkinkan IPSec melaluinya tetapi tidak OpenVPN, kecuali Anda melakukan sesuatu yang gila seperti menerobosnya melalui HTTP, jadi itu tergantung pada lingkungan yang Anda maksudkan.

OpenVPN dapat melakukan terowongan Ethernet-layer, yang tidak dapat dilakukan IPsec. Ini penting bagi saya karena saya ingin melakukan tunnel IPv6 dari mana saja yang hanya memiliki akses IPv4. Mungkin ada cara untuk melakukan ini dengan IPsec, tapi saya belum melihatnya. Juga, dalam versi OpenVPN yang lebih baru Anda akan dapat membuat terowongan lapisan-Internet yang dapat membuat terowongan IPv6, tetapi versi di Debian tidak dapat melakukan itu, sehingga terowongan lapisan-Ethernet berfungsi dengan baik.

Jadi jika Anda ingin melakukan tunnel traffic non-IPv4, OpenVPN menang atas IPsec.

OpenVPN adalah

jauh lebih mudah untuk mengelola pengaturan dan penggunaan menurut pendapat saya .. VPN yang sepenuhnya transparan, yang saya suka ...

IPsec lebih merupakan pendekatan "profesional" dengan lebih banyak opsi mengenai perutean klasik dalam vpns ..

Jika Anda hanya ingin vpn point-to-point (1-ke-1), saya sarankan menggunakan OpenVPN

Semoga ini Membantu: D

Saya memiliki beberapa pengalaman dalam mengelola lusinan situs di seluruh negara (NZ) yang masing-masing terhubung ke Internet melalui ADSL. Mereka telah beroperasi dengan IPSec VPN pergi ke satu situs.

Persyaratan pelanggan berubah dan mereka perlu memiliki dua VPN, satu pergi ke situs utama dan yang lain pergi ke situs failover. Pelanggan ingin kedua VPN aktif pada saat yang sama.

Kami menemukan bahwa router ADSL yang digunakan tidak mengatasi hal ini. Dengan satu IPSec VPN, mereka baik-baik saja tetapi segera setelah dua VPN dibesarkan, router ADSL di-reboot. Perhatikan bahwa VPN dimulai dari server di dalam kantor, di belakang router. Kami mendapat teknisi dari pemasok untuk memeriksa router dan mereka mengirim banyak diagnostik kembali ke vendor tetapi tidak ditemukan perbaikan.

Kami menguji OpenVPN dan tidak ada masalah. Dengan pertimbangan biaya yang terlibat (ganti lusinan router ADSL atau ubah teknologi VPN) diputuskan untuk berubah menjadi OpenVPN.

Kami juga menemukan diagnostik lebih mudah (OpenVPN jauh lebih jelas) dan banyak aspek lain dari overhead manajemen untuk jaringan yang besar dan tersebar luas itu jauh lebih mudah. Kami tidak pernah melihat ke belakang.

Saya menggunakan OpenVPN untuk VPN situs-ke-situs dan berfungsi dengan baik. Saya sangat suka bagaimana OpenVPN dapat disesuaikan untuk setiap situasi. Satu-satunya masalah yang saya miliki adalah bahwa OpenVPN tidak multithreaded, oleh karena itu Anda hanya bisa mendapatkan bandwidth sebanyak 1 CPU dapat menangani. Pengujian yang telah saya lakukan, kami mampu mendorong ~ 375 MBits / detik melintasi terowongan tanpa masalah, yang lebih dari cukup bagi kebanyakan orang.

Buka VPN situs-ke-situs jauh lebih baik daripada IPSEC. Kami memiliki klien yang kami instal Open-VPN dalam jaringan MPLS yang bekerja dengan baik dan mendukung enkripsi yang lebih cepat dan lebih aman seperti Blow-fish 128 bit CBC. Di situs lain yang terhubung melalui IP publik kami menggunakan koneksi ini juga dalam bandwidth rendah seperti 256kbps / 128kbps.

Namun izinkan saya menunjukkan bahwa antarmuka IPSec VTI sekarang didukung di Linux / Unix. Ini memungkinkan Anda membuat terowongan yang dapat dirutekan dan aman dengan cara yang sama seperti situs OpenVPN ke situs atau GRE di atas IPSec.