OpenVPN vs IPsec - Pro dan kontra, apa yang harus digunakan?

76

Menariknya saya belum menemukan hasil pencarian yang baik ketika mencari "OpenVPN vs IPsec". Jadi inilah pertanyaan saya:

Saya perlu mengatur LAN pribadi melalui jaringan yang tidak terpercaya. Dan sejauh yang saya tahu, kedua pendekatan tersebut tampaknya valid. Tapi saya tidak tahu mana yang lebih baik.

Saya akan sangat berterima kasih jika Anda dapat mendaftar pro dan kontra dari kedua pendekatan dan mungkin saran dan pengalaman Anda tentang apa yang harus digunakan.

Perbarui (Mengenai komentar / pertanyaan):

Dalam kasus konkret saya, tujuannya adalah untuk memiliki sejumlah server (dengan IP statis) yang terhubung secara transparan satu sama lain. Tetapi sebagian kecil klien dinamis seperti "pejuang jalanan" (dengan IP dinamis) juga harus dapat terhubung. Namun tujuan utamanya adalah menjalankan "jaringan aman transparan" di atas jaringan yang tidak terpercaya. Saya seorang pemula, jadi saya tidak tahu bagaimana cara menafsirkan dengan benar "1: 1 Sambungan Point-to-Point" => Solusi harus mendukung siaran dan semua hal sehingga itu adalah jaringan yang berfungsi penuh.

jens
sumber
2
Anda harus menentukan apakah Anda memerlukan terowongan VPN "persisten" situs-ke-situs atau solusi bagi banyak klien untuk terhubung dari jarak jauh ke satu situs. Itu membuat perbedaan dalam jawabannya.
rmalayter
2
Pembaruan: Saya telah menemukan artikel yang cukup menarik. Mungkin artikelnya bias? Singkatnya artikel itu mengatakan IPSec jauh lebih cepat !? enterprisenetworkingplanet.com/netsecur/article.php/3844861/…
jens

Jawaban:

29

Saya memiliki semua pengaturan skenario di lingkungan saya. (situs-situs openvpn, pejuang jalanan; situs-situs cisco ipsec, pengguna jarak jauh)

Sejauh ini openvpn lebih cepat. Perangkat lunak openvpn kurang overhead pada pengguna jarak jauh. Openvpn adalah / dapat diatur pada port 80 dengan tcp sehingga lewat di tempat-tempat yang memiliki internet gratis terbatas. Openvpn lebih stabil.

Openvpn di lingkungan saya tidak memaksa kebijakan untuk pengguna akhir. Distribusi kunci Openvpn sedikit lebih sulit untuk dilakukan secara aman. Kata sandi kunci Openvpn tergantung pada pengguna akhir (mereka dapat memiliki kata sandi kosong). Openvpn tidak disetujui oleh auditor tertentu (yang hanya membaca lap perdagangan yang buruk). Openvpn membutuhkan sedikit otak untuk melakukan setup (tidak seperti cisco).

Ini adalah pengalaman saya dengan openvpn: Saya tahu bahwa sebagian besar negatif saya dapat dikurangi melalui perubahan konfigurasi atau perubahan proses. Jadi singkirkan semua hal negatif saya dengan sedikit skeptisisme.

Leo
sumber
2
Komentar bagus tentang auditor; akan setuju dengan kebiasaan membaca mereka;) Katakan saja mereka menggunakan protokol TLS standar industri dengan enkripsi AES CBC 128 bit dan mereka akan takut;)
reiniero
Saya kesulitan mengambil argumen "jauh lebih cepat" yang diajukan dalam banyak jawaban. Enkripsi overhead untuk AES tentu harus diabaikan.
user239558
@ user239558: IPSec mengenkapsulasi paket dua kali, sehingga overhead menjadi dua kali lipat dibandingkan dengan OpenVPN.
jupp0r
4
@ jupp0r ini salah. IPsec menyebabkan overhead 66B (20B IP, 8B UDP, 38B ESP) dengan NAT traversal diaktifkan. OpenVPN menyebabkan overhead 69B (20B IP, 8B UDP, 41B OpenVPN hdr).
tobias
1
Jawaban lama, tapi saya menggunakan OpenVPN "bare" (yaitu:. Tanpa enkripsi), "lemah" (64-bit), dan "kuat" (AES256-bit), dan ada seperti perbedaan 1 ms di antara mereka. Yaitu: Tidak ada. ||| Saya melakukan pengujian pada mesin VPS utas tunggal di Vultr, yang tentu saja bukan tes ilmiah. Tetapi intinya adalah sama. Jika Anda menggunakan segala jenis Xeon (atau virtualisasi pada Xeon), Anda tidak akan melihat perbedaan. Tentu saja, ketika kecepatan naik, ini berubah. Dianjurkan untuk menggunakan AES 128-bit, atau Intel mempercepat AES jika Anda memiliki banyak bandwidth.
Apache
18

Satu keuntungan utama dari OpenVPN daripada IPSec adalah bahwa beberapa firewall tidak membiarkan IPSec melintas tetapi membiarkan paket UDP OpenVPN atau stream TCP berjalan tanpa hambatan.

Agar IPSec berfungsi, firewall Anda perlu mengetahui (atau perlu mengabaikan dan mengarahkan tanpa mengetahui apa itu) paket-paket protokol IP tipe ESP dan AH serta trio yang lebih banyak ditemukan (TCP, UDP, dan ICMP.

Tentu saja Anda mungkin menemukan beberapa lingkungan perusahaan sebaliknya: memungkinkan IPSec melaluinya tetapi tidak OpenVPN, kecuali Anda melakukan sesuatu yang gila seperti menerobosnya melalui HTTP, jadi itu tergantung pada lingkungan yang Anda maksudkan.

David Spillett
sumber
5
Jika masalah firewall muncul, IPSec dapat dimasukkan ke mode NAT-traversal, yang akan menggunakan paket pada UDP / 4500 alih-alih ESP (protokol 50).
MadHatter
3
Ini bukan manfaat dari OpenVPN. IPsec juga dapat beroperasi dengan header UDP tambahan seperti yang ditunjukkan MadHatter. Masalah OpenVPN adalah tidak ada standar (RFC), ada sangat sedikit produk (misalnya router) yang mendukung OpenVPN. Misalnya Anda tidak akan mendapatkan router Cisco yang mendukung OpenVPN. Satu-satunya keuntungan yang saya lihat dari protokol berpemilik ini adalah mudah diatur.
tobias
13

OpenVPN dapat melakukan terowongan Ethernet-layer, yang tidak dapat dilakukan IPsec. Ini penting bagi saya karena saya ingin melakukan tunnel IPv6 dari mana saja yang hanya memiliki akses IPv4. Mungkin ada cara untuk melakukan ini dengan IPsec, tapi saya belum melihatnya. Juga, dalam versi OpenVPN yang lebih baru Anda akan dapat membuat terowongan lapisan-Internet yang dapat membuat terowongan IPv6, tetapi versi di Debian tidak dapat melakukan itu, sehingga terowongan lapisan-Ethernet berfungsi dengan baik.

Jadi jika Anda ingin melakukan tunnel traffic non-IPv4, OpenVPN menang atas IPsec.

Kenyon
sumber
Di situlah Anda menggunakan L2TP melalui IPsec.
Kenan Sulayman
10

OpenVPN adalah

jauh lebih mudah untuk mengelola pengaturan dan penggunaan menurut pendapat saya .. VPN yang sepenuhnya transparan, yang saya suka ...

IPsec lebih merupakan pendekatan "profesional" dengan lebih banyak opsi mengenai perutean klasik dalam vpns ..

Jika Anda hanya ingin vpn point-to-point (1-ke-1), saya sarankan menggunakan OpenVPN

Semoga ini Membantu: D

Arenstar
sumber
9

Saya memiliki beberapa pengalaman dalam mengelola lusinan situs di seluruh negara (NZ) yang masing-masing terhubung ke Internet melalui ADSL. Mereka telah beroperasi dengan IPSec VPN pergi ke satu situs.

Persyaratan pelanggan berubah dan mereka perlu memiliki dua VPN, satu pergi ke situs utama dan yang lain pergi ke situs failover. Pelanggan ingin kedua VPN aktif pada saat yang sama.

Kami menemukan bahwa router ADSL yang digunakan tidak mengatasi hal ini. Dengan satu IPSec VPN, mereka baik-baik saja tetapi segera setelah dua VPN dibesarkan, router ADSL di-reboot. Perhatikan bahwa VPN dimulai dari server di dalam kantor, di belakang router. Kami mendapat teknisi dari pemasok untuk memeriksa router dan mereka mengirim banyak diagnostik kembali ke vendor tetapi tidak ditemukan perbaikan.

Kami menguji OpenVPN dan tidak ada masalah. Dengan pertimbangan biaya yang terlibat (ganti lusinan router ADSL atau ubah teknologi VPN) diputuskan untuk berubah menjadi OpenVPN.

Kami juga menemukan diagnostik lebih mudah (OpenVPN jauh lebih jelas) dan banyak aspek lain dari overhead manajemen untuk jaringan yang besar dan tersebar luas itu jauh lebih mudah. Kami tidak pernah melihat ke belakang.

Steve
sumber
8

Saya menggunakan OpenVPN untuk VPN situs-ke-situs dan berfungsi dengan baik. Saya sangat suka bagaimana OpenVPN dapat disesuaikan untuk setiap situasi. Satu-satunya masalah yang saya miliki adalah bahwa OpenVPN tidak multithreaded, oleh karena itu Anda hanya bisa mendapatkan bandwidth sebanyak 1 CPU dapat menangani. Pengujian yang telah saya lakukan, kami mampu mendorong ~ 375 MBits / detik melintasi terowongan tanpa masalah, yang lebih dari cukup bagi kebanyakan orang.


sumber
3
Sebagai bukti yang lebih bersifat anekdotal tentang penggunaan CPU oleh OpenVPN: ketika saya melakukan beberapa tes di netbook, saya menemukan bahwa OpenVPN hampir dapat (tetapi tidak cukup) menjenuhkan koneksi 100Mbit / detik bahkan dengan hanya satu CPU Atom inti.
David Spillett
8

Buka VPN situs-ke-situs jauh lebih baik daripada IPSEC. Kami memiliki klien yang kami instal Open-VPN dalam jaringan MPLS yang bekerja dengan baik dan mendukung enkripsi yang lebih cepat dan lebih aman seperti Blow-fish 128 bit CBC. Di situs lain yang terhubung melalui IP publik kami menggunakan koneksi ini juga dalam bandwidth rendah seperti 256kbps / 128kbps.

Namun izinkan saya menunjukkan bahwa antarmuka IPSec VTI sekarang didukung di Linux / Unix. Ini memungkinkan Anda membuat terowongan yang dapat dirutekan dan aman dengan cara yang sama seperti situs OpenVPN ke situs atau GRE di atas IPSec.

Botto
sumber