题 OpenVPN与IPsec - 优点和缺点,使用什么?


有趣的是,在搜索“OpenVPN vs IPsec”时,我没有找到任何好的搜索结果。所以这是我的问题:

我需要在不受信任的网络上设置专用LAN。据我所知,这两种方法似乎都是有效的。但我不知道哪一个更好。

如果您能列出两种方法的优点和缺点,以及您对使用方法的建议和经验,我将非常感激。

更新(关于评论/问题):

在我的具体案例中,目标是让任意数量的服务器(具有静态IP)彼此透明地连接。但是,像“公路战士”(带有动态IP)的一小部分动态客户端也应该能够连接。然而,主要目标是在不受信任的网络之上运行“透明的安全网络”。我是一个新手,所以我不知道如何正确解释“1:1点对点连接”=>解决方案应该支持广播和所有这些东西,所以它是一个功能齐全的网络。


70
2017-11-17 13:41




您需要指定是否需要站点到站点“持久性”VPN隧道,或者是否需要许多客户端远程连接到一个站点的解决方案。它在答案上有所不同。 - rmalayter
更新:我发现了一篇非常有趣的文章。也许这篇文章有偏见?总之,文章说IPSec要快得多!? enterprisenetworkingplanet.com/netsecur/article.php/3844861/... - jens


答案:


我在我的环境中设置了所有场景。 (openvpn site-site,road warriors; cisco ipsec site-site,remote users)

到目前为止openvpn更快。 openvpn软件对远程用户的开销较小。 openvpn是/可以使用tcp在端口80上设置,以便它在有限的免费互联网的地方通过。 openvpn更稳定。

我的环境中的Openvpn不会强制策略给最终用户。 Openvpn密钥分发安全性有点难。 Openvpn密钥密码由最终用户决定(他们可以使用空白密码)。 Openvpn未获得某些审核员批准(仅读取不良贸易碎片的审核员)。 Openvpn需要一些大脑来设置(与cisco不同)。

这是我对openvpn的体验:我知道通过配置更改或流程更改可以减轻我的大部分负面影响。因此,对我的所有否定都持怀疑态度。


27
2017-11-17 16:50



关于审计员的评论很好;会同意他们的阅读习惯;)告诉他们它使用行业标准TLS协议与AES CBC 128位加密,他们将被吓跑;) - reiniero
我很难在许多答案中提出“更快”的论点。 AES的加密开销肯定必须可以忽略不计。 - user239558
@ user239558:IPSec封装了两次数据包,因此与OpenVPN相比,开销增加了一倍。 - jupp0r
@ jupp0r这是错的。 IPsec会导致66B(20B IP,8B UDP,38B ESP)的开销,并启用NAT遍历。 OpenVPN导致69B开销(20B IP,8B UDP,41B OpenVPN hdr)。 - tobias
旧的回复,但我使用OpenVPN“裸”(即:无加密),“弱”(64位)和“强”(AES256位),它们之间有1ms的差异。即:没什么。 |||我在Vultr的单线程VPS机器上进行了测试,这当然不是科学测试。但底线是一样的。如果您使用任何类型的Xeon(或在Xeon上虚拟化),您将看到没有区别。当然,随着速度的提高,这种情况会发生变化。如果您有足够的带宽,建议使用128位AES或Intel加速AES。 - Shiki


OpenVPN相对于IPSec的一个关键优势是,一些防火墙不允许IPSec流量通过,但确实让OpenVPN的UDP数据包或TCP流不受阻碍地传播。

要使IPSec正常运行,您需要了解(或需要忽略和路由而不知道它是什么)IP协议类型ESP和AH的数据包以及更普遍的三重奏(TCP,UDP和ICMP)。

当然,您可能会发现一些企业环境:允许IPSec通过而不是OpenVPN,除非您做一些疯狂的事情,比如通过HTTP进行隧道传输,因此它取决于您的预期环境。


16
2017-11-17 14:25



如果出现防火墙问题,IPSec可以进入NAT遍历模式,该模式将使用UDP / 4500而不是ESP(协议50)上的数据包。 - MadHatter
这不是OpenVPN的好处。如MadHatter所指出的,IPsec还可以使用额外的UDP报头。 OpenVPN的一个问题是它不是标准(RFC),支持OpenVPN的产品(例如路由器)非常少。例如,您不会得到支持OpenVPN的Cisco路由器。我能看到的这个专有协议的唯一好处是它易于设置。 - tobias


OpenVPN可以执行以太网层隧道,IPsec无法做到这一点。这对我很重要,因为我想从只有IPv4访问权限的任何地方隧道化IPv6。也许有一种方法可以用IPsec做到这一点,但我还没有看到它。此外,在较新版本的OpenVPN中,您将能够制作可以隧道传输IPv6的Internet层隧道,但是Debian squeeze中的版本无法做到这一点,因此以太网层隧道可以很好地工作。

因此,如果您想要隧道非IPv4流量,OpenVPN将胜过IPsec。


10
2017-08-08 07:08



这就是你在IPsec上使用L2TP的地方。 - Kenan Sulayman


我使用OpenVPN进行站点到站点VPN,效果很好。我真的很喜欢每种情况下可定制的OpenVPN。我遇到的唯一问题是OpenVPN不是多线程的,因此你只能获得1个CPU可以处理的带宽。我已经完成了测试,我们已经能够在隧道中推出~375 MBits / sec而没有任何问题,这对大多数人来说已经足够了。


6
2017-11-17 14:24



作为OpenVPN使用CPU的更多轶事证据:当我在上网本上进行一些测试时,我发现即使只有单核Atom CPU,OpenVPN也几乎(但不是完全)饱和了100Mbit / sec的连接。 - David Spillett


我有一些管理全国各地(新西兰)的网站的经验,每个网站都通过ADSL连接到互联网。他们一直在使用IPSec VPN运行到一个站点。

客户需求发生了变化,他们需要有两个VPN,一个进入主站点,另一个进入故障转移站点。客户希望两个VPN同时处于活动状态。

我们发现正在使用的ADSL路由器没有应对此问题。使用一个IPSec VPN它们很好但是只要启动了两个VPN,ADSL路由器就会重新启动。请注意,VPN是从办公室内的服务器启动的,位于路由器后面。我们让供应商的技术人员检查路由器,他们向供应商发送了许多诊断信息但未找到修复程序。

我们测试了OpenVPN,没有任何问题。考虑到所涉及的成本(替换数十个ADSL路由器或更改VPN技术),决定改为OpenVPN。

我们还发现诊断更容易(OpenVPN更清晰),并且这样一个庞大且广泛的网络的管理开销的许多其他方面更容易。我们从未回头。


6
2017-12-13 04:26





开放VPN站点到站点比IPSEC好得多。我们有一个客户端,我们在MPLS网络中安装了Open-VPN,工作正常,支持更快,更安全的加密,如Blow-fish 128 bit CBC。在通过公共IP连接的另一个站点,我们也在低带宽(如256kbps / 128kbps)中使用此连接。

但请允许我指出,Linux / Unix现在支持IPSec VTI接口。这使您可以创建可路由和安全的隧道,其方式与OpenVPN站点到站点或GRE over IPSec的方式相同。


6
2018-01-29 12:52





OpenVPN是

在我看来,更容易管理设置和使用.. 它完全透明的VPN,我喜欢......

IPsec更像是一种“专业”方法,在vpns中有更多关于经典路由的选项。

如果你只想点对点vpn(1对1),我建议使用OpenVPN

希望这有助于:D


5
2017-11-17 14:02