我一直看到有很多人一直在努力使用IPSec和许多其他安全VPN技术。
我一直都简单地使用OpenVPN,获得了美观,简单和通用的结果。我已经在DD-WRT路由器,大型服务器和android手机上使用了它,仅举几例。我不知道OpenVPN有什么缺点吗? IPSec和朋友是否提供一些我不知道的强大功能?为什么每个人都不使用OpenVPN?

#1 楼

恕我直言,OpenVPN的最大缺点是它不能与“知名”网络供应商提供的绝大多数产品互操作。 Cisco&Juniper的安全和路由器产品不支持它-它们仅支持IPsec和专有SSL VPN。 Palo Alto,Fortinet,Check Point等也不支持。因此,如果您的组织/企业希望建立到另一家公司的站点到站点Extranet VPN,而您仅拥有OpenVPN设备,那么您可能会很不走运。话虽如此,一些网络硬件和软件公司开始采用OpenVPN。 MikroTik是其中之一。从RouterOS 3.x开始受支持:

http://wiki.mikrotik.com/wiki/OpenVPN

此外,最长的时间是运行Apple的iOS上的OpenVPN客户端需要越狱。事实并非如此:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

总体而言,情况正在改善。但是,如果没有像Cisco&Juniper这样的供应商在其产品中实现它,我将看不到大型企业采用它而不会遇到互操作性问题。

评论


pfSense pfsense.org和Mikrotik OpenVPN一样(并且已经存在了一段时间)(尽管我不相信您可以通过CLI创建站点到站点的隧道吗?

– jwbensley
13年5月28日在9:04

我不知道他们是一个OpenVPN IOS应用,是的!

– Zevlag
13年5月30日在15:45

#2 楼

IPSEC是标准的。几乎每个网络供应商都支持它。使用OpenVPN,您无法在路由器之间达到相同水平的互操作性。

正如David所说,对于客户端VPN解决方案,OpenVPN没错。对于站点到站点的VPN或基础结构解决方案,我选择IPSEC VPN。

#3 楼

缺点之一是,在公司环境中,某些管理人员不喜欢依赖开源软件。

我个人认为OpenVPN对于用户VPN解决方案没有任何问题。

IPSEC可以在硬件(或IPSEC的加密元素)中实现,因此当您想通过VPN推送大量数据并且不想牺牲CPU的电源时非常有用最终用户站。

评论


有全硬件IPsec解决方案。但是,它们是a)昂贵的,b)几乎总是Windows(服务器)专有的。 (与NIC [cavium]内联或直接内置在nic [intel]中的加密)

–瑞奇
13年5月26日在21:42

我指的是像ASA那样在硬件中加密的东西。

–大卫·罗瑟拉(David Rothera)
13年5月26日在21:50

我当时正在考虑这样做的网卡。如今,许多路由器/防火墙硬件都具有加密芯片。 (密钥管理是非常昂贵的部分,'在大多数路由器中使用的贫血处理器也需要流量)

–瑞奇
13年5月26日在22:40

我认为IPSEC在硬件方面是IPSEC的一大优势。 OpenVPN曾经是(并且我仍然认为是,但是我找不到任何权威性文档)单线程。在协助一家商业VPN公司启动的初步调查中,它被放弃,因为OpenVPN的速度不够快。请参阅此ServerFault答案以获得一些见解(有关并发连接的更多信息); serverfault.com/questions/439848/…速度对您而言可能并不那么重要,我们正在考虑销售100Mbps VPNS。

– jwbensley
13年5月28日在9:15



#4 楼


OpenVPN的实现更安全(用户空间与内核)。
它与防火墙和NAT配合使用效果更好(无需确保NAT-T),并且很难过滤。
很多比IPsec更简单


评论


询问是关于OpenVPN的缺点...

– tegbains
13年5月27日在5:27

用户空间并不是天生就比内核空间更安全,安全性最好是由审查和测试决定的-原因之一就是标准化。

–mikebabcock
13年5月29日在20:53

其实是。从系统角度看,在用户空间中实现VPN比在内核中实现更为安全。有关更多详细信息,请参阅有关基于SSL的VPNS的SANS论文sans.org/reading_room/whitepapers/vpns/…

–hyussuf
13年5月30日在22:36



自从最初发布该答案以来,事情有所发展。特别是,2014年的Heartbleed漏洞不幸地提醒我们所有人,OpenSSL的深层漏洞如何影响整个OpenVPN。它还表明在用户空间中运行并不会降低攻击的重要性,因为VPN软件极有可能与高度敏感的内容进行联系,并且通常会在VPN计算机和/或其他计算机上跟踪获得root特权的路径周围。最后,大多数企业防火墙解决方案现在都通过深度数据包检测来阻止OpenVPN。

– jwatkins
16年7月19日在18:37

#5 楼

OpenVPN没有某些法规认证,例如FIPS 140-2支持。

评论


实际上,OpenVPN可以提供FIPS 140-2支持...经过认证的opensl和OpenVPN补丁可以通过认证的方式使用...事实上,我们正在这样做。

–杰夫·麦克亚当斯
13年5月26日在21:57

#6 楼

我看到的OpenVPN唯一的技术缺点是,与竞争对手相比,该系统在VPN链路中引入了很多延迟。更新:我发现这不是一般的OpenVPN的故障,而只是我的测试。当OpenVPN在TCP协议上运行时,TCP开销使OpenVPN稍微慢一些。 L2TP使用固定的端口和协议来实现互操作性,因此没有在TCP上运行它的功能。对于其他许多用户,UDP上的Openvpn似乎更快。

使用PPTP / L2TP / Ipsec时的唯一其他优点是,我发现在Windows机器或iPhone上进行设置比较容易,而无需安装任何其他客户端软件。 YMMV。

您可能需要阅读此页面

评论


在我工作的地方,我们经常使用OpenVPN,因此没有意识到其他延迟问题。您能详细说明一下它的性质吗?

–杰夫·麦克亚当斯
13年5月26日在20:32

当尝试在远程工作站上使用软电话时尝试加密与VoIP服务器的连接时,我测试了OpenVPN,L2TP和PPTP。我发现OpenVPN引入了最大的延迟,而PPTP是最快的。最终我选择了L2TP。延迟问题仅在少数较差的3G网络上出现,但即使在同一网络上,L2TP似乎也能正常工作。

– Surajram Kumaravel
13年5月26日在20:59



阅读ivpn.net/pptp-vs-l2tp-vs-openvpn使我认为这是我的设置中的特定问题,而不是一般问题。感谢您帮助我认识Jeff!

– Surajram Kumaravel
13年5月26日在21:34

#7 楼

我几乎每次都喜欢IPSec,因为我熟悉IPSec,并且它始终有效。作为标准的,它几乎得到了所有支持,从手机,平板电脑到Windows和Linux计算机,并且它具有诸如NAT支持和死点检测等有用的功能。

FYI我主要在Linux上使用Openswan。 />
我们更喜欢IPSec的主要安全原因之一是旋转会话密钥。 OpenVPN可能已实现了此功能(但我看不到)。这意味着长期被动地捕获数据的攻击者无法一次蛮力地破解整个通信日志,而只能强加每个会话密钥的价值。

评论


作为比较,OpenVPN还可以通过NAT进行工作,并且在PC,电话和台式机(Windows,Mac OS X,Linux,BSD,Android,iOS等)上受支持。

– jwbensley
13年5月28日在9:02

我的意思是内置支持,也许不是@javano

–mikebabcock
13年5月29日在20:54

我将假设您从未使用过OpenVPN。没有使用过OpenVPN和IPsec的人会选择IPsec,因为它“始终有效”。 OpenVPN的最大优点之一是大大降低了复杂性,并且易于排除故障。我看到这是几年前将数百种远程Linux设备(在客户站点中居住)从IPsec转换为OpenVPN的人。如果必须连接到您不管理/控制的仅支持IPsec的设备,则IPsec很好。在几乎所有其他情况下,OpenVPN都是更好的选择。

– Christopher Cashell
16年5月27日在16:39

#8 楼

OpenVPN具有辐条布局,因此所有通信都需要通过主服务器进行路由。 Tinc-VPN可以在不同站点之间进行路由。
您可以阅读以下博客:
http://www.allsundry.com/2011/04/10/tinc-better-than-openvpn/