我需要在不受信任的网络上建立专用LAN。据我所知,这两种方法似乎都是有效的。但是我不知道哪种方法更好。
如果您能列出两种方法的优缺点,以及您对使用哪种方法的建议和经验,我将不胜感激。
Update(关于评论/问题):
在我的具体情况下,目标是使任意数量的服务器(具有静态IP)透明地相互连接。但是,一小部分动态客户端(如“公路勇士”(具有动态IP))也应该能够连接。但是,主要目标是在不受信任的网络之上运行“透明安全网络”。我是一个新手,所以我不知道如何正确解释“ 1:1点对点连接” =>该解决方案应支持广播和所有此类内容,因此它是一个功能齐全的网络。
#1 楼
我在环境中设置了所有方案。 (openvpn站点站点,路途勇士; cisco ipsec站点站点,远程用户)到目前为止,openvpn速度更快。 openvpn软件减少了远程用户的开销。 openvpn是/可以通过tcp在端口80上设置的,因此它可以在免费互联网有限的地方通过。 openvpn更稳定。
我的环境中的Openvpn不会将策略强加给最终用户。安全地分配Openvpn密钥比较困难。 Openvpn密钥密码取决于最终用户(他们可以具有空白密码)。 Openvpn未经某些审核员(只阅读不良贸易破烂的审核员)的批准。 OpenVPN需要一点点的大脑来进行设置(与Cisco不同)。
这是我使用openvpn的经验:我知道我的大多数缺点都可以通过配置更改或流程更改得到缓解。因此,请对我的所有负面看法持怀疑态度。
评论
关于审核员的好评论;会同意他们的阅读习惯;)只要告诉他们它使用具有AES CBC 128位加密的行业标准TLS协议,就会被吓到;)
– reiniero
2012年3月11日,11:56
我很难接受许多答案中提出的“快得多”的论点。 AES的加密开销必定可以忽略不计。
–user239558
13年3月21日在14:52
@ user239558:IPSec两次封装了数据包,因此与OpenVPN相比,开销增加了一倍。
– jupp0r
13年5月21日在13:07
@ jupp0r,这是错误的。在启用NAT穿越的情况下,IPsec导致66B(20B IP,8B UDP,38B ESP)的开销。 OpenVPN造成69B开销(20B IP,8B UDP,41B OpenVPN hdr)。
– tobias
13年11月21日在9:08
旧的答复,但我使用OpenVPN的“裸”(即:未加密),“弱”(64位)和“强”(AES256位),它们之间相差1毫秒。即:没事。 |||我在Vultr的单线程VPS机器上进行了测试,这当然不是科学测试。但底线是相同的。如果您使用任何类型的Xeon(或在Xeon上虚拟化),则不会有任何区别。当然,随着速度的提高,这会改变。如果您有很大的带宽通过,建议使用128位AES或Intel加速AES。
– Apache
17年8月22日在17:46
#2 楼
与IPSec相比,OpenVPN的一个关键优势是某些防火墙不允许IPSec流量通过,但可以让OpenVPN的UDP数据包或TCP流无阻碍地传输。要使IPSec起作用,防火墙要么需要注意IP协议类型ESP和AH以及更普遍使用的三重协议(TCP,UDP和ICMP)的数据包(或需要忽略它们而不知道它是什么)。
当然,您可能会发现某些公司环境则相反:允许IPSec通过但不能通过OpenVPN,除非您做一些疯狂的事情(例如通过HTTP进行隧道传输),所以这取决于您的预期环境。
评论
如果出现防火墙问题,则可以将IPSec置于NAT穿越模式,该模式将使用UDP / 4500上的数据包而不是ESP(协议50)。
– MadHatter
2012年12月13日在7:52
这不是OpenVPN的好处。正如MadHatter指出的那样,IPsec还可以与其他UDP头一起使用。 OpenVPN的问题是它不是标准(RFC),支持OpenVPN的产品(例如路由器)少得多。例如,您不会获得支持OpenVPN的Cisco路由器。我可以看到这种专有协议的唯一好处是易于设置。
– tobias
13年11月21日在9:02
#3 楼
OpenVPN可以执行以太网层隧道,而IPsec无法做到。这对我很重要,因为我想从仅具有IPv4访问权限的任何地方隧道传输IPv6。也许有一种使用IPsec做到这一点的方法,但是我还没有看到。另外,在较新版本的OpenVPN中,您将能够制作可以隧道IPv6的Internet层隧道,但是Debian squeeze中的版本不能做到这一点,因此以太网层隧道可以很好地工作。因此,如果您要隧道传输非IPv4流量,则OpenVPN会胜过IPsec。
评论
那就是您在IPsec上使用L2TP的地方。
– 19h
17年8月26日在22:49
#4 楼
OpenVPN在我看来更容易管理设置和使用。.它是完全透明的VPN,我很喜欢...
IPsec更为实用一种“专业”方法,提供有关VPN内经典路由的更多选择。.
如果您只想要点对点VPN(1-to-1),我建议使用OpenVPN
希望对您有所帮助:D
#5 楼
我在管理全国(NZ)的数十个站点(通过ADSL连接到Internet的站点)方面有一些经验。他们曾经使用IPSec VPN进入单个站点。客户需求发生了变化,他们需要拥有两个VPN,一个进入主站点,另一个进入故障转移站点。客户希望两个VPN都同时处于活动状态。
我们发现使用的ADSL路由器无法对此进行处理。使用一个IPSec VPN可以,但是一旦启动两个VPN,ADSL路由器就会重新启动。请注意,VPN是从办公室内部位于路由器后面的服务器启动的。我们从供应商那里找来了技术人员来检查路由器,他们将许多诊断信息发送回了供应商,但是没有找到修复方法。
我们测试了OpenVPN,没有问题。考虑到所涉及的成本(替换数十个ADSL路由器或更改VPN技术),决定更改为OpenVPN。
我们还发现诊断更容易(OpenVPN更清晰),而对于如此庞大而广泛的网络,管理开销的许多其他方面也更加容易。我们从不回头。
#6 楼
我将OpenVPN用于站点到站点VPN,并且效果很好。我真的很喜欢每种情况下可定制的OpenVPN。我唯一遇到的问题是OpenVPN不是多线程的,因此您只能获得1个CPU可以处理的带宽。我已经完成了测试,我们能够毫无问题地将〜375 MBits / sec推过整个隧道,这对于大多数人来说已经足够了。评论
作为有关OpenVPN使用CPU的更多传闻证据:当我在上网本上进行一些测试时,我发现即使仅使用单核Atom CPU,OpenVPN几乎(但不是完全)会使100Mbit / sec的连接饱和。
– David Spillett
2010-11-17 14:33
#7 楼
与IPSEC相比,站点到站点的开放VPN要好得多。我们有一个为其安装了MPLS网络的Open-VPN的客户端,该客户端运行良好并支持更快,更安全的加密,例如Blow-fish 128位CBC。在另一个通过公共IP连接的站点上,我们也以低带宽(例如256kbps / 128kbps)使用了此连接。但是,我要指出的是,Linux / Unix现在支持IPSec VTI接口。这样,您就可以像OpenVPN站点到站点或GRE over IPSec一样,创建可路由和安全的隧道。
评论
您应该指定是需要站点到站点的“持久” VPN隧道,还是需要许多客户端远程连接到一个站点的解决方案。它使答案有所不同。更新:我发现了一篇很有趣的文章。也许这篇文章有偏见?总而言之,文章说IPSec更快! enterprisenetworkingplanet.com/netsecur/article.php/3844861/…