OpenVPN vs. IPsec - Vor- und Nachteile, was ist zu verwenden?

76

Interessanterweise habe ich bei der Suche nach "OpenVPN vs IPsec" keine guten Suchergebnisse gefunden. Also hier ist meine Frage:

Ich muss ein privates LAN über ein nicht vertrauenswürdiges Netzwerk einrichten. Und meines Wissens scheinen beide Ansätze gültig zu sein. Aber ich weiß nicht, welches besser ist.

Ich wäre Ihnen sehr dankbar, wenn Sie die Vor- und Nachteile beider Ansätze sowie Ihre Vorschläge und Erfahrungen in Bezug auf die Verwendung auflisten könnten.

Update (bezüglich des Kommentars / der Frage):

In meinem konkreten Fall ist das Ziel, eine beliebige Anzahl von Servern (mit statischen IPs) transparent miteinander zu verbinden. Ein kleiner Teil der dynamischen Clients wie "Road Warriors" (mit dynamischen IPs) sollte jedoch auch eine Verbindung herstellen können. Das Hauptziel ist jedoch, ein "transparentes sicheres Netzwerk" über dem nicht vertrauenswürdigen Netzwerk zu betreiben. Ich bin ein ziemlicher Neuling und weiß nicht, wie ich "1: 1-Punkt-zu-Punkt-Verbindungen" richtig interpretieren soll.

jens
quelle
2
Sie müssen angeben, ob Sie einen Standort-zu-Standort-VPN-Tunnel oder eine Lösung für viele Clients benötigen, um eine Remoteverbindung zu einem Standort herzustellen. Es macht einen Unterschied in der Antwort.
Malayter
2
Update: Ich habe einen recht interessanten Artikel gefunden. Vielleicht ist der Artikel voreingenommen? Zusammenfassend heißt es in dem Artikel, dass IPSec viel schneller ist !? enterprisenetworkingplanet.com/netsecur/article.php/3844861/…
jens

Antworten:

29

Ich habe alle Szenarien in meiner Umgebung eingerichtet. (OpenVPN Site-Site, Straßenkämpfer; Cisco IPSec Site-Site, Remote-Benutzer)

Das openvpn ist bei weitem schneller. Die OpenVPN-Software ist für die Remotebenutzer weniger aufwändig. Das OpenVPN ist / kann auf Port 80 mit TCP eingerichtet werden, so dass es an Orten mit begrenztem freiem Internet übertragen werden kann. Das openvpn ist stabiler.

OpenVPN in meiner Umgebung erzwingt keine Richtlinien für den Endbenutzer. OpenVPN-Schlüsselverteilung ist etwas schwieriger sicher zu machen. Openvpn-Schlüsselkennwörter sind Sache der Endbenutzer (sie können leere Kennwörter haben). OpenVPN wird von bestimmten Wirtschaftsprüfern (die nur schlechte Handelspapiere lesen) nicht genehmigt. OpenVPN braucht ein wenig Kopf, um es einzurichten (im Gegensatz zu Cisco).

Dies ist meine Erfahrung mit openvpn: Ich weiß, dass die meisten meiner Nachteile durch Konfigurations- oder Prozessänderungen behoben werden können. Also nimm alle meine Negative mit ein bisschen Skepsis.

Löwe
quelle
2
Netter Kommentar zu den Wirtschaftsprüfern; würde mit ihren Lesegewohnheiten einverstanden sein;) Sagen Sie ihnen einfach, dass sie das branchenübliche TLS-Protokoll mit AES-CBC-128-Bit-Verschlüsselung verwenden, und sie werden abgeschreckt sein;)
reiniero
Es fällt mir schwer, das in vielen Antworten enthaltene "weitaus schnellere" Argument aufzugreifen. Der Verschlüsselungsaufwand für AES muss sicherlich vernachlässigbar sein.
user239558
@ user239558: IPSec kapselt Pakete jedoch zweimal, sodass sich der Overhead im Vergleich zu OpenVPN verdoppelt.
21.
4
@ jupp0r das ist falsch. IPsec verursacht bei aktiviertem NAT-Traversal einen Overhead von 66B (20B IP, 8B UDP, 38B ESP). OpenVPN verursacht 69B Overhead (20B IP, 8B UDP, 41B OpenVPN HDR).
Tobias
1
Alte Antwort, aber ich habe OpenVPN "Bare" (dh keine Verschlüsselung), "Schwach" (64-Bit) und "Stark" (AES256-Bit) verwendet, und es gibt einen Unterschied von 1 ms zwischen ihnen. Dh nichts. ||| Ich habe meinen Test auf einer Single-Thread-VPS-Maschine bei Vultr durchgeführt, was natürlich kein wissenschaftlicher Test ist. Aber das Endergebnis ist das gleiche. Wenn Sie irgendeine Art von Xeon verwenden (oder auf einem Xeon virtualisieren), werden Sie keinen Unterschied feststellen. Mit zunehmender Geschwindigkeit ändert sich dies natürlich. Es wird empfohlen, 128-Bit-AES oder Intel-beschleunigtes AES zu verwenden, wenn Sie über so viel Bandbreite verfügen.
Apache
18

Ein Hauptvorteil von OpenVPN gegenüber IPSec ist, dass einige Firewalls den IPSec-Verkehr nicht durchlassen, OpenVPNs UDP-Pakete oder TCP-Streams jedoch ungehindert übertragen.

Damit IPSec funktioniert, muss Ihre Firewall die Pakete der IP-Protokolltypen ESP und AH sowie das allgegenwärtigere Trio (TCP, UDP und ICMP) kennen (oder ignorieren und weiterleiten, ohne zu wissen, was es ist).

Natürlich kann es vorkommen, dass einige Unternehmensumgebungen umgekehrt sind: IPSec durchzulassen, OpenVPN jedoch nicht, es sei denn, Sie tun etwas Verrücktes, wie das Tunneln über HTTP, und dies hängt von Ihrer beabsichtigten Umgebung ab.

David Spillett
quelle
5
Wenn das Firewall-Problem auftritt, kann IPSec in den NAT-Traversal-Modus versetzt werden, bei dem Pakete auf UDP / 4500 anstelle von ESP (Protokoll 50) verwendet werden.
MadHatter
3
Dies ist kein Vorteil von OpenVPN. IPsec kann auch mit einem zusätzlichen UDP-Header betrieben werden, wie MadHatter betont hat. Ein Problem von OpenVPN ist, dass es keinen Standard (RFC) gibt. Es gibt sehr wenige Produkte (z. B. Router), die OpenVPN unterstützen. Beispielsweise erhalten Sie keinen Cisco-Router, der OpenVPN unterstützt. Der einzige Vorteil, den ich von diesem proprietären Protokoll sehe, ist, dass es einfach einzurichten ist.
Tobias
13

OpenVPN kann Ethernet-Layer-Tunnel ausführen, IPsec jedoch nicht. Dies ist wichtig für mich, da ich IPv6 von jedem Ort aus tunneln möchte, der nur über IPv4-Zugriff verfügt. Vielleicht gibt es eine Möglichkeit, dies mit IPSec zu tun, aber ich habe es nicht gesehen. In einer neueren Version von OpenVPN können Sie auch Internet-Layer-Tunnel erstellen, die IPv6 tunneln können, aber die Version in Debian Squeeze kann dies nicht, so dass ein Ethernet-Layer-Tunnel gut funktioniert.

Wenn Sie also Nicht-IPv4-Verkehr tunneln möchten, gewinnt OpenVPN über IPsec.

Kenyon
quelle
Hier setzen Sie L2TP über IPsec ein.
Kenan Sulayman
10

OpenVPN ist

Meiner Meinung nach ist es viel einfacher, das Setup zu verwalten und zu verwenden. Sein vollständig transparentes VPN, das ich liebe ...

IPsec ist eher ein "professioneller" Ansatz mit vielen weiteren Optionen für das klassische Routing innerhalb von VPNs.

Wenn Sie nur einen Punkt-zu-Punkt-VPN (1-zu-1) möchten, würde ich die Verwendung von OpenVPN vorschlagen

Hoffe das hilft: D

Arenstar
quelle
9

Ich hatte einige Erfahrung mit der Verwaltung von Dutzenden von Websites im ganzen Land (NZ), die jeweils über ADSL mit dem Internet verbunden waren. Sie hatten mit IPSec VPN an einem einzigen Standort gearbeitet.

Die Kundenanforderungen änderten sich und es mussten zwei VPNs vorhanden sein, von denen eines zum Hauptstandort und das andere zu einem Failover-Standort führte. Der Kunde wollte, dass beide VPNs gleichzeitig aktiv sind.

Wir haben festgestellt, dass die verwendeten ADSL-Router damit nicht zurechtkommen. Mit einem IPSec-VPN waren sie in Ordnung, aber sobald zwei VPNs gestartet wurden, startete der ADSL-Router neu. Beachten Sie, dass das VPN von einem Server im Büro hinter dem Router initiiert wurde. Wir haben Techniker vom Lieferanten beauftragt, die Router zu überprüfen, und sie haben viele Diagnosen an den Hersteller zurückgeschickt, aber es wurde keine Lösung gefunden.

Wir haben OpenVPN getestet und es gab keine Probleme. Aufgrund der damit verbundenen Kosten (Austausch von Dutzenden ADSL-Routern oder Änderung der VPN-Technologie) wurde beschlossen, auf OpenVPN umzustellen.

Wir fanden auch die Diagnose einfacher (OpenVPN ist viel klarer) und viele andere Aspekte des Verwaltungsaufwands für ein so großes und weit verbreitetes Netzwerk waren viel einfacher. Wir haben nie zurückgeschaut.

Steve
quelle
8

Ich verwende OpenVPN für ein Site-to-Site-VPN und es funktioniert großartig. Ich finde es wirklich toll, wie anpassbar OpenVPN für jede Situation ist. Das einzige Problem, das ich hatte, ist, dass OpenVPN nicht multithreaded ist, daher können Sie nur so viel Bandbreite erhalten, wie 1 CPU verarbeiten kann. Die Tests, die ich durchgeführt habe, haben ergeben, dass wir ohne Probleme ~ 375 MBit / s durch den Tunnel geschoben haben, was für die meisten Menschen mehr als genug ist.


quelle
3
Ein weiterer Anhaltspunkt für die CPU-Auslastung von OpenVPN: Als ich einige Tests mit einem Netbook durchführte, stellte ich fest, dass OpenVPN eine 100-Mbit / s-Verbindung selbst mit nur einer Single-Core-Atom-CPU fast (aber nicht ganz) auslasten kann.
David Spillett
8

Open VPN Site-to-Site ist viel besser als IPSEC. Wir haben einen Client, für den wir Open-VPN in einem MPLS-Netzwerk installiert haben, das einwandfrei funktioniert und eine schnellere und sicherere Verschlüsselung wie Blow-Fish 128-Bit-CBC unterstützt. An einem anderen Standort, der über eine öffentliche IP-Adresse verbunden ist, haben wir diese Verbindung auch für niedrige Bandbreiten wie 256 kbit / s / 128 kbit / s verwendet.

Lassen Sie mich jedoch darauf hinweisen, dass IPSec VTI-Schnittstellen jetzt unter Linux / Unix unterstützt werden. Auf diese Weise können Sie routingfähige und sichere Tunnel ähnlich wie bei OpenVPN Site-to-Site oder GRE over IPSec erstellen.

Botto
quelle