OpenVPN的缺点是什么？

我一直看到有很多人一直在努力使用IPSec和许多其他安全VPN技术。我曾经一度简单地使用过OpenVPN，并获得了美观，简单和通用的结果。我已经在DD-WRT路由器，大型服务器和Android手机上使用了它，仅举几例。

有人可以告诉我我错过了什么吗？我不知道OpenVPN有什么缺点吗？IPSec和朋友是否提供一些我不知道的强大功能？为什么每个人都不使用OpenVPN？

恕我直言，OpenVPN的最大缺点是，它无法与“知名”网络供应商提供的绝大多数产品互操作。Cisco＆Juniper的安全和路由器产品不支持它-它们仅支持IPsec和专有SSL VPN。Palo Alto，Fortinet，Check Point等也不支持。因此，如果您的组织/企业希望建立到另一家公司的站点到站点Extranet VPN，而您只有一台OpenVPN设备，那么您可能会不走运。

话虽如此，一些网络硬件和软件公司已开始采用OpenVPN。MikroTik是其中之一。从RouterOS 3.x开始受支持：

http://wiki.mikrotik.com/wiki/OpenVPN

同样，最长的时间里，在苹果公司的iOS上运行OpenVPN客户端的唯一方法就是越狱。事实并非如此：

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

总体而言，情况正在改善。但是，如果没有像Cisco＆Juniper这样的供应商在其产品中实现它，我看不到大型企业在不面临互操作性问题的情况下采用它。

IPSEC是标准的。几乎每个网络供应商都支持它。使用OpenVPN，您无法在路由器之间达到相同水平的互操作性。

正如David所说，对于客户端VPN解决方案，OpenVPN没什么问题。对于站点到站点的VPN或基础结构解决方案，我选择IPSEC VPN。

缺点之一是，在公司环境中，某些管理人员不喜欢依赖开源软件。

我个人认为OpenVPN对于用户VPN解决方案没有问题。

IPSEC可以在硬件（或IPSEC的加密元素）中实现，因此当您想通过VPN推送大量数据并且不想牺牲最终用户站的CPU能力时，IPSEC很有用。

• OpenVPN具有更安全的实现（用户空间与内核）。

• 它与防火墙和NAT（无需确保NAT-T）一起使用时效果更好，并且很难过滤。

• 比IPsec复杂得多

OpenVPN没有某些法规认证，例如FIPS 140-2支持。

我看到的OpenVPN唯一的技术缺点是，与竞争对手相比，该系统在VPN链路中引入了很多延迟。更新：我发现这不是一般的OpenVPN故障，而是我的测试。当OpenVPN在TCP协议上运行时，TCP开销使OpenVPN稍微慢一些。L2TP使用固定的端口和协议来实现互操作性，因此没有在TCP上运行它的功能。对于许多其他用户，UDP上的Openvpn似乎更快。

使用PPTP / L2TP / Ipsec时，唯一的其他优点是，我发现可以在Windows机器或iPhone上进行设置而不安装任何其他客户端软件就更容易。YMMV。

您可能需要阅读此页面

我几乎每次都喜欢IPSec，因为我熟悉IPSec，并且它始终有效。它是基于标准的，几乎涵盖了从电话，平板电脑到Windows和Linux计算机的所有内容，并且具有有用的功能，如NAT支持和死点检测。

仅供参考，我主要在Linux上使用Openswan。

我们更喜欢IPSec的主要安全原因之一是旋转会话密钥。OpenVPN可能已实现了此功能（但我看不到）。这意味着长期被动地捕获数据的攻击者无法一次蛮力地破解整个通信日志，而只能强行使用每个单独的会话密钥。

OpenVPN具有辐条布局，因此所有通信都需要通过主服务器进行路由。Tinc-VPN可以在不同站点之间进行路由。您可以阅读此博客：http : //www.allsundry.com/2011/04/10/tinc-better-than-openvpn/