OpenVPN与IPsec-优点和缺点，使用什么？

76

有趣的是，当我搜索“ OpenVPN vs IPsec”时，没有找到任何好的搜索结果。所以这是我的问题：

我需要在不受信任的网络上建立专用LAN。据我所知，这两种方法似乎都是有效的。但是我不知道哪个更好。

如果您能列出两种方法的优缺点，以及您对使用哪种方法的建议和经验，我将非常感谢。

更新（关于评论/问题）：

在我的具体情况下，目标是使任意数量的服务器（具有静态IP）彼此透明连接。但是，一小部分动态客户端（如“公路勇士”（具有动态IP））也应该能够连接。但是，主要目标是在不受信任的网络之上运行“透明安全网络”。我是一个新手，所以我不知道如何正确解释“ 1：1点对点连接” =>该解决方案应支持广播和所有此类内容，因此它是一个功能齐全的网络。

— 詹斯
source

2

您应该指定是需要站点到站点的“持久” VPN隧道，还是需要许多客户端远程连接到一个站点的解决方案。它使答案有所不同。

— rmalayter

2

更新：我发现了一篇很有趣的文章。也许这篇文章有偏见？总而言之，文章说IPSec更快！enterprisenetworkingplanet.com/netsecur/article.php/3844861/…–

— jens

29

我在环境中设置了所有方案。（openvpn站点站点，路途勇士； cisco ipsec站点站点，远程用户）

到目前为止，openvpn更快。openvpn软件减少了远程用户的开销。openvpn是/可以通过tcp在端口80上设置的，因此它可以在免费互联网有限的地方通过。openvpn更稳定。

我的环境中的Openvpn不会将策略强加给最终用户。安全地分配Openvpn密钥比较困难。Openvpn密钥密码取决于最终用户（他们可以具有空白密码）。Openvpn未经某些审核员（只阅读不良贸易破烂的审核员）批准。OpenVPN需要一点点的大脑来进行设置（与Cisco不同）。

这是我使用openvpn的经验：我知道可以通过配置更改或流程更改来缓解大多数负面影响。因此，请对我的所有负面看法持怀疑态度。

— 狮子座
source

2

关于审核员的好评论；会同意他们的阅读习惯；）只需告诉他们，它使用具有AES CBC 128位加密的行业标准TLS协议，就会被吓坏了；）

— reiniero 2012年

我很难接受许多答案中提出的“快得多”的论点。AES的加密开销必定可以忽略不计。

— user239558

@ user239558：IPSec两次封装了数据包，因此与OpenVPN相比，开销增加了一倍。

— jupp0r

4

@ jupp0r，这是错误的。在启用NAT穿越的情况下，IPsec导致66B（20B IP，8B UDP，38B ESP）的开销。OpenVPN造成69B开销（20B IP，8B UDP，41B OpenVPN hdr）。

— tobias

1

旧的答复，但我使用OpenVPN的“裸”（即：未加密），“弱”（64位）和“强”（AES256位），它们之间相差1毫秒。即：没事。||| 我在Vultr的单线程VPS机器上进行了测试，这当然不是科学测试。但底线是相同的。如果您使用任何类型的Xeon（或在Xeon上虚拟化），则不会有任何区别。当然，随着速度的提高，这会改变。如果您有很大的带宽通过，建议使用128位AES或Intel加速AES。

— 阿帕奇（Apache）

18

与IPSec相比，OpenVPN的一个关键优势是某些防火墙不允许IPSec流量通过，但可以让OpenVPN的UDP数据包或TCP流无阻碍地传输。

为了使IPSec起作用，您的防火墙要么需要了解（或需要忽略和路由而不知道它是什么）IP协议类型ESP和AH以及更为普遍的三重协议（TCP，UDP和ICMP）的数据包。

当然，您可能会发现一些相反的公司环境：允许IPSec通过但不能通过OpenVPN，除非您做了一些疯狂的事情，例如通过HTTP进行隧道传输，所以这取决于您的预期环境。

— 戴维·斯皮利特
source

5

如果出现防火墙问题，则可以将IPSec置于NAT穿越模式，该模式将使用UDP / 4500而不是ESP（协议50）上的数据包。

— MadHatter

3

这不是OpenVPN的好处。MadHatter指出，IPsec还可以与其他UDP标头一起使用。OpenVPN的问题在于它不是标准（RFC），支持OpenVPN的产品（例如路由器）很少。例如，您不会获得支持OpenVPN的Cisco路由器。我可以看到这种专有协议的唯一好处是易于设置。

— tobias

13

OpenVPN可以执行以太网层隧道，而IPsec无法做到。这对我很重要，因为我想从仅具有IPv4访问权限的任何地方隧道传输IPv6。也许有一种使用IPsec做到这一点的方法，但是我还没有看到。而且，在较新版本的OpenVPN中，您将能够制作可以隧道IPv6的Internet层隧道，但是Debian squeeze中的版本不能做到这一点，因此以太网层隧道可以很好地工作。

因此，如果您要隧道传输非IPv4流量，则OpenVPN胜过IPsec。

— 肯扬
source

那就是您在IPsec上使用L2TP的地方。

— Kenan Sulayman'8

10

OpenVPN是

在我看来，更容易管理设置和使用。.我喜欢它的完全透明的VPN ...

IPsec是一种“专业”方法，具有有关VPN内部经典路由的更多选择。

如果您只想要点对点VPN（一对一），我建议您使用OpenVPN

希望这会有所帮助：D

— 阿伦斯塔
source

9

我在管理全国（NZ）的数十个站点（通过ADSL连接到Internet的站点）方面有一些经验。他们曾经使用IPSec VPN进入单个站点。

客户需求发生了变化，他们需要拥有两个VPN，一个进入主站点，另一个进入故障转移站点。客户希望两个VPN同时激活。

我们发现正在使用的ADSL路由器无法解决此问题。使用一个IPSec VPN可以，但是一旦启动两个VPN，ADSL路由器就会重新启动。请注意，VPN是从办公室内部位于路由器后面的服务器启动的。我们从供应商那里找来了技术人员来检查路由器，他们将许多诊断信息发回给了供应商，但是没有找到修复方法。

我们测试了OpenVPN，没有问题。考虑到所涉及的成本（替换数十个ADSL路由器或更改VPN技术），决定更改为OpenVPN。

我们还发现诊断更容易（OpenVPN更清晰），而对于如此庞大而广泛的网络，管理开销的许多其他方面也更加容易。我们再也没有回头。

— 史蒂夫
source

8

我使用OpenVPN进行站点到站点VPN，并且效果很好。我真的很喜欢每种情况下可定制的OpenVPN。我唯一遇到的问题是OpenVPN不是多线程的，因此您只能获得1个CPU可以处理的带宽。经过我的测试，我们能够毫无问题地以每秒375 MBits /秒的速度通过隧道，这对于大多数人来说已经足够了。

3

作为有关OpenVPN使用CPU的更多传闻证据：当我在上网本上进行一些测试时，我发现即使仅使用单核Atom CPU，OpenVPN几乎（但不是完全）会使100Mbit / sec的连接饱和。

— David Spillett

8

相对于IPSEC，Open-VPN站点到站点的性能要好得多。我们有一个为其客户安装了MPLS网络的Open-VPN，它运行良好并支持更快，更安全的加密，例如Blow-fish 128位CBC。在通过公共IP连接的另一个站点上，我们也以低带宽（例如256kbps / 128kbps）使用了此连接。

但是，让我指出，Linux / Unix现在支持IPSec VTI接口。这样，您就可以像OpenVPN站点到站点或GRE over IPSec一样，创建可路由和安全的隧道。

— 下装
source