OpenVPN vs. IPsec - Prós e contras, o que usar?

76

Curiosamente, não encontrei bons resultados de pesquisa ao pesquisar "OpenVPN vs IPsec". Então aqui está a minha pergunta:

Preciso configurar uma LAN privada em uma rede não confiável. E, tanto quanto eu sei, ambas as abordagens parecem válidas. Mas não sei qual é o melhor.

Ficaria muito grato se você puder listar os prós e contras de ambas as abordagens e talvez suas sugestões e experiências sobre o que usar.

Atualização (em relação ao comentário / pergunta):

No meu caso concreto, o objetivo é ter qualquer número de servidores (com IPs estáticos) conectados de forma transparente. Mas uma pequena porção de clientes dinâmicos como "guerreiros da estrada" (com IPs dinâmicos) também deve poder se conectar. O objetivo principal é, no entanto, ter uma "rede segura transparente" executada em cima da rede não confiável. Eu sou um novato, então não sei como interpretar corretamente "1: 1 conexões ponto a ponto" => A solução deve oferecer suporte a transmissões e todo esse material, para que seja uma rede totalmente funcional.

jens
fonte
2
Você deve especificar se precisa de um túnel VPN "persistente" site a site ou de uma solução para muitos clientes se conectarem remotamente a um site. Faz diferença na resposta.
rmalayter
2
Atualização: Encontrei um artigo bastante interessante. Talvez o artigo seja tendencioso? Em resumo, o artigo está dizendo que o IPSec é muito mais rápido !? Enterprisenetworkingplanet.com/netsecur/article.php/3844861/…
jens

Respostas:

29

Eu tenho todos os cenários configurados no meu ambiente. (site-site openvpn, guerreiros em estradas; site-site Cisco ipsec, usuários remotos)

De longe, o openvpn é mais rápido. O software openvpn é menos sobrecarregado para os usuários remotos. O openvpn é / pode ser configurado na porta 80 com tcp, para que ele passe em locais com Internet gratuita limitada. O openvpn é mais estável.

Openvpn no meu ambiente não força a política para o usuário final. A distribuição de chaves Openvpn é um pouco mais difícil de fazer com segurança. As senhas de chave Openvpn dependem dos usuários finais (eles podem ter senhas em branco). O Openvpn não é aprovado por certos auditores (aqueles que apenas lêem más notícias). O Openvpn requer um pouco de inteligência para ser configurado (ao contrário do Cisco).

Esta é minha experiência com o openvpn: eu sei que a maioria dos meus negativos pode ser aliviada por meio de alterações na configuração ou no processo. Então pegue todos os meus negativos com um pouco de ceticismo.

Leo
fonte
2
Bom comentário sobre os auditores; estaria de acordo com os seus hábitos de leitura;) Basta dizer-lhes que usa o protocolo TLS padrão da indústria com criptografia bit AES CBC 128 e eles vão se assustem;)
Reiniero
É difícil aceitar o argumento "de longe muito mais rápido" apresentado em muitas respostas. A sobrecarga de criptografia para o AES certamente deve ser insignificante.
user239558
@ user239558: O IPSec encapsula pacotes duas vezes, portanto, a sobrecarga é dobrada em comparação com o OpenVPN.
Jupp0r
4
@ jupp0r isso está errado. O IPsec causa uma sobrecarga de 66B (20B IP, 8B UDP, 38B ESP) com o NAT NAT ativado. O OpenVPN causa sobrecarga de 69B (20B IP, 8B UDP, 41B OpenVPN hdr).
Tobias
1
Resposta antiga, mas usei o OpenVPN "bare" (ou seja: sem criptografia), "fraco" (64 bits) e "forte" (AES256 bits), e existe uma diferença de 1ms entre eles. Ou seja: nada. ||| Fiz meu teste em uma máquina VPS de thread único na Vultr, que obviamente não é um teste científico. Mas a linha inferior é a mesma. Se você usar qualquer tipo de Xeon (ou virtualizar em um Xeon), não verá diferença. Obviamente, à medida que a velocidade aumenta, isso muda. É recomendável usar o AES de 128 bits, ou o AES acelerado da Intel, se você tiver tanta largura de banda.
Apache
18

Uma vantagem importante do OpenVPN sobre o IPSec é que alguns firewalls não permitem o tráfego do IPSec, mas permitem que os pacotes UDP ou fluxos TCP do OpenVPN viajem sem impedimentos.

Para que o IPSec funcione, seu firewall precisa estar ciente (ou precisa ignorar e rotear sem saber o que é) pacotes dos tipos de protocolo IP ESP e AH, além do trio mais onipresente (TCP, UDP e ICMP).

É claro que você pode encontrar alguns ambientes corporativos ao contrário: permitir o IPSec através do OpenVPN, a menos que você faça algo louco como encapsulá-lo via HTTP, portanto depende dos ambientes pretendidos.

David Spillett
fonte
5
Se o problema do firewall surgir, o IPSec poderá ser colocado no modo de passagem NAT, que usará pacotes no UDP / 4500 em vez do ESP (protocolo 50).
21712 MadHatter
3
Este não é um benefício do OpenVPN. O IPsec também pode operar com um cabeçalho UDP adicional, como MadHatter apontou. Um problema do OpenVPN é que ele não é padrão (RFC), existem muito menos produtos (por exemplo, roteadores) por aí que suportam o OpenVPN. Por exemplo, você não receberá um roteador Cisco compatível com OpenVPN. O único benefício que vejo deste protocolo proprietário é que é fácil de configurar.
Tobias
13

O OpenVPN pode fazer túneis da camada Ethernet, o que o IPsec não pode fazer. Isso é importante para mim, porque quero encapsular o IPv6 de qualquer lugar que possua apenas acesso IPv4. Talvez haja uma maneira de fazer isso com o IPsec, mas eu não o vi. Além disso, em uma versão mais recente do OpenVPN, você poderá criar túneis da camada da Internet que podem encapsular o IPv6, mas a versão no squeeze do Debian não pode fazer isso, portanto, um túnel da camada Ethernet funciona bem.

Portanto, se você deseja encapsular tráfego não IPv4, o OpenVPN ganha sobre o IPsec.

Kenyon
fonte
É aí que você usa L2TP sobre IPsec.
Kenan Sulayman
10

OpenVPN é

muito mais fácil de administrar a instalação e usar na minha opinião .. Sua VPN totalmente transparente, que eu amo ...

O IPsec é mais uma abordagem "profissional", com muito mais opções em relação ao roteamento clássico dentro de vpns.

Se você quiser apenas um ponto a ponto vpn (1 a 1), sugiro usar o OpenVPN

Espero que isso ajude: D

Arenstar
fonte
9

Tive alguma experiência com o gerenciamento de dezenas de sites em todo o país (NZ), cada um se conectando à Internet via ADSL. Eles estavam operando com a VPN IPSec indo para um único site.

O requisito dos clientes mudou e eles precisavam ter duas VPNs, uma indo para o site principal e a outra para um site de failover. O cliente queria que as duas VPNs estivessem ativas ao mesmo tempo.

Descobrimos que os roteadores ADSL em uso não estavam lidando com isso. Com uma VPN IPSec, eles estavam bem, mas assim que duas VPNs foram ativadas, o roteador ADSL foi reiniciado. Observe que a VPN foi iniciada a partir de um servidor dentro do escritório, atrás do roteador. Contamos com técnicos do fornecedor para verificar os roteadores e eles enviaram muitos diagnósticos de volta ao fornecedor, mas nenhuma correção foi encontrada.

Testamos o OpenVPN e não houve problemas. Considerando os custos envolvidos (substitua dezenas de roteadores ADSL ou altere a tecnologia VPN), foi decidido mudar para o OpenVPN.

Também achamos o diagnóstico mais fácil (o OpenVPN é muito mais claro) e muitos outros aspectos da sobrecarga de gerenciamento para uma rede tão grande e difundida eram muito mais fáceis. Nós nunca olhamos para trás.

Steve
fonte
8

Eu uso o OpenVPN para uma VPN site a site e funciona muito bem. Eu realmente amo como o OpenVPN é personalizável para cada situação. O único problema que tive foi que o OpenVPN não é multithread, portanto, você só pode obter a largura de banda que uma CPU pode suportar. Nos testes que fiz, conseguimos passar por ~ 375 MBits / s através do túnel sem problemas, o que é mais do que suficiente para a maioria das pessoas.


fonte
3
Como evidência mais anedótica sobre o uso da CPU pelo OpenVPN: quando realizei alguns testes em um netbook, descobri que o OpenVPN podia quase (mas não completamente) saturar uma conexão de 100Mbit / s, mesmo com apenas uma CPU Atom de núcleo único.
precisa
8

O VPN aberto site a site é muito melhor que o IPSEC. Temos um cliente para quem instalamos o Open-VPN em uma rede MPLS que funcionou bem e suportou criptografia mais rápida e segura, como o Blow-fish 128 bits CBC. Em outro site conectado via IP público, usamos essa conexão também em baixa largura de banda, como 256kbps / 128kbps.

No entanto, deixe-me salientar que as interfaces IPSec VTI agora são suportadas no Linux / Unix. Isso permite que você crie túneis roteáveis ​​e seguros da mesma maneira que o site OpenVPN para site ou GRE sobre IPSec.

Botto
fonte