興味深いことに、「OpenVPN vs IPsec」を検索したところ、良い検索結果が見つかりませんでした。ここに私の質問を示します:
信頼できないネットワーク上にプライベートLANをセットアップする必要があります。そして、私の知る限りでは、どちらのアプローチも有効であるようです。しかし、どちらが優れているかわかりません。
両方のアプローチの長所と短所、そして何を使用するかについての提案や経験をリストしていただければ幸いです。
私の具体的なケースでは、目標は、相互に透過的に接続された任意の数のサーバー(静的IPを使用)を持つことです。ただし、「ロードウォリアー」(動的IPを使用)などの動的クライアントのごく一部も接続できるはずです。ただし、主な目標は、信頼されていないネットワーク上で「透過的で安全なネットワーク」を実行することです。私はまったくの初心者なので、「1:1ポイントツーポイント接続」を正しく解釈する方法がわかりません=>このソリューションは、ブロードキャストとそのすべてのものをサポートしているので、完全に機能するネットワークです。
私の環境にはすべてのシナリオがセットアップされています。 (openvpnサイトサイト、ロードウォリアー、Cisco ipsecサイトサイト、リモートユーザー)
Openvpnははるかに高速です。 openvpnソフトウェアは、リモートユーザーのオーバーヘッドが少なくなります。 openvpnは、tcpを使用してポート80で設定できます。これにより、無料インターネットが制限されている場所を通過できるようになります。 openvpnはより安定しています。
私の環境のOpenvpnは、エンドユーザーにポリシーを強制しません。 Openvpnキーの配布は、安全に行うのが少し難しいです。 Openvpnキーのパスワードはエンドユーザー次第です(パスワードは空白にすることができます)。 Openvpnは、特定の監査人(悪質なぼろきれのみを読み取る監査人)によって承認されていません。 Openvpnは、(Ciscoとは異なり)設定に少し頭を使います。
これはopenvpnでの私の経験です。ほとんどの欠点は、構成の変更またはプロセスの変更のいずれかによって軽減できることを知っています。だから、少し懐疑的な見方をして、私のネガティブをすべて取りなさい。
OpenVPN over IPSecの主な利点の1つは、一部のファイアウォールがIPSecトラフィックを通過させず、OpenVPNのUDPパケットまたはTCPストリームが支障なく移動できるようにすることです。
IPSecが機能するためには、ファイアウォールがIPプロトコルタイプESPとAHのパケット、およびより遍在するトリオを認識していないか、無視してルーティングする必要がある(TCP、UDP、ICMP。
もちろん、逆にIPSecを許可しても一部の企業環境を見つける可能性があります。HTTP経由でトンネリングするようなクレイジーなことをしない限り、意図した環境に依存します。
OpenVPNはイーサネット層トンネルを実行できますが、IPsecはできません。これは私にとって重要です。なぜなら、IPv4アクセスのみを持つどこからでもIPv6をトンネルしたいからです。 IPsecでこれを行う方法があるかもしれませんが、私はそれを見ていません。また、OpenVPNの新しいバージョンでは、IPv6をトンネリングできるインターネットレイヤートンネルを作成できますが、Debian squeezeのバージョンではそれができないため、イーサネットレイヤートンネルはうまく機能します。
したがって、IPv4以外のトラフィックをトンネリングしたい場合、OpenVPNはIPsecを優先します。
OpenVPNは
私の意見では、セットアップの管理と使用がはるかに簡単です。完全に透過的なVPNです。
IPsecは、より「プロフェッショナルな」アプローチであり、VPN内の従来のルーティングに関する多くのオプションがあります。
ポイント-ポイント-ポイントvpn(1-to-1)だけが必要な場合は、OpenVPNの使用をお勧めします
これが役に立てば幸い:D
ADSLを介してインターネットに接続する全国(NZ)の数十のサイトを管理した経験がありました。彼らは単一のサイトに行くIPSec VPNで運用していた。
顧客の要件が変化し、2つのVPNが必要でした。1つはメインサイトに、もう1つはフェイルオーバーサイトに接続します。お客様は、両方のVPNを同時にアクティブにすることを望んでいました。
使用中のADSLルーターはこれに対応していないことがわかりました。 1つのIPSec VPNでは問題ありませんでしたが、2つのVPNが起動するとすぐに、ADSLルーターが再起動しました。 VPNはオフィス内のルーターの背後にあるサーバーから開始されたことに注意してください。サプライヤーから技術者にルーターを確認してもらい、多くの診断をベンダーに送り返しましたが、修正は見つかりませんでした。
OpenVPNをテストしましたが、問題はありませんでした。関係するコスト(数十のADSLルーターの交換またはVPNテクノロジの変更)を考慮して、OpenVPNに変更することが決定されました。
また、診断が容易になり(OpenVPNの方がはるかに明確)、このような大規模で広範囲に及ぶネットワークの管理オーバーヘッドの他の多くの側面がはるかに簡単になりました。私たちは振り返ることはありませんでした。
Open VPNのサイト間はIPSECよりもはるかに優れています。Open-VPNをMPLSネットワークにインストールしたクライアントがあり、正常に機能し、Blow-fish 128ビットCBCなどのより高速で安全な暗号化をサポートしています。パブリックIP経由で接続されている別のサイトでは、この接続を256kbps/128kbpsなどの低帯域幅でも使用しました。
ただし、IPSec VTIインターフェイスがLinux/Unixでサポートされるようになったことを指摘しておきます。これにより、OpenVPNのサイト間またはIPSec上のGREとほぼ同じ方法で、ルーティング可能で安全なトンネルを作成できます。
サイト間VPNにOpenVPNを使用していますが、うまく機能します。それぞれの状況でカスタマイズ可能なOpenVPNがいかに気に入っているか。私が持っていた唯一の問題は、OpenVPNがマルチスレッド化されていないため、1 CPUが処理できる帯域幅しか取得できないことです。私が行ったテストでは、問題なくトンネル全体で最大375 MBitsをプッシュできました。これは、ほとんどの人にとって十分な量です。