À mon humble avis, le plus grand inconvénient d'OpenVPN est qu'il n'est pas interopérable avec la grande majorité des produits des fournisseurs de réseaux de «grands noms». Les produits de sécurité et de routeur de Cisco et Juniper ne le prennent pas en charge - ils ne prennent en charge que IPsec et les VPN SSL propriétaires. Palo Alto, Fortinet, Check Point, etc. ne le supportent pas non plus. Donc, si votre organisation / entreprise souhaite configurer un VPN extranet de site à site pour une autre entreprise et que vous ne disposez que d'une appliance OpenVPN, vous n'aurez probablement pas de chance.
Cela étant dit, certaines sociétés de matériel et de logiciels de réseau commencent à adopter OpenVPN. MikroTik est l'un d'entre eux. Il est pris en charge depuis RouterOS 3.x:
http://wiki.mikrotik.com/wiki/OpenVPN
En outre, pendant la plus longue période, le seul moyen d'exécuter un client OpenVPN sur iOS d'Apple a nécessité le jailbreak. Ce n'est plus le cas:
https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8
Dans l'ensemble, la situation s'améliore. Cependant, sans que des fournisseurs comme Cisco et Juniper ne l'implémentent dans leurs produits, je ne vois pas de grandes entreprises l'adopter sans faire face à des problèmes d'interopérabilité.
IPSEC est standard. Presque tous les fournisseurs de réseaux la prennent en charge. Vous ne pouvez pas atteindre le même niveau d'interopérabilité entre les routeurs avec OpenVPN.
Comme David l'a dit, rien ne cloche avec OpenVPN pour une solution VPN cliente. Pour les VPN de site à site ou les solutions d'infrastructure, je choisirais le VPN IPSEC.
la source
L'un des inconvénients est que dans un environnement d'entreprise, certains gestionnaires n'aiment pas s'appuyer sur des logiciels open source.
Personnellement, je ne vois rien de mal avec OpenVPN pour une solution VPN utilisateur.
L'IPSEC peut être implémenté dans le matériel (ou plutôt l'élément de chiffrement d'IPSEC) et est donc utile lorsque vous souhaitez envoyer beaucoup de données sur un VPN et que vous ne voulez pas sacrifier la puissance du processeur sur les stations d'utilisateur final.
la source
OpenVPN a une implémentation plus sécurisée (Userspace vs Kernel).
Il fonctionne mieux avec les pare-feu et NAT (pas besoin d'assurer NAT-T) et est difficile à filtrer.
C'est beaucoup moins compliqué qu'IPsec
la source
OpenVPN n'a pas certaines certifications réglementaires, comme le support FIPS 140-2.
la source
Le seul inconvénient technique d'OpenVPN que je vois est qu'en comparaison avec ses concurrents, le système introduit beaucoup de latence dans les liaisons VPN. Mise à jour: j'ai constaté que ce n'était pas un problème avec OpenVPN en général, mais uniquement avec mes tests. Lorsque OpenVPN est exécuté sur le protocole TCP, les frais généraux TCP rendent OpenVPN légèrement plus lent. L2TP utilise des ports et des protocoles fixes pour l'interopérabilité et il n'y a donc aucune fonctionnalité pour l'exécuter sur TCP. Openvpn sur UDP semble être plus rapide pour de nombreux autres utilisateurs.Le seul autre avantage lors de l'utilisation de PPTP / L2TP / Ipsec est que j'ai trouvé plus facile à installer sur une machine Windows ou un iPhone sans installer de logiciel côté client supplémentaire. YMMV.
Vous voudrez peut-être lire cette page
la source
Je préfère IPSec presque à chaque fois car je le connais et ça fonctionne toujours. Étant basé sur des normes, il est pris en charge par presque tout, des téléphones et tablettes aux machines Windows et Linux et il possède des fonctionnalités utiles telles que la prise en charge NAT et la détection des pairs morts.
Pour info, j'utilise principalement Openswan sous Linux.
L'une des principales raisons de sécurité que nous préférons IPSec est la rotation des clés de session. OpenVPN a peut-être implémenté cela (mais je ne le vois pas). Cela signifie qu'un attaquant qui capture passivement des données à long terme ne peut pas forcer brutalement l'intégralité du journal de communication, mais seulement la valeur de chaque clé de session individuelle.
la source
OpenVPN a une disposition de rayons, donc toutes les communications devraient être acheminées via le serveur principal. Tinc-VPN peut faire du routage entre différents sites. Vous pouvez lire ce blog: http://www.allsundry.com/2011/04/10/tinc-better-than-openvpn/
la source