OpenVPN vs. IPsec - Avantages et inconvénients, quoi utiliser?

76

Fait intéressant, je n'ai pas trouvé de bons résultats de recherche lors de la recherche de "OpenVPN vs IPsec". Alors voici ma question:

Je dois configurer un réseau local privé sur un réseau non approuvé. Et pour autant que je sache, les deux approches semblent être valables. Mais je ne sais pas lequel est le meilleur.

Je serais très reconnaissant si vous pouvez énumérer le pour et le contre des deux approches et peut-être vos suggestions et expériences concernant ce qu'il faut utiliser.

Mise à jour (concernant le commentaire / la question):

Dans mon cas concret, l’objectif est d’avoir un nombre quelconque de serveurs (avec des adresses IP statiques) connectés de manière transparente les uns aux autres. Mais une petite partie des clients dynamiques tels que "road warriors" (avec des adresses IP dynamiques) devrait également pouvoir se connecter. L'objectif principal est toutefois de disposer d'un "réseau sécurisé transparent" au-dessus du réseau non approuvé. Je suis un débutant et je ne sais pas comment interpréter correctement "1: 1 Point to Point Connections" => La solution doit prendre en charge les diffusions et tout le reste, de sorte que le réseau est entièrement fonctionnel.

security openvpn vlan ipsec jens
la source
2
Vous devez spécifier si vous avez besoin d'un tunnel VPN "persistant" de site à site ou d'une solution permettant à de nombreux clients de se connecter à distance à un site. Cela fait une différence dans la réponse.
rmalayter
2
Mise à jour: j'ai trouvé un article très intéressant. Peut-être que l'article est biaisé? En résumé, l'article dit qu'IPSec est beaucoup plus rapide!? enterprisenetworkingplanet.com/netsecur/article.php/3844861/…
jens

Réponses:

29

J'ai tous les scénarios configurés dans mon environnement. (openvpn site-site, guerriers de la route; cisco site ipsec, utilisateurs distants)

De loin, l’openvpn est plus rapide. Le logiciel openvpn est moins onéreux pour les utilisateurs distants. L’openvpn est / peut être configuré sur le port 80 avec tcp afin qu’il passe dans des endroits disposant d’une connexion Internet gratuite limitée. L'openvpn est plus stable.

OpenVPN dans mon environnement ne force pas la politique à l'utilisateur final. La distribution de clés OpenVPN est un peu plus difficile à faire en toute sécurité. Les mots de passe des clés OpenVPN appartiennent aux utilisateurs finaux (ils peuvent avoir des mots de passe vierges). OpenVPN n’est pas approuvé par certains auditeurs (ceux qui ne lisent que les mauvaises chiffons). OpenVPN prend un peu de cervelle à configurer (contrairement à Cisco).

Voici mon expérience avec openvpn: Je sais que la plupart de mes négatifs peuvent être atténués par des changements de configuration ou de processus. Alors, prenez tous mes négatifs avec un peu de scepticisme.

Leo
la source
2
Beau commentaire sur les auditeurs; serait d'accord avec leurs habitudes de lecture;) Dites-leur simplement qu'il utilise le protocole standard TLS avec cryptage AES CBC 128 bits et qu'ils auront peur;)
reiniero
J'ai du mal à accepter l'argument «de loin plus rapide» présenté dans de nombreuses réponses. Le temps de chiffrement pour AES doit sûrement être négligeable.
user239558
@ user239558: IPSec encapsule deux fois les paquets, de sorte que la surcharge est doublée par rapport à OpenVPN.
jupp0r
4
@ jupp0r c'est faux. IPsec entraîne une surcharge de 66B (20B IP, 8B UDP, 38B ESP) avec la traversée NAT activée. OpenVPN entraîne une surcharge de 69B (IP 20B, UDP 8B, hdr OpenBP 41B).
Tobias
1
Ancienne réponse, mais j'utilisais OpenVPN "nu" (c'est-à-dire: pas de cryptage), "faible" (64 bits) et "fort" (AES256-bit), et il y a une différence de 1ms entre eux. Ie: rien. ||| J'ai fait mon test sur une machine à un seul thread VPS chez Vultr, ce qui n'est bien sûr pas un test scientifique. Mais la ligne de fond est la même. Si vous utilisez un type quelconque de Xeon (ou virtualisez sur un Xeon), vous ne verrez aucune différence. Bien sûr, à mesure que la vitesse augmente, cela change. Il est recommandé d'utiliser l'AES 128 bits ou l'AES accéléré d'Intel si la bande passante utilisée est très importante.
Apache
18

Un des principaux avantages d’OpenVPN par rapport à IPSec est que certains pare-feu ne laissent pas passer le trafic IPSec, mais permettent aux paquets UDP ou aux flux TCP d’OpenVPN de voyager sans entrave.

Pour que IPSec fonctionne, votre pare-feu doit savoir (ou ignorer et router sans savoir de quoi il s'agit) des paquets des types de protocole IP ESP et AH, ainsi que du trio plus omniprésent (TCP, UDP et ICMP.).

Bien sûr, vous pouvez trouver certains environnements d’entreprise à l’inverse: autoriser IPSec mais non OpenVPN, à moins que vous ne fassiez quelque chose de fou comme le tunneling via HTTP, cela dépend donc de l’environnement que vous envisagez.

David Spillett
la source
5
Si le problème de pare-feu se pose, IPSec peut être mis en mode NAT-traversal, qui utilisera des paquets sur UDP / 4500 au lieu de ESP (protocole 50).
MadHatter
3
Ce n'est pas un avantage d'OpenVPN. IPsec peut également fonctionner avec un en-tête UDP supplémentaire, comme l'a souligné MadHatter. Un problème d'OpenVPN est qu'il n'y a pas de norme (RFC), il y a très peu de produits (par exemple, des routeurs) supportant OpenVPN. Par exemple, vous ne recevrez pas de routeur Cisco prenant en charge OpenVPN. Le seul avantage que je peux constater de ce protocole propriétaire est qu’il est facile à installer.
Tobias
13

OpenVPN peut créer des tunnels de couche Ethernet, ce que ne peut pas faire IPsec. Ceci est important pour moi car je souhaite tunneler IPv6 à partir de n’importe quel endroit disposant uniquement d’un accès IPv4. Peut-être qu’il ya un moyen de faire cela avec IPsec, mais je ne l’ai pas vu. De plus, dans une version plus récente d’OpenVPN, vous pourrez créer des tunnels de couche Internet pouvant acheminer IPv6 en tunnel, mais la version de Debian squeeze ne le permet pas. Un tunnel de couche Ethernet fonctionne donc parfaitement.

Donc, si vous souhaitez canaliser le trafic non-IPv4, OpenVPN l'emporte sur IPsec.

Kenyon
la source
C'est là que vous utilisez L2TP sur IPsec.
Kenan Sulayman
10

OpenVPN est

beaucoup plus facile à gérer et à utiliser à mon avis .. Son VPN entièrement transparent, que j'aime beaucoup ...

IPsec est plus une approche "professionnelle" avec beaucoup plus d'options concernant le routage classique au sein de vpns.

Si vous voulez juste un vpn point à point (1-to-1), je suggérerais d'utiliser OpenVPN

J'espère que cela vous aidera: D

Arenstar
la source
9

J'avais une certaine expérience de la gestion de dizaines de sites à travers le pays (NZ), chacun se connectant à Internet via ADSL. Ils fonctionnaient avec IPSec VPN sur un seul site.

Les besoins des clients ont changé et ils devaient disposer de deux VPN, l'un se rendant sur le site principal, l'autre sur un site de basculement. Le client souhaitait que les deux VPN soient actifs en même temps.

Nous avons constaté que les routeurs ADSL utilisés ne géraient pas cela. Avec un VPN IPSec, tout allait bien, mais dès que deux VPN ont été installés, le routeur ADSL a redémarré. Notez que le VPN a été lancé à partir d'un serveur situé à l'intérieur du bureau, derrière le routeur. Nous avons demandé à des techniciens du fournisseur de vérifier les routeurs et ils ont renvoyé de nombreux diagnostics au fournisseur, mais aucun correctif n’a été trouvé.

Nous avons testé OpenVPN et nous n’avons rencontré aucun problème. Compte tenu des coûts (remplacement de dizaines de routeurs ADSL ou modification de la technologie VPN), il a été décidé de passer à OpenVPN.

Nous avons également constaté que les diagnostics étaient plus faciles (OpenVPN est beaucoup plus clair) et que de nombreux autres aspects des frais généraux de gestion pour un réseau aussi vaste et étendu étaient beaucoup plus faciles. Nous n'avons jamais regardé en arrière.

Steve
la source
8

J'utilise OpenVPN pour un VPN de site à site et cela fonctionne très bien. J'aime vraiment la façon dont OpenVPN est personnalisable pour chaque situation. Le seul problème que j'ai rencontré est qu'OpenVPN n'est pas multithread, vous ne pouvez donc obtenir que la bande passante maximale qu'un processeur peut gérer. Les tests que j'ai effectués nous ont permis de faire passer environ 375 Mbits / s dans le tunnel sans aucun problème, ce qui est largement suffisant pour la plupart des gens.


la source
3
Comme preuve plus anecdotique sur l’utilisation du processeur par OpenVPN: lorsque j’ai effectué quelques tests sur un netbook, j’ai constaté qu’OpenVPN pouvait presque (mais pas tout à fait) saturer une connexion à 100 Mbit / s, même avec un seul processeur Atom à cœur unique.
David Spillett
8

Open VPN site à site est bien meilleur que sur IPSEC. Nous avons un client pour lequel nous avons installé Open-VPN sur un réseau MPLS qui fonctionnait bien et supportait un cryptage plus rapide et plus sécurisé tel que Blow-fish 128 bits CBC. Sur un autre site connecté via IP publique, nous avons utilisé cette connexion également dans les bandes passantes faibles telles que 256 kbps / 128 kbps.

Cependant, permettez-moi de souligner que les interfaces IPSec VTI sont maintenant prises en charge sous Linux / Unix. Cela vous permet de créer des tunnels routables et sécurisés de la même manière qu'OpenVPN site à site ou GRE sur IPSec.

Botto
la source