Fait intéressant, je n'ai pas trouvé de bons résultats de recherche lors de la recherche de "OpenVPN vs IPsec". Alors voici ma question:
Je dois configurer un réseau local privé sur un réseau non approuvé. Et pour autant que je sache, les deux approches semblent être valables. Mais je ne sais pas lequel est le meilleur.
Je serais très reconnaissant si vous pouvez énumérer le pour et le contre des deux approches et peut-être vos suggestions et expériences concernant ce qu'il faut utiliser.
Mise à jour (concernant le commentaire / la question):
Dans mon cas concret, l’objectif est d’avoir un nombre quelconque de serveurs (avec des adresses IP statiques) connectés de manière transparente les uns aux autres. Mais une petite partie des clients dynamiques tels que "road warriors" (avec des adresses IP dynamiques) devrait également pouvoir se connecter. L'objectif principal est toutefois de disposer d'un "réseau sécurisé transparent" au-dessus du réseau non approuvé. Je suis un débutant et je ne sais pas comment interpréter correctement "1: 1 Point to Point Connections" => La solution doit prendre en charge les diffusions et tout le reste, de sorte que le réseau est entièrement fonctionnel.
Réponses:
J'ai tous les scénarios configurés dans mon environnement. (openvpn site-site, guerriers de la route; cisco site ipsec, utilisateurs distants)
De loin, l’openvpn est plus rapide. Le logiciel openvpn est moins onéreux pour les utilisateurs distants. L’openvpn est / peut être configuré sur le port 80 avec tcp afin qu’il passe dans des endroits disposant d’une connexion Internet gratuite limitée. L'openvpn est plus stable.
OpenVPN dans mon environnement ne force pas la politique à l'utilisateur final. La distribution de clés OpenVPN est un peu plus difficile à faire en toute sécurité. Les mots de passe des clés OpenVPN appartiennent aux utilisateurs finaux (ils peuvent avoir des mots de passe vierges). OpenVPN n’est pas approuvé par certains auditeurs (ceux qui ne lisent que les mauvaises chiffons). OpenVPN prend un peu de cervelle à configurer (contrairement à Cisco).
Voici mon expérience avec openvpn: Je sais que la plupart de mes négatifs peuvent être atténués par des changements de configuration ou de processus. Alors, prenez tous mes négatifs avec un peu de scepticisme.
la source
Un des principaux avantages d’OpenVPN par rapport à IPSec est que certains pare-feu ne laissent pas passer le trafic IPSec, mais permettent aux paquets UDP ou aux flux TCP d’OpenVPN de voyager sans entrave.
Pour que IPSec fonctionne, votre pare-feu doit savoir (ou ignorer et router sans savoir de quoi il s'agit) des paquets des types de protocole IP ESP et AH, ainsi que du trio plus omniprésent (TCP, UDP et ICMP.).
Bien sûr, vous pouvez trouver certains environnements d’entreprise à l’inverse: autoriser IPSec mais non OpenVPN, à moins que vous ne fassiez quelque chose de fou comme le tunneling via HTTP, cela dépend donc de l’environnement que vous envisagez.
la source
OpenVPN peut créer des tunnels de couche Ethernet, ce que ne peut pas faire IPsec. Ceci est important pour moi car je souhaite tunneler IPv6 à partir de n’importe quel endroit disposant uniquement d’un accès IPv4. Peut-être qu’il ya un moyen de faire cela avec IPsec, mais je ne l’ai pas vu. De plus, dans une version plus récente d’OpenVPN, vous pourrez créer des tunnels de couche Internet pouvant acheminer IPv6 en tunnel, mais la version de Debian squeeze ne le permet pas. Un tunnel de couche Ethernet fonctionne donc parfaitement.
Donc, si vous souhaitez canaliser le trafic non-IPv4, OpenVPN l'emporte sur IPsec.
la source
OpenVPN est
beaucoup plus facile à gérer et à utiliser à mon avis .. Son VPN entièrement transparent, que j'aime beaucoup ...
IPsec est plus une approche "professionnelle" avec beaucoup plus d'options concernant le routage classique au sein de vpns.
Si vous voulez juste un vpn point à point (1-to-1), je suggérerais d'utiliser OpenVPN
J'espère que cela vous aidera: D
la source
J'avais une certaine expérience de la gestion de dizaines de sites à travers le pays (NZ), chacun se connectant à Internet via ADSL. Ils fonctionnaient avec IPSec VPN sur un seul site.
Les besoins des clients ont changé et ils devaient disposer de deux VPN, l'un se rendant sur le site principal, l'autre sur un site de basculement. Le client souhaitait que les deux VPN soient actifs en même temps.
Nous avons constaté que les routeurs ADSL utilisés ne géraient pas cela. Avec un VPN IPSec, tout allait bien, mais dès que deux VPN ont été installés, le routeur ADSL a redémarré. Notez que le VPN a été lancé à partir d'un serveur situé à l'intérieur du bureau, derrière le routeur. Nous avons demandé à des techniciens du fournisseur de vérifier les routeurs et ils ont renvoyé de nombreux diagnostics au fournisseur, mais aucun correctif n’a été trouvé.
Nous avons testé OpenVPN et nous n’avons rencontré aucun problème. Compte tenu des coûts (remplacement de dizaines de routeurs ADSL ou modification de la technologie VPN), il a été décidé de passer à OpenVPN.
Nous avons également constaté que les diagnostics étaient plus faciles (OpenVPN est beaucoup plus clair) et que de nombreux autres aspects des frais généraux de gestion pour un réseau aussi vaste et étendu étaient beaucoup plus faciles. Nous n'avons jamais regardé en arrière.
la source
J'utilise OpenVPN pour un VPN de site à site et cela fonctionne très bien. J'aime vraiment la façon dont OpenVPN est personnalisable pour chaque situation. Le seul problème que j'ai rencontré est qu'OpenVPN n'est pas multithread, vous ne pouvez donc obtenir que la bande passante maximale qu'un processeur peut gérer. Les tests que j'ai effectués nous ont permis de faire passer environ 375 Mbits / s dans le tunnel sans aucun problème, ce qui est largement suffisant pour la plupart des gens.
la source
Open VPN site à site est bien meilleur que sur IPSEC. Nous avons un client pour lequel nous avons installé Open-VPN sur un réseau MPLS qui fonctionnait bien et supportait un cryptage plus rapide et plus sécurisé tel que Blow-fish 128 bits CBC. Sur un autre site connecté via IP publique, nous avons utilisé cette connexion également dans les bandes passantes faibles telles que 256 kbps / 128 kbps.
Cependant, permettez-moi de souligner que les interfaces IPSec VTI sont maintenant prises en charge sous Linux / Unix. Cela vous permet de créer des tunnels routables et sécurisés de la même manière qu'OpenVPN site à site ou GRE sur IPSec.
la source