OpenVPN vs. IPsec - Pros y contras, ¿qué usar?

76

Curiosamente, no he encontrado ningún buen resultado de búsqueda al buscar "OpenVPN vs IPsec". Así que aquí está mi pregunta:

Necesito configurar una LAN privada a través de una red no confiable. Y hasta donde yo sé, ambos enfoques parecen ser válidos. Pero no sé cuál es mejor.

Estaría muy agradecido si puede enumerar los pros y los contras de ambos enfoques y quizás sus sugerencias y experiencias sobre qué usar.

Actualización (sobre el comentario / pregunta):

En mi caso concreto, el objetivo es tener cualquier número de servidores (con IP estáticas) conectados de forma transparente entre sí. Pero una pequeña porción de clientes dinámicos como "road warriors" (con IP dinámicas) también deberían poder conectarse. Sin embargo, el objetivo principal es tener una "red segura transparente" que se ejecute sobre la red no confiable. Soy un novato, así que no sé cómo interpretar correctamente "Conexiones punto a punto 1: 1" => La solución debe admitir transmisiones y todo eso, por lo que es una red totalmente funcional.

jens
fuente
2
Debe especificar si necesita un túnel VPN "persistente" de sitio a sitio o una solución para que muchos clientes se conecten de forma remota a un sitio. Hace una diferencia en la respuesta.
rmalayter
2
Actualización: he encontrado un artículo bastante interesante. ¿Quizás el artículo está sesgado? En resumen, el artículo dice que IPSec es mucho más rápido. enterprisenetworkingplanet.com/netsecur/article.php/3844861/…
jens el

Respuestas:

29

Tengo todos los escenarios configurados en mi entorno. (sitio-sitio openvpn, guerreros del camino; sitio-sitio csec ipsec, usuarios remotos)

De lejos, el openvpn es más rápido. El software openvpn es menos sobrecarga en los usuarios remotos. El openvpn se puede / puede configurar en el puerto 80 con tcp para que pase en lugares que tienen Internet gratis limitado. El openvpn es más estable.

Openvpn en mi entorno no fuerza la política al usuario final. La distribución de claves Openvpn es un poco más difícil de hacer de forma segura. Las contraseñas clave de Openvpn dependen de los usuarios finales (pueden tener contraseñas en blanco). Openvpn no está aprobado por ciertos auditores (los que solo leen trapos comerciales malos). Openvpn requiere un poco de cerebro para la configuración (a diferencia de Cisco).

Esta es mi experiencia con openvpn: sé que la mayoría de mis aspectos negativos pueden aliviarse mediante cambios en la configuración o cambios en el proceso. Así que toma todos mis negativos con un poco de escepticismo.

León
fuente
2
Buen comentario sobre los auditores; estaría de acuerdo con sus hábitos de lectura;) Solo diles que usa el protocolo TLS estándar de la industria con encriptación AES CBC de 128 bits y se
asustarán
Me cuesta mucho tomar el argumento "mucho más rápido" presentado en muchas respuestas. La sobrecarga de cifrado para AES seguramente debe ser insignificante.
user239558
@ user239558: IPSec encapsula los paquetes dos veces, por lo que la sobrecarga se duplica en comparación con OpenVPN.
jupp0r
44
@ jupp0r esto está mal. IPsec causa una sobrecarga de 66B (20B IP, 8B UDP, 38B ESP) con NAT transversal habilitado. OpenVPN provoca una sobrecarga de 69B (20B IP, 8B UDP, 41B OpenVPN hdr).
tobias
1
Respuesta anterior, pero usé OpenVPN "desnudo" (es decir, sin cifrado), "débil" (64 bits) y "fuerte" (AES256 bits), y hay una diferencia de 1 ms entre ellos. Es decir: nada. ||| Hice mi prueba en una máquina VPS de un solo hilo en Vultr, que por supuesto no es una prueba científica. Pero el resultado final es el mismo. Si usa cualquier tipo de Xeon (o virtualiza en un Xeon), no verá ninguna diferencia. Por supuesto, a medida que aumenta la velocidad, esto cambia. Se recomienda utilizar AES de 128 bits o AES acelerado de Intel si tiene mucho ancho de banda.
Apache
18

Una ventaja clave de OpenVPN sobre IPSec es que algunos cortafuegos no dejan pasar el tráfico de IPSec, pero sí permiten que los paquetes UDP o las secuencias TCP de OpenVPN viajen sin obstáculos.

Para que IPSec funcione, su firewall debe tener en cuenta (o debe ignorar y enrutar sin saber qué es) los paquetes de los tipos de protocolo IP ESP y AH, así como el trío más omnipresente (TCP, UDP e ICMP).

Por supuesto, puede encontrar algunos entornos corporativos al revés: permitiendo que IPSec pase a través de OpenVPN pero no OpenVPN, a menos que haga algo loco como hacer un túnel a través de HTTP, por lo que depende de los entornos previstos.

David Spillett
fuente
55
Si surge el problema del firewall, IPSec puede ponerse en modo NAT-transversal, que utilizará paquetes en UDP / 4500 en lugar de ESP (protocolo 50).
MadHatter
3
Esto no es un beneficio de OpenVPN. IPsec también puede operar con un encabezado UDP adicional como señaló MadHatter. Un problema de OpenVPN es que no es estándar (RFC), hay muy pocos productos (por ejemplo, enrutadores) que admitan OpenVPN. Por ejemplo, no obtendrá un enrutador Cisco compatible con OpenVPN. El único beneficio que puedo ver de este protocolo propietario es que es fácil de configurar.
tobias
13

OpenVPN puede hacer túneles de capa Ethernet, lo que IPsec no puede hacer. Esto es importante para mí porque quiero hacer un túnel IPv6 desde cualquier lugar que solo tenga acceso IPv4. Quizás haya una manera de hacer esto con IPsec, pero no la he visto. Además, en una versión más nueva de OpenVPN podrá crear túneles de capa de Internet que pueden hacer un túnel IPv6, pero la versión en Debian Squeeze no puede hacer eso, por lo que un túnel de capa Ethernet funciona muy bien.

Entonces, si desea tunelizar el tráfico que no es IPv4, OpenVPN gana a IPsec.

Kenyon
fuente
Ahí es donde usa L2TP sobre IPsec.
Kenan Sulayman
10

OpenVPN es

mucho más fácil de administrar, configurar y usar en mi opinión. Es una VPN totalmente transparente, que me encanta ...

IPsec es más un enfoque "profesional" con muchas más opciones con respecto al enrutamiento clásico dentro de vpns.

Si desea solo un punto a punto vpn (1 a 1), sugeriría usar OpenVPN

Espero que esto ayude: D

Arenstar
fuente
9

Tenía cierta experiencia en la gestión de docenas de sitios en todo el país (NZ), cada uno de los cuales se conectaba a Internet a través de ADSL. Habían estado operando con IPSec VPN yendo a un solo sitio.

El requisito de los clientes cambió y necesitaban tener dos VPN, una que se dirigiera al sitio principal y la otra al sitio de conmutación por error. El cliente quería que ambas VPN estuvieran activas al mismo tiempo.

Descubrimos que los enrutadores ADSL en uso no estaban haciendo frente a esto. Con una VPN IPSec estaban bien, pero en cuanto aparecieron dos VPN, el enrutador ADSL se reinició. Tenga en cuenta que la VPN se inició desde un servidor dentro de la oficina, detrás del enrutador. Obtuvimos técnicos del proveedor para verificar los enrutadores y enviaron muchos diagnósticos al proveedor, pero no se encontró ninguna solución.

Probamos OpenVPN y no hubo problemas. Teniendo en cuenta los costos involucrados (reemplazar docenas de enrutadores ADSL o cambiar la tecnología VPN), se decidió cambiar a OpenVPN.

También encontramos que el diagnóstico es más fácil (OpenVPN es mucho más claro) y muchos otros aspectos de la sobrecarga administrativa para una red tan grande y extendida fueron mucho más fáciles. Nunca miramos hacia atrás.

Steve
fuente
8

Uso OpenVPN para una VPN de sitio a sitio y funciona muy bien. Realmente me encanta lo personalizable que es OpenVPN para cada situación. El único problema que he tenido es que OpenVPN no es multiproceso, por lo tanto, solo puede obtener tanto ancho de banda como pueda manejar 1 CPU. Las pruebas que he realizado han sido capaces de impulsar ~ 375 MBits / seg a través del túnel sin problemas, lo cual es más que suficiente para la mayoría de las personas.


fuente
3
Como evidencia más anecdótica sobre el uso de CPU por parte de OpenVPN: cuando realicé algunas pruebas en una netbook, descubrí que OpenVPN podía casi (pero no del todo) saturar una conexión de 100Mbit / seg incluso con solo una CPU Atom de un solo núcleo.
David Spillett el
8

Open VPN de sitio a sitio es mucho mejor que IPSEC. Tenemos un cliente para el que instalamos Open-VPN en una red MPLS que funcionó bien y admitió un cifrado más rápido y seguro, como Blow-fish CBC de 128 bits. En otro sitio que está conectado a través de una IP pública, también utilizamos esta conexión en un ancho de banda bajo, como 256 kbps / 128 kbps.

Sin embargo, permítanme señalar que las interfaces IPSec VTI ahora son compatibles con Linux / Unix. Esto le permite crear túneles enrutables y seguros de la misma manera que OpenVPN sitio a sitio o GRE sobre IPSec.

Botto
fuente