OpenVPN 与 IPsec - 优缺点，使用什么？

Question

OpenVPN 与 IPsec - 优缺点，使用什么？

jen*_*ens 80 security openvpn ipsec vlan

有趣的是，我在搜索“OpenVPN vs IPsec”时没有找到任何好的搜索结果。所以这是我的问题：

我需要在不受信任的网络上设置专用 LAN。据我所知，这两种方法似乎都是有效的。但我不知道哪个更好。

如果您能列出两种方法的优缺点，以及您关于使用什么的建议和经验，我将不胜感激。

更新（关于评论/问题）：

在我的具体案例中，目标是让任意数量的服务器（具有静态 IP）相互透明地连接。但是一小部分动态客户端，如“公路战士”（具有动态 IP）也应该能够连接。然而，主要目标是在不受信任的网络之上运行一个“透明的安全网络”。我是个新手，所以我不知道如何正确解释“1:1 点对点连接”=> 解决方案应该支持广播和所有这些东西，所以它是一个功能齐全的网络。

Answer 1

Leo*_*Leo 31

我在我的环境中设置了所有场景。（openvpn 站点站点，公路勇士；思科 ipsec 站点站点，远程用户）

到目前为止，openvpn 速度更快。openvpn 软件对远程用户的开销较小。openvpn 是/可以使用 tcp 在端口 80 上设置，以便它在免费互联网有限的地方通过。openvpn 更稳定。

我的环境中的 Openvpn 不会对最终用户强制执行策略。Openvpn 密钥分发有点难以安全地进行。Openvpn 密钥密码由最终用户决定（他们可以有空密码）。Openvpn 未经某些审核员（那些只阅读不良交易记录的审核员）批准。Openvpn 需要一点头脑来设置（与 cisco 不同）。

这是我使用 openvpn 的经验：我知道我的大部分负面影响都可以通过配置更改或流程更改来缓解。因此，请带着一点怀疑态度接受我所有的否定。

@jupp0r 这是错误的。在启用 NAT 遍历的情况下，IPsec 会导致 66B（20B IP、8B UDP、38B ESP）的开销。OpenVPN 导致 69B 开销（20B IP、8B UDP、41B OpenVPN hdr）。 (4认同)
关于审计员的好评论；会同意他们的阅读习惯；) 只要告诉他们它使用带有 AES CBC 128 位加密的行业标准 TLS 协议，他们就会被吓跑；) (2认同)

Answer 2

Dav*_*ett 18

OpenVPN 优于 IPSec 的一项主要优势是，某些防火墙不让 IPSec 流量通过，但可以让 OpenVPN 的 UDP 数据包或 TCP 流畅通无阻地传输。

要使 IPSec 发挥作用，您的防火墙要么需要知道（或需要在不知道它是什么的情况下忽略和路由）IP 协议类型 ESP 和 AH 以及更普遍的三重奏（TCP、UDP 和 ICMP）的数据包。

当然，您可能会发现一些公司环境相反：允许 IPSec 通过但不允许 OpenVPN，除非您做一些疯狂的事情，例如通过 HTTP 建立隧道，因此这取决于您的预期环境。

如果出现防火墙问题，IPSec 可以进入 NAT 穿越模式，这将使用 UDP/4500 上的数据包而不是 ESP（协议 50）。 (6认同)
这不是 OpenVPN 的好处。正如 MadHatter 指出的那样，IPsec 还可以使用额外的 UDP 标头进行操作。OpenVPN 的一个问题是它没有标准 (RFC)，支持 OpenVPN 的产品（例如路由器）非常少。例如，您不会获得支持 OpenVPN 的 Cisco 路由器。我能看到这个专有协议的唯一好处是它很容易设置。 (3认同)

Answer 3

Ken*_*yon 13

OpenVPN 可以做以太网层隧道，而 IPsec 做不到。这对我很重要，因为我想从任何只有 IPv4 访问权限的地方建立 IPv6 隧道。也许有一种方法可以用 IPsec 做到这一点，但我还没有看到。此外，在较新版本的 OpenVPN 中，您将能够创建可以隧道 IPv6 的 Internet 层隧道，但 Debian Squeeze 中的版本无法做到这一点，因此以太网层隧道运行良好。

因此，如果您想通过隧道传输非 IPv4 流量，OpenVPN 胜过 IPsec。

Answer 4

Are*_*tar 10

OpenVPN 是

在我看来，管理设置和使用要容易得多..它完全透明的 VPN，我喜欢......

IPsec 更像是一种“专业”方法，在 vpns 内有更多关于经典路由的选项。

如果您只想要点对点 vpn（1 对 1），我建议使用 OpenVPN

希望这有帮助：D

Answer 5

小智 9

我在管理全国 (NZ) 的数十个站点方面有一些经验，每个站点都通过 ADSL 连接到 Internet。他们一直在使用 IPSec VPN 运行到一个站点。

客户的需求发生了变化，他们需要有两个 VPN，一个连接到主站点，另一个连接到故障转移站点。客户希望两个 VPN 同时处于活动状态。

我们发现使用中的 ADSL 路由器无法解决这个问题。使用一个 IPSec VPN 就可以了，但是一旦启动了两个 VPN，ADSL 路由器就会重新启动。请注意，VPN 是从办公室内路由器后面的服务器启动的。我们让供应商的技术人员检查路由器，他们将许多诊断信息发送回供应商，但没有找到修复方法。

我们测试了 OpenVPN，没有问题。考虑到所涉及的成本（更换数十个 ADSL 路由器或更改 VPN 技术），决定更改为 OpenVPN。

我们还发现诊断更容易（OpenVPN 更清晰），而且对于如此庞大而广泛的网络，管理开销的许多其他方面也更容易。我们从未回头。

Answer 6

小智 8

我将 OpenVPN 用于站点到站点 VPN，效果很好。我真的很喜欢 OpenVPN 在每种情况下的可定制性。我遇到的唯一问题是 OpenVPN 不是多线程的，因此您只能获得 1 个 CPU 可以处理的带宽。我所做的测试，我们已经能够毫无问题地推动 ~375 Mbits/sec 穿过隧道，这对大多数人来说已经足够了。

关于 OpenVPN 使用 CPU 的更多轶事证据：当我在上网本上进行一些测试时，我发现 OpenVPN 几乎（但不完全）使 100Mbit/sec 连接饱和，即使只有一个单核 Atom CPU。 (3认同)

Answer 7

小智 8

Open VPN 站点到站点比 IPSEC 好得多。我们有一个客户端，我们在 MPLS 网络中为其安装了 Open-VPN，该网络运行良好，支持更快、更安全的加密，例如 Blow-fish 128 位 CBC。在另一个通过公共 IP 连接的站点上，我们也在低带宽（例如 256kbps/128kbps）中使用了此连接。

然而，让我指出现在 Linux/Unix 支持 IPSec VTI 接口。这允许您以与 OpenVPN 站点到站点或 GRE over IPSec 相同的方式创建可路由和安全的隧道。

归档时间：	15 年，1 月前
查看次数：	129872 次
最近记录：	7 年，10 月前