Was ist der Vorteil von OpenVPN gegenüber SSTP?

Was ist der Vorteil der Einführung von OpenVPN als VPN-Dienst des Unternehmens anstelle der in Windows integrierten Protokolle, wenn nur die Windows-Umgebung berücksichtigt wird? Insbesondere das neue SSTP-Protokoll überwindet bereits die Schwäche von PPTP, die möglicherweise nicht über Firewall / NAT geht.

Ich frage mich, ob es einen Grund gibt, die integrierte Windows-Lösung nicht zu verwenden. Die Stärke der Sicherheit kann ein Problem sein, aber ich bin mir nicht sicher, wie unterschiedlich sie sind (ich weiß, dass MS VPN anfällig war, aber ist es immer noch so?)

Vielen Dank.

Die Verfügbarkeit von Clients für OpenVPN ist (zumindest derzeit) breiter als die von SSTP. Ich kann zum Beispiel ein IP-Telefon mit einem eingebetteten OpenVPN-Client kaufen. AFAIK, Microsoft hat den SSTP-Client nicht auf Windows XP zurückportiert (was ursprünglich angekündigt wurde), sodass eine große Client-Basis abgeschnitten wird. Im Gegensatz dazu erfordert SSTP jedoch keine Installation von Software von Drittanbietern auf unterstützten Client-Betriebssystemen.

Bei OpenVPN fallen keine Lizenzgebühren pro Client an, wie dies beim Angebot von Microsoft der Fall ist. (Ich werde nicht meine Meinung dazu abgeben, welche spezifischen Verwendungen eine Windows-CAL benötigen und welche nicht ... In einigen Dokumentationen behauptet Microsoft, dass ein DHCP-Client eine CAL benötigt , daher neige ich dazu, ihnen einen weiten Bogen zu machen. Wenn mein Hausmeister Staub um meinen Windows Server-Computer Ich brauche wahrscheinlich eine CAL für sie. Der richtige Ort, um sich über die Lizenzierung zu informieren, ist sowieso der Software- "Hersteller" ...)

Die im OpenVPN-Client integrierte Funktionalität zum Empfangen von "Push" -Routen ist flexibler als die des Microsoft-VPN-Clients (es sei denn, Sie verwenden den CMAK, und das war für mich in der Praxis nicht zuverlässig).

Der Hauptvorteil von OpenVPN in einer Nur-Win-Umgebung ist die Verwendung von UDP als zugrunde liegender Träger, da hierdurch das Problem der TCP-Kernschmelze vermieden wird. Weitere Informationen finden Sie unter http://sites.inka.de/bigred/devel/tcp-tcp.html über TCP in TCP.

hth, Cheerio Steve

Beachten Sie, dass SSTP (Stand November 2011) leider nicht über einen Proxyserver mit Authentifizierung funktioniert . Dies ist dokumentiert, obwohl nicht viele es erkennen.

Es ist dem Netzwerkadministrator auch möglich, dass ein nicht authentifizierender Proxy SSTP-Header erkennt und die Verbindungen trennt. Die Aussage, dass es über eine Firewall usw. geht, ist mit einigen Vorbehalten wahr .

OpenVPN kann HTTPS auf einem Proxy mit Authentifizierung übertragen . Es ist viel schwieriger, diesen Verkehr zu blockieren, da er wie normales "SSL" aussieht, aber nicht! Mit einigen Paketinspektionen auf den ersten Bytes des Inhalts ist es möglich, diese Pakete zu blockieren. OpenVPN in diesem Modus verliert den Leistungsgewinn "UDP", da OpenVPN im TCP-Modus arbeiten würde. In diesem Sinne ist es also gleich SSTP.

Für OpenVPN auf der Serverseite benötigen Sie zwei öffentliche IP-Adressen, wenn Sie auch einen Webserver an Port 443 haben, dies für die kommerzielle Edition. Für die Comunity Edition ist es möglich, den 443-Port auf derselben IP-Adresse gemeinsam zu nutzen, da der Server ein Nicht-OpenVPN-Protokoll erkennt und den Datenverkehr auf einen alternativen Webserver umleitet (443). Dies funktioniert nur in der Linux-Version des OpenVPN-Servers.

Auf SSTP ist es möglich, dieselbe IP / denselben Port 443 sowohl für SSTP-Verkehr als auch für normale Webserver-geschützte Seiten zu verwenden.

Unter SSTP kann sich ein SSL-Offloading-Gerät im Netzwerk befinden, bevor der RRAS-Server erreicht wird. Unter OpenVPN ist dies nicht möglich, da der Datenverkehr nicht wirklich "echtes" SSL ist, dh das openVPN-Protokoll kapselt eine SSL-Nutzlast.

In der OpenVPN-Community müssen Sie mit der KPI-Infrastruktur, den Zertifikaten usw. umgehen, was manchmal eine schwierigere Lernkurve sein kann ... (in der Community-Edition). In der kommerziellen Ausgabe wird diese Aufgabe erleichtert.

In OpenVPN Commercial kann die Authentifizierung in LDAP integriert werden (z. B. auf einem AD). In der Community ist dies nicht möglich (nicht ganz sicher, aber fast!). Die Idee dreht sich mehr um Kundenzertifikate; obwohl es möglich ist, einfachere Zertifikatsschemata zu verwenden.

O SSTP, dies ist offensichtlich enthalten.

OpenVPN funktioniert im UDP-Modus mit ist sehr gut, aber PPTP funktioniert auch in UDP für den Datenkanal (GRE-Protokoll). Da die Frage der Vergleich zwischen SSTP und OpenVPN ist, nehmen wir einfach an, dass wir den TCP-Verkehr vergleichen.

Sie sehen also ... es gibt kein besseres oder schlechteres ... In meinem Fall habe ich aufgrund meiner funktionalen Anforderungen hart gekämpft, um eines zu wählen ... und bin immer noch nicht ganz zufrieden mit dem, den ich wählen musste (SSTP), aber Ziemlich zufrieden. Ich sage das, denn wenn das Netzwerk (Hotel) PPTP blockiert, kann SSTP verwendet werden ... dies wird automatisch vom VPN-Client erledigt.

Der OpenVPN-Client verfügt über einen ähnlichen Fallback-Mechanismus.

SSTP wird bereits von Linux unterstützt, aber das Projekt scheint sich in der Anfangsphase zu befinden.

PPTP gilt als kryptografisch fehlerhaft und sollte nicht verwendet werden . Es geht nicht nur um die Schlüssellänge, sondern auch um schwerwiegende Fehler bei der Authentifizierung und bei der Microsoft-Punkt-zu-Punkt-Verschlüsselung (MMPE).

Unter den Gesichtspunkten robuster Architektur, umfassender Unterstützung, hoher Sicherheit, zuverlässiger Netzwerkdurchquerung und solider Leistung bevorzuge ich OpenVPN .

Die einzigen Vorteile, die ich bei SSTP sehe, sind nicht technischer Natur: offensichtlich bessere Integration unter Windows und möglicherweise einfacher zu konfigurieren (auch weil sie weniger leistungsfähig sind).

Vorteile von OpenVPN:

• kann über UDP tunneln

Dies ist in jeder Umgebung mit eingeschränkter Bandbreite so wichtig, in der ein TCP-Tunnel sehr schnell hängen bleibt.

• kann über einen einzelnen Port in UDP tunneln (außer TCP)

Einige sagen, dass der https-TCP-Port 443 in jeder Umgebung (Hotel usw.) funktioniert, was eine vernünftige Annahme ist, aber kein UDP. - Ich finde, dass der DNS-UDP-Port 53 auch in vielen Umgebungen funktioniert und Sie OpenVPN dort konfigurieren können!

• Verfügbar für weitaus mehr Windows-Plattformen (und natürlich auch für andere), sowohl als Client als auch als Server
• kann Netzwerke tunneln

Ich lasse das "Nur-Windows" hier ... aber wenn Sie ein Team in einem Hotelzimmer verbinden möchten, kann es schwierig werden ... Eine Möglichkeit besteht darin, mit einem kleinen Router (mit OpenVPN) anzureisen und das zu lassen Computer / Telefone verbinden sich dort. Sie können dies auch mit einem Computer unter Linux oder einem verwurzelten Android-Smartphone tun, ...

Ich habe dies mit einem Router gemacht, auf dem OpenWRT oder Freetz, eine „Aftermarket-Firmware“, ausgeführt wird.

• kann so konfiguriert werden, dass Netzwerkänderungen überlebt werden

Mit der Option „Float“ habe ich mein Smartphone dazu gebracht, den Wechsel zwischen WiFi-abgedeckten Bereichen und dem 3G-Mobilfunknetz zu überstehen, ohne die Verbindung zu verlieren! (Aufgrund eines langjährigen Fehlers funktioniert dies nur im Peer-Modus.)

Ich beende hier.

Ein weiterer Vorteil von OpenVPN ist, dass Sie es über Port 443 (HTTPS) ausführen können. Dies ist wichtig, wenn Ihre Kunden in einem Hotelzimmer sitzen, da viele Hotels den Verkehr an anderen Ports als 25,80, 110 und 443 blockieren und Ihre normalen VPN-Verbindungen dann nicht mehr funktionieren. Gleiches gilt auch für viele große Unternehmen.