OpenVPN vs. IPsec - Vor- und Nachteile, was ist zu verwenden?

Interessanterweise habe ich bei der Suche nach "OpenVPN vs IPsec" keine guten Suchergebnisse gefunden. Also hier ist meine Frage:

Ich muss ein privates LAN über ein nicht vertrauenswürdiges Netzwerk einrichten. Und meines Wissens scheinen beide Ansätze gültig zu sein. Aber ich weiß nicht, welches besser ist.

Ich wäre Ihnen sehr dankbar, wenn Sie die Vor- und Nachteile beider Ansätze sowie Ihre Vorschläge und Erfahrungen in Bezug auf die Verwendung auflisten könnten.

Update (bezüglich des Kommentars / der Frage):

In meinem konkreten Fall ist das Ziel, eine beliebige Anzahl von Servern (mit statischen IPs) transparent miteinander zu verbinden. Ein kleiner Teil der dynamischen Clients wie "Road Warriors" (mit dynamischen IPs) sollte jedoch auch eine Verbindung herstellen können. Das Hauptziel ist jedoch, ein "transparentes sicheres Netzwerk" über dem nicht vertrauenswürdigen Netzwerk zu betreiben. Ich bin ein ziemlicher Neuling und weiß nicht, wie ich "1: 1-Punkt-zu-Punkt-Verbindungen" richtig interpretieren soll.

Ich habe alle Szenarien in meiner Umgebung eingerichtet. (OpenVPN Site-Site, Straßenkämpfer; Cisco IPSec Site-Site, Remote-Benutzer)

Das openvpn ist bei weitem schneller. Die OpenVPN-Software ist für die Remotebenutzer weniger aufwändig. Das OpenVPN ist / kann auf Port 80 mit TCP eingerichtet werden, so dass es an Orten mit begrenztem freiem Internet übertragen werden kann. Das openvpn ist stabiler.

OpenVPN in meiner Umgebung erzwingt keine Richtlinien für den Endbenutzer. OpenVPN-Schlüsselverteilung ist etwas schwieriger sicher zu machen. Openvpn-Schlüsselkennwörter sind Sache der Endbenutzer (sie können leere Kennwörter haben). OpenVPN wird von bestimmten Wirtschaftsprüfern (die nur schlechte Handelspapiere lesen) nicht genehmigt. OpenVPN braucht ein wenig Kopf, um es einzurichten (im Gegensatz zu Cisco).

Dies ist meine Erfahrung mit openvpn: Ich weiß, dass die meisten meiner Nachteile durch Konfigurations- oder Prozessänderungen behoben werden können. Also nimm alle meine Negative mit ein bisschen Skepsis.

Ein Hauptvorteil von OpenVPN gegenüber IPSec ist, dass einige Firewalls den IPSec-Verkehr nicht durchlassen, OpenVPNs UDP-Pakete oder TCP-Streams jedoch ungehindert übertragen.

Damit IPSec funktioniert, muss Ihre Firewall die Pakete der IP-Protokolltypen ESP und AH sowie das allgegenwärtigere Trio (TCP, UDP und ICMP) kennen (oder ignorieren und weiterleiten, ohne zu wissen, was es ist).

Natürlich kann es vorkommen, dass einige Unternehmensumgebungen umgekehrt sind: IPSec durchzulassen, OpenVPN jedoch nicht, es sei denn, Sie tun etwas Verrücktes, wie das Tunneln über HTTP, und dies hängt von Ihrer beabsichtigten Umgebung ab.

OpenVPN kann Ethernet-Layer-Tunnel ausführen, IPsec jedoch nicht. Dies ist wichtig für mich, da ich IPv6 von jedem Ort aus tunneln möchte, der nur über IPv4-Zugriff verfügt. Vielleicht gibt es eine Möglichkeit, dies mit IPSec zu tun, aber ich habe es nicht gesehen. In einer neueren Version von OpenVPN können Sie auch Internet-Layer-Tunnel erstellen, die IPv6 tunneln können, aber die Version in Debian Squeeze kann dies nicht, so dass ein Ethernet-Layer-Tunnel gut funktioniert.

Wenn Sie also Nicht-IPv4-Verkehr tunneln möchten, gewinnt OpenVPN über IPsec.

OpenVPN ist

Meiner Meinung nach ist es viel einfacher, das Setup zu verwalten und zu verwenden. Sein vollständig transparentes VPN, das ich liebe ...

IPsec ist eher ein "professioneller" Ansatz mit vielen weiteren Optionen für das klassische Routing innerhalb von VPNs.

Wenn Sie nur einen Punkt-zu-Punkt-VPN (1-zu-1) möchten, würde ich die Verwendung von OpenVPN vorschlagen

Hoffe das hilft: D

Ich hatte einige Erfahrung mit der Verwaltung von Dutzenden von Websites im ganzen Land (NZ), die jeweils über ADSL mit dem Internet verbunden waren. Sie hatten mit IPSec VPN an einem einzigen Standort gearbeitet.

Die Kundenanforderungen änderten sich und es mussten zwei VPNs vorhanden sein, von denen eines zum Hauptstandort und das andere zu einem Failover-Standort führte. Der Kunde wollte, dass beide VPNs gleichzeitig aktiv sind.

Wir haben festgestellt, dass die verwendeten ADSL-Router damit nicht zurechtkommen. Mit einem IPSec-VPN waren sie in Ordnung, aber sobald zwei VPNs gestartet wurden, startete der ADSL-Router neu. Beachten Sie, dass das VPN von einem Server im Büro hinter dem Router initiiert wurde. Wir haben Techniker vom Lieferanten beauftragt, die Router zu überprüfen, und sie haben viele Diagnosen an den Hersteller zurückgeschickt, aber es wurde keine Lösung gefunden.

Wir haben OpenVPN getestet und es gab keine Probleme. Aufgrund der damit verbundenen Kosten (Austausch von Dutzenden ADSL-Routern oder Änderung der VPN-Technologie) wurde beschlossen, auf OpenVPN umzustellen.

Wir fanden auch die Diagnose einfacher (OpenVPN ist viel klarer) und viele andere Aspekte des Verwaltungsaufwands für ein so großes und weit verbreitetes Netzwerk waren viel einfacher. Wir haben nie zurückgeschaut.

Ich verwende OpenVPN für ein Site-to-Site-VPN und es funktioniert großartig. Ich finde es wirklich toll, wie anpassbar OpenVPN für jede Situation ist. Das einzige Problem, das ich hatte, ist, dass OpenVPN nicht multithreaded ist, daher können Sie nur so viel Bandbreite erhalten, wie 1 CPU verarbeiten kann. Die Tests, die ich durchgeführt habe, haben ergeben, dass wir ohne Probleme ~ 375 MBit / s durch den Tunnel geschoben haben, was für die meisten Menschen mehr als genug ist.

Open VPN Site-to-Site ist viel besser als IPSEC. Wir haben einen Client, für den wir Open-VPN in einem MPLS-Netzwerk installiert haben, das einwandfrei funktioniert und eine schnellere und sicherere Verschlüsselung wie Blow-Fish 128-Bit-CBC unterstützt. An einem anderen Standort, der über eine öffentliche IP-Adresse verbunden ist, haben wir diese Verbindung auch für niedrige Bandbreiten wie 256 kbit / s / 128 kbit / s verwendet.

Lassen Sie mich jedoch darauf hinweisen, dass IPSec VTI-Schnittstellen jetzt unter Linux / Unix unterstützt werden. Auf diese Weise können Sie routingfähige und sichere Tunnel ähnlich wie bei OpenVPN Site-to-Site oder GRE over IPSec erstellen.