OpenVPN vs. IPsec - Avantages et inconvénients, quoi utiliser?
Fait intéressant, je n'ai trouvé aucun bon résultat de recherche lors de la recherche de "OpenVPN vs IPsec". Voici donc ma question:
J'ai besoin de configurer un LAN privé sur un réseau non fiable. Et pour autant que je sache, les deux approches semblent être valides. Mais je ne sais pas lequel est le meilleur.
Je serais très reconnaissant si vous pouvez énumérer les avantages et les inconvénients des deux approches et peut-être vos suggestions et expériences concernant ce qu'il faut utiliser.
Mise à jour (concernant le commentaire/la question):
Dans mon cas concret, l'objectif est d'avoir un nombre illimité de serveurs (avec des adresses IP statiques) connectés les uns aux autres de manière transparente. Mais une petite partie des clients dynamiques comme les "road warriors" (avec des IP dynamiques) devraient également pouvoir se connecter. L'objectif principal est toutefois de disposer d'un "réseau sécurisé transparent" au-dessus du réseau non approuvé. Je suis un débutant, donc je ne sais pas comment interpréter correctement "Connexions point à point 1: 1" => La solution devrait prendre en charge les diffusions et tout le reste, donc c'est un réseau entièrement fonctionnel.
J'ai tous les scénarios configurés dans mon environnement. (openvpn site-site, road warriors; Cisco ipsec site-site, utilisateurs distants)
De loin, openvpn est plus rapide. Le logiciel openvpn est moins coûteux pour les utilisateurs distants. L'openvpn est/peut être configuré sur le port 80 avec TCP afin qu'il passe aux endroits qui ont un accès gratuit à Internet. L'openvpn est plus stable.
Openvpn dans mon environnement ne force pas la stratégie à l'utilisateur final. La distribution de clés Openvpn est un peu plus difficile à faire en toute sécurité. Les mots de passe de clé Openvpn sont aux utilisateurs finaux (ils peuvent avoir des mots de passe vides). Openvpn n'est pas approuvé par certains auditeurs (ceux qui ne lisent que les chiffons commerciaux défectueux). Openvpn prend un peu de cerveaux à configurer (contrairement à Cisco).
Voici mon expérience avec openvpn: je sais que la plupart de mes points négatifs peuvent être atténués par des changements de configuration ou des changements de processus. Prenez donc tous mes négatifs avec un peu de scepticisme.
Un des principaux avantages d'OpenVPN par rapport à IPSec est que certains pare-feu ne laissent pas passer le trafic IPSec mais laissent les paquets UDP d'OpenVPN ou TCP se déplacent sans entrave.
Pour qu'IPSec fonctionne, votre pare-feu doit être au courant (ou doit ignorer et acheminer sans savoir de quoi il s'agit) des types de protocoles IP ESP et AH ainsi que du trio plus omniprésent) (TCP, UDP et ICMP.
Bien sûr, vous pouvez trouver certains environnements d'entreprise dans l'autre sens: autoriser IPSec à travers mais pas OpenVPN, à moins que vous ne fassiez quelque chose de fou comme le tunneling via HTTP, donc cela dépend de vos environnements prévus.
OpenVPN peut créer des tunnels de couche Ethernet, ce que IPsec ne peut pas faire. C'est important pour moi car je veux tunneler IPv6 depuis n'importe où qui n'a qu'un accès IPv4. Il y a peut-être un moyen de le faire avec IPsec, mais je ne l'ai pas vu. De plus, dans une version plus récente d'OpenVPN, vous serez en mesure de créer des tunnels de couche Internet qui peuvent tunneler IPv6, mais la version de Debian Squeeze ne peut pas le faire, donc un tunnel de couche Ethernet fonctionne bien.
Donc, si vous souhaitez tunneler le trafic non IPv4, OpenVPN l'emporte sur IPsec.
OpenVPN est
beaucoup plus facile à administrer la configuration et l'utilisation à mon avis .. Son VPN entièrement transparent, que j'aime ...
IPsec est plus une approche "professionnelle" avec beaucoup plus d'options concernant le routage classique dans les VPN.
Si vous voulez juste un VPN point à point (1 à 1), je suggérerais d'utiliser OpenVPN
J'espère que cela aide: D
J'avais une certaine expérience dans la gestion de dizaines de sites à travers le pays (NZ), chacun se connectant à Internet via l'ADSL. Ils fonctionnaient avec IPSec VPN sur un seul site.
Les exigences des clients ont changé et ils devaient disposer de deux VPN, l'un allant sur le site principal et l'autre sur un site de basculement. Le client voulait que les deux VPN soient actifs en même temps.
Nous avons constaté que les routeurs ADSL utilisés ne faisaient pas face à cela. Avec un VPN IPSec, tout allait bien, mais dès que deux VPN ont été lancés, le routeur ADSL a redémarré. Notez que le VPN a été lancé à partir d'un serveur à l'intérieur du bureau, derrière le routeur. Nous avons demandé à des techniciens du fournisseur de vérifier les routeurs et ils ont renvoyé de nombreux diagnostics au fournisseur, mais aucun correctif n'a été trouvé.
Nous avons testé OpenVPN et il n'y a eu aucun problème. Compte tenu des coûts impliqués (remplacement de dizaines de routeurs ADSL ou changement de technologie VPN), il a été décidé de passer à OpenVPN.
Nous avons également trouvé les diagnostics plus faciles (OpenVPN est beaucoup plus clair) et de nombreux autres aspects de la surcharge de gestion pour un réseau aussi vaste et répandu étaient beaucoup plus faciles. Nous n'avons jamais regardé en arrière.
Open VPN site à site est bien meilleur qu'IPSEC.Nous avons un client pour lequel nous avons installé Open-VPN dans un réseau MPLS qui fonctionnait bien et supportait un cryptage plus rapide et plus sécurisé tel que Blow-fish 128 bits CBC. Sur un autre site qui est connecté via IP publique, nous avons également utilisé cette connexion dans une bande passante faible telle que 256 kbps/128 kbps.
Cependant, permettez-moi de souligner que les interfaces IPSec VTI sont désormais prises en charge sous Linux/Unix. Cela vous permet de créer des tunnels routables et sécurisés de la même manière que OpenVPN de site à site ou GRE sur IPSec.
J'utilise OpenVPN pour un VPN de site à site et cela fonctionne très bien. J'aime vraiment à quel point OpenVPN est personnalisable pour chaque situation. Le seul problème que j'ai eu, c'est qu'OpenVPN n'est pas multithread, donc vous ne pouvez obtenir que la bande passante que peut gérer 1 CPU. Les tests que j'ai effectués nous ont permis de pousser ~ 375 Mbits/sec à travers le tunnel sans problème, ce qui est plus que suffisant pour la plupart des gens.