Каковы недостатки OpenVPN?
Я видел, как так много людей всегда боролись с IPSec и многими другими безопасными технологиями VPN. Я, например, всегда просто использовал OpenVPN, с красивыми и простыми и универсальными результатами. Я использовал его на маршрутизаторах DD-WRT, больших серверах и телефонах Android, чтобы назвать несколько.
Может кто-нибудь, пожалуйста, объясните мне, что я упускаю? Есть ли недостатки OpenVPN, о которых я не знаю? Есть ли у IPSec и друзей отличная возможность, о которой я не знал? Почему не все используют OpenVPN?
8 ответов
ИМХО, самый большой недостаток OpenVPN заключается в том, что он не совместим с подавляющим большинством продуктов от «крупных» сетевых поставщиков. Cisco & Продукты безопасности Juniper и маршрутизаторы не поддерживают его - они поддерживают только IPsec и проприетарные SSL-VPN. Palo Alto, Fortinet, Check Point и т. Д. Также не поддерживают его. Таким образом, если ваша организация /предприятие хочет настроить VPN-сеть экстрасети для другой компании, и у вас есть только устройство OpenVPN, вам, вероятно, будет не повезло.
При этом некоторое сетевое оборудование & компании-разработчики программного обеспечения начинают использовать OpenVPN. MikroTik является одним из них. Он поддерживается, поскольку RouterOS 3.x:
http://wiki.mikrotik.com/wiki/OpenVPN
Кроме того, в течение самого долгого времени единственным способом запуска клиента OpenVPN на iOS от Apple требовалось джейлбрейк. Это уже не так:
https://itunes.apple.com/us/app/openvpn-connect /id590379981? т = 8
В целом ситуация улучшается. Однако без таких поставщиков, как Cisco & Juniper, внедряя его в свои продукты, я не вижу, чтобы крупные предприятия принимали его, не сталкиваясь с проблемами взаимодействия.
IPSEC является стандартным. Поддержка поддерживает почти каждый сетевой поставщик. Вы не можете достичь такого же уровня совместимости между маршрутизаторами с OpenVPN.
Как сказал Дэвид, в OpenVPN ничего не происходит для решения VPN-клиента. Для решений VPN на базе сайтов или инфраструктуры я бы выбрал IPSEC VPN.
Один из недостатков заключается в том, что в корпоративной среде некоторые менеджеры не любят полагаться на программное обеспечение с открытым исходным кодом.
Я лично не вижу ничего плохого в OpenVPN для пользовательского VPN-решения.
IPSEC может быть реализована на аппаратном обеспечении (или, скорее, на элементе шифрования IPSEC), и поэтому полезно, когда вы хотите нажимать много данных по VPN и не хотите жертвовать мощностью процессора на конечных пользователях.
-
OpenVPN имеет более безопасную реализацию (Userpace vs Kernel).
-
Он лучше работает с брандмауэрами и NAT (нет необходимости гарантировать NAT-T) и его сложно отфильтровать.
-
Это намного менее сложно, чем IPsec
OpenVPN не имеет определенных нормативных сертификатов, таких как поддержка FIPS 140-2.
Я предпочитаю IPSec почти каждый раз, потому что я знаком с ним, и он всегда работает. Основываясь на стандартах, поддерживаемых почти всем, от телефонов и планшетов до Windows и Linux-машин, и у него есть полезные функции, такие как поддержка NAT и обнаружение мертвых точек.
FYI Я использую в основном Openswan для Linux.
Одна из основных причин безопасности, которые мы предпочитаем, IPSec - это поворот ключей сеанса. OpenVPN может это реализовать (но я этого не вижу). Это означает, что злоумышленник, который пассивно захватывает данные в течение долгого времени, не может перетащить весь журнал связи сразу, но стоит только каждый отдельный ключ сеанса.
Единственный технический недостаток OpenVPN, который я вижу, заключается в том, что по сравнению с конкурентами система вводит много задержек в VPN-соединениях . Обновление: я обнаружил, что это была ошибка не для OpenVPN в целом, а только для моих тестов. Когда OpenVPN запускается в TCP-протоколе, накладные расходы TCP делают OpenVPN несколько медленнее. L2TP использует фиксированные порты и протоколы для взаимодействия и, следовательно, нет возможности запускать его в TCP. Openvpn на UDP кажется более быстрым для многих других пользователей.
Единственное другое преимущество при использовании PPTP /L2TP /Ipsec заключается в том, что мне было проще настроить его на Windows-машине или iPhone без установки дополнительного программного обеспечения на стороне клиента. YMMV.
Возможно, вы захотите прочитать эту страницу
OpenVPN имеет спицевый макет, поэтому все коммуникации должны будут проходить через главный сервер. Tinc-VPN может выполнять маршрутизацию между различными сайтами. Вы можете прочитать этот блог: http://www.allsundry.com/2011/04/10 /tinc-лучше, чем OpenVPN /