OpenVPN 대 IPsec-장단점, 무엇을 사용해야합니까?

흥미롭게도 "OpenVPN vs IPsec"을 검색 할 때 좋은 검색 결과를 찾지 못했습니다. 여기 내 질문이 있습니다.

신뢰할 수없는 네트워크를 통해 개인 LAN을 설정해야합니다. 그리고 내가 아는 한 두 가지 방법 모두 유효합니다. 그러나 나는 어느 것이 더 낫는지 모른다.

두 가지 접근법의 장단점과 사용 방법에 대한 제안과 경험을 나열 할 수 있다면 매우 감사 할 것입니다.

업데이트 (의견 / 질문과 관련하여) :

구체적인 경우, 목표는 여러 서버 (정적 IP 포함)를 서로 투명하게 연결하는 것입니다. 그러나 "로드 워리어"(동적 IP 사용)와 같은 일부 동적 클라이언트도 연결할 수 있어야합니다. 그러나 주요 목표는 신뢰할 수없는 네트워크에서 "투명한 보안 네트워크"를 실행하는 것입니다. "1 : 1 Point to Point Connections"를 올바르게 해석하는 방법을 모르기 때문에 저는 초보자입니다. =>이 솔루션은 브로드 캐스트 및 모든 기능을 지원해야 완전한 기능을 갖춘 네트워크입니다.

내 환경에 모든 시나리오 설정이 있습니다. (openvpn 사이트 사이트,로드 워리어; cisco ipsec 사이트 사이트, 원격 사용자)

지금까지 openvpn이 더 빠릅니다. openvpn 소프트웨어는 원격 사용자의 오버 헤드가 적습니다. openvpn은 tcp를 사용하여 포트 80에서 설정 가능하며 무료 인터넷이 제한된 장소를 통과합니다. openvpn이 더 안정적입니다.

내 환경의 Openvpn은 최종 사용자에게 정책을 강요하지 않습니다. Openvpn 키 배포는 안전하게 수행하기가 조금 더 어렵습니다. Openvpn 키 비밀번호는 최종 사용자에게 달려 있습니다 (빈 비밀번호를 가질 수 있음). Openvpn은 특정 감사 자 (악천후 만 읽은 감사 자)의 승인을받지 않았습니다. Openvpn은 시스코와 달리 약간의 두뇌가 필요합니다.

이것은 openvpn에 대한 나의 경험입니다. 구성 변경이나 프로세스 변경을 통해 대부분의 부정적인 점을 완화 할 수 있다는 것을 알고 있습니다. 그러니 약간의 회의론으로 제 모든 부정적인면을 생각해보십시오.

IPSec에 비해 OpenVPN의 주요 장점 중 하나는 일부 방화벽이 IPSec 트래픽을 통과시키지 않지만 OpenVPN의 UDP 패킷 또는 TCP 스트림이 방해없이 이동할 수 있다는 것입니다.

IPSec이 방화벽을 작동 시키려면 IP 프로토콜 유형 ESP 및 AH의 패킷뿐만 아니라보다 보편적 인 트리오 (TCP, UDP 및 ICMP)의 패킷을 알고 있어야합니다 (또는 방화벽을 무시하고 라우팅해야 함).

물론 다른 회사 환경을 찾을 수도 있습니다. HTTP를 통해 터널링하는 것과 같은 미친 짓을하지 않는 한 IPSec을 통한 OpenVPN 허용은 의도하지 않은 환경에 따라 다릅니다.

OpenVPN은 IPsec이 할 수없는 이더넷 계층 터널을 수행 할 수 있습니다. IPv4 액세스 권한 만있는 곳에서 IPv6을 터널링하고 싶기 때문에 이것은 중요합니다. IPsec 으로이 작업을 수행 할 수있는 방법이 있지만 보지 못했습니다. 또한 최신 버전의 OpenVPN에서는 IPv6을 터널링 할 수있는 인터넷 계층 터널을 만들 수 있지만 데비안 스퀴즈 버전에서는이를 수행 할 수 없으므로 이더넷 계층 터널이 잘 작동합니다.

따라서 비 IPv4 트래픽을 터널링하려면 OpenVPN이 IPsec보다 우선합니다.

OpenVPN은

설치 및 관리가 훨씬 쉽다고 생각합니다. 완전히 투명한 VPN입니다.

IPsec은 VPN에서 클래식 라우팅에 관한 더 많은 옵션이있는 "전문적인"접근 방식입니다.

점대 점 VPN (1 대 1) 만 원한다면 OpenVPN을 사용하는 것이 좋습니다.

희망이 있습니다 : D

ADSL을 통해 인터넷에 연결된 전국 (NZ)의 수십 개의 사이트를 관리 한 경험이 있습니다. 그들은 단일 사이트로가는 IPSec VPN과 함께 작동했습니다.

고객 요구 사항이 변경되었고 두 개의 VPN이 필요했습니다. 하나는 기본 사이트로 가고 다른 하나는 장애 조치 사이트로갑니다. 고객은 두 VPN이 동시에 활성화되기를 원했습니다.

사용중인 ADSL 라우터가이 문제를 해결하지 못했습니다. 하나의 IPSec VPN을 사용하면 문제가 없었지만 두 개의 VPN이 작동하자마자 ADSL 라우터가 재부팅되었습니다. VPN은 사무실 내부의 라우터 뒤에있는 서버에서 시작되었습니다. 공급 업체의 기술자가 라우터를 확인하도록했으며 많은 진단을 공급 업체에 다시 보냈지 만 해결책을 찾지 못했습니다.

OpenVPN을 테스트했지만 아무런 문제가 없었습니다. 관련 비용 (수십 개의 ADSL 라우터 교체 또는 VPN 기술 변경)을 고려하여 OpenVPN으로 변경하기로 결정했습니다.

또한 진단이 더 쉬워졌으며 (OpenVPN이 훨씬 명확함), 광범위하고 광범위한 네트워크에 대한 관리 오버 헤드의 다른 많은 측면이 훨씬 더 쉬웠습니다. 우리는 결코 뒤돌아 보지 않았습니다.

사이트 간 VPN에 OpenVPN을 사용하며 훌륭하게 작동합니다. 각 상황에 따라 사용자 정의 가능한 OpenVPN이 얼마나 좋은지 정말 좋아합니다. 내가 가진 유일한 문제는 OpenVPN이 다중 스레드가 아니기 때문에 1 CPU가 처리 할 수있는만큼만 대역폭을 얻을 수 있다는 것입니다. 내가 한 테스트에서 터널을 가로 질러 ~ 375MBits / sec를 문제없이 푸시 할 수있었습니다. 이는 대부분의 사람들에게 충분합니다.

Open VPN 사이트 간 (site-to-site)은 IPSEC보다 훨씬 우수합니다. 우리는 MPLS 네트워크에 Open-VPN을 설치 한 클라이언트가 있으며 Blow-fish 128 비트 CBC와 같은보다 빠르고 안전한 암호화를 지원했습니다. 공용 IP를 통해 연결된 다른 사이트에서는 256kbps / 128kbps와 같은 낮은 대역에서도이 연결을 사용했습니다.

그러나 IPSec VTI 인터페이스는 이제 Linux / Unix에서 지원된다는 점을 알려 드리겠습니다. 이를 통해 OpenVPN 사이트 대 사이트 또는 GRE over IPSec과 같은 방식으로 라우팅 가능하고 안전한 터널을 만들 수 있습니다.