OpenVPN 대 IPsec-장단점, 무엇을 사용해야합니까?


76

흥미롭게도 "OpenVPN vs IPsec"을 검색 할 때 좋은 검색 결과를 찾지 못했습니다. 여기 내 질문이 있습니다.

신뢰할 수없는 네트워크를 통해 개인 LAN을 설정해야합니다. 그리고 내가 아는 한 두 가지 방법 모두 유효합니다. 그러나 나는 어느 것이 더 낫는지 모른다.

두 가지 접근법의 장단점과 사용 방법에 대한 제안과 경험을 나열 할 수 있다면 매우 감사 할 것입니다.

업데이트 (의견 / 질문과 관련하여) :

구체적인 경우, 목표는 여러 서버 (정적 IP 포함)를 서로 투명하게 연결하는 것입니다. 그러나 "로드 워리어"(동적 IP 사용)와 같은 일부 동적 클라이언트도 연결할 수 있어야합니다. 그러나 주요 목표는 신뢰할 수없는 네트워크에서 "투명한 보안 네트워크"를 실행하는 것입니다. "1 : 1 Point to Point Connections"를 올바르게 해석하는 방법을 모르기 때문에 저는 초보자입니다. =>이 솔루션은 브로드 캐스트 및 모든 기능을 지원해야 완전한 기능을 갖춘 네트워크입니다.


2
사이트 간 "지속적"VPN 터널이 필요한지 또는 많은 클라이언트가 하나의 사이트에 원격으로 연결하기위한 솔루션을 지정해야합니다. 답이 달라집니다.
rmalayter

2
업데이트 : 꽤 흥미로운 기사를 찾았습니다. 어쩌면 기사가 편향되어 있습니까? 요약하자면이 기사에서는 IPSec이 훨씬 빠릅니다!? enterprisenetworkingplanet.com/netsecur/article.php/3844861/…
jens

답변:


29

내 환경에 모든 시나리오 설정이 있습니다. (openvpn 사이트 사이트,로드 워리어; cisco ipsec 사이트 사이트, 원격 사용자)

지금까지 openvpn이 더 빠릅니다. openvpn 소프트웨어는 원격 사용자의 오버 헤드가 적습니다. openvpn은 tcp를 사용하여 포트 80에서 설정 가능하며 무료 인터넷이 제한된 장소를 통과합니다. openvpn이 더 안정적입니다.

내 환경의 Openvpn은 최종 사용자에게 정책을 강요하지 않습니다. Openvpn 키 배포는 안전하게 수행하기가 조금 더 어렵습니다. Openvpn 키 비밀번호는 최종 사용자에게 달려 있습니다 (빈 비밀번호를 가질 수 있음). Openvpn은 특정 감사 자 (악천후 만 읽은 감사 자)의 승인을받지 않았습니다. Openvpn은 시스코와 달리 약간의 두뇌가 필요합니다.

이것은 openvpn에 대한 나의 경험입니다. 구성 변경이나 프로세스 변경을 통해 대부분의 부정적인 점을 완화 할 수 있다는 것을 알고 있습니다. 그러니 약간의 회의론으로 제 모든 부정적인면을 생각해보십시오.


2
감사에 대한 좋은 의견; 읽기 습관에 동의 할 것입니다.) AES CBC 128 비트 암호화와 함께 업계 표준 TLS 프로토콜을 사용
한다고 말하면 두려울

나는 많은 답변에서 "훨씬 더 빠른"논증을 취하는 데 어려움을 겪고있다. AES의 암호화 오버 헤드는 반드시 무시할 수 있어야합니다.
user239558

@ user239558 : IPSec은 패킷을 두 번 캡슐화하므로 OpenVPN에 비해 오버 헤드가 두 배가됩니다.
jupp0r

4
@ jupp0r 이것은 잘못되었습니다. IPsec은 NAT 통과가 활성화 된 상태에서 66B (20B IP, 8B UDP, 38B ESP)의 오버 헤드를 발생시킵니다. OpenVPN은 69B 오버 헤드 (20B IP, 8B UDP, 41B OpenVPN hdr)를 발생시킵니다.
tobias

1
이전 답변이지만 OpenVPN "베어"(예 : 암호화 없음), "약한"(64 비트) 및 "강력한"(AES256 비트)을 사용했으며, 1ms의 차이가 있습니다. 즉 : 아무것도 아니다. ||| Vultr의 단일 스레드 VPS 시스템에서 테스트를 수행했지만 과학 테스트는 아닙니다. 그러나 결론은 같습니다. Xeon을 사용하거나 Xeon에서 가상화하면 아무런 차이가 없습니다. 물론 속도가 올라감에 따라 변경됩니다. 대역폭이 너무 많은 경우 128 비트 AES 또는 인텔 속도 향상 AES를 사용하는 것이 좋습니다.
Apache

18

IPSec에 비해 OpenVPN의 주요 장점 중 하나는 일부 방화벽이 IPSec 트래픽을 통과시키지 않지만 OpenVPN의 UDP 패킷 또는 TCP 스트림이 방해없이 이동할 수 있다는 것입니다.

IPSec이 방화벽을 작동 시키려면 IP 프로토콜 유형 ESP 및 AH의 패킷뿐만 아니라보다 보편적 인 트리오 (TCP, UDP 및 ICMP)의 패킷을 알고 있어야합니다 (또는 방화벽을 무시하고 라우팅해야 함).

물론 다른 회사 환경을 찾을 수도 있습니다. HTTP를 통해 터널링하는 것과 같은 미친 짓을하지 않는 한 IPSec을 통한 OpenVPN 허용은 의도하지 않은 환경에 따라 다릅니다.


5
방화벽 문제가 발생하면 IPSec을 NAT 통과 모드로 전환하여 ESP (프로토콜 50) 대신 UDP / 4500의 패킷을 사용합니다.
MadHatter

3
이것은 OpenVPN의 이점이 아닙니다. MadHatter가 지적한대로 IPsec은 추가 UDP 헤더로 작동 할 수도 있습니다. OpenVPN의 문제점은 표준 (RFC)이 아니며 OpenVPN을 지원하는 제품 (예 : 라우터)이 매우 적다는 것입니다. 예를 들어 OpenVPN을 지원하는 Cisco 라우터가 없습니다. 이 독점 프로토콜에서 볼 수있는 유일한 이점은 설정하기 쉽다는 것입니다.
tobias

13

OpenVPN은 IPsec이 할 수없는 이더넷 계층 터널을 수행 할 수 있습니다. IPv4 액세스 권한 만있는 곳에서 IPv6을 터널링하고 싶기 때문에 이것은 중요합니다. IPsec 으로이 작업을 수행 할 수있는 방법이 있지만 보지 못했습니다. 또한 최신 버전의 OpenVPN에서는 IPv6을 터널링 할 수있는 인터넷 계층 터널을 만들 수 있지만 데비안 스퀴즈 버전에서는이를 수행 할 수 없으므로 이더넷 계층 터널이 잘 작동합니다.

따라서 비 IPv4 트래픽을 터널링하려면 OpenVPN이 IPsec보다 우선합니다.


여기서 IPsec을 통한 L2TP를 사용합니다.
Kenan Sulayman

10

OpenVPN은

설치 및 관리가 훨씬 쉽다고 생각합니다. 완전히 투명한 VPN입니다.

IPsec은 VPN에서 클래식 라우팅에 관한 더 많은 옵션이있는 "전문적인"접근 방식입니다.

점대 점 VPN (1 대 1) 만 원한다면 OpenVPN을 사용하는 것이 좋습니다.

희망이 있습니다 : D


9

ADSL을 통해 인터넷에 연결된 전국 (NZ)의 수십 개의 사이트를 관리 한 경험이 있습니다. 그들은 단일 사이트로가는 IPSec VPN과 함께 작동했습니다.

고객 요구 사항이 변경되었고 두 개의 VPN이 필요했습니다. 하나는 기본 사이트로 가고 다른 하나는 장애 조치 사이트로갑니다. 고객은 두 VPN이 동시에 활성화되기를 원했습니다.

사용중인 ADSL 라우터가이 문제를 해결하지 못했습니다. 하나의 IPSec VPN을 사용하면 문제가 없었지만 두 개의 VPN이 작동하자마자 ADSL 라우터가 재부팅되었습니다. VPN은 사무실 내부의 라우터 뒤에있는 서버에서 시작되었습니다. 공급 업체의 기술자가 라우터를 확인하도록했으며 많은 진단을 공급 업체에 다시 보냈지 만 해결책을 찾지 못했습니다.

OpenVPN을 테스트했지만 아무런 문제가 없었습니다. 관련 비용 (수십 개의 ADSL 라우터 교체 또는 VPN 기술 변경)을 고려하여 OpenVPN으로 변경하기로 결정했습니다.

또한 진단이 더 쉬워졌으며 (OpenVPN이 훨씬 명확함), 광범위하고 광범위한 네트워크에 대한 관리 오버 헤드의 다른 많은 측면이 훨씬 더 쉬웠습니다. 우리는 결코 뒤돌아 보지 않았습니다.


8

사이트 간 VPN에 OpenVPN을 사용하며 훌륭하게 작동합니다. 각 상황에 따라 사용자 정의 가능한 OpenVPN이 얼마나 좋은지 정말 좋아합니다. 내가 가진 유일한 문제는 OpenVPN이 다중 스레드가 아니기 때문에 1 CPU가 처리 할 수있는만큼만 대역폭을 얻을 수 있다는 것입니다. 내가 한 테스트에서 터널을 가로 질러 ~ 375MBits / sec를 문제없이 푸시 할 수있었습니다. 이는 대부분의 사람들에게 충분합니다.


3
OpenVPN의 CPU 사용에 대한 일화적인 증거로서 넷북에서 몇 가지 테스트를 수행했을 때 OpenVPN이 단일 코어 Atom CPU로도 100Mbit / sec 연결을 거의 포화시킬 수 있음을 발견했습니다.
David Spillett

8

Open VPN 사이트 간 (site-to-site)은 IPSEC보다 훨씬 우수합니다. 우리는 MPLS 네트워크에 Open-VPN을 설치 한 클라이언트가 있으며 Blow-fish 128 비트 CBC와 같은보다 빠르고 안전한 암호화를 지원했습니다. 공용 IP를 통해 연결된 다른 사이트에서는 256kbps / 128kbps와 같은 낮은 대역에서도이 연결을 사용했습니다.

그러나 IPSec VTI 인터페이스는 이제 Linux / Unix에서 지원된다는 점을 알려 드리겠습니다. 이를 통해 OpenVPN 사이트 대 사이트 또는 GRE over IPSec과 같은 방식으로 라우팅 가능하고 안전한 터널을 만들 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.