OpenVPN के डाउनसाइड क्या हैं?

29

मैं बहुत से लोगों को हमेशा IPSec, और कई अन्य सुरक्षित वीपीएन तकनीकों के साथ कुश्ती करते देख रहा हूं। मैं, एक के लिए, हमेशा सुंदर और सरल और बहुमुखी परिणामों के साथ, हमेशा OpenVPN का उपयोग किया है। मैंने इसे डीडी-डब्ल्यूआरटी राउटर, बड़े सर्वर और एंड्रॉइड फोन पर इस्तेमाल किया है, कुछ नाम।

क्या कोई मुझे समझा सकता है कि मुझे क्या याद आ रहा है? क्या OpenVPN के बारे में मुझे कोई जानकारी नहीं है? क्या IPSec और दोस्त कुछ ऐसी भयानक सुविधा प्रदान करते हैं जिनके बारे में मुझे नहीं पता था? सभी लोग OpenVPN का उपयोग क्यों नहीं कर रहे हैं?

vpn  ipsec 
user1056
स्रोत

जवाबों:

20

IMHO, OpenVPN के लिए सबसे बड़ा नुकसान यह है कि यह "बड़े नाम" नेटवर्क विक्रेताओं के उत्पादों के विशाल बहुमत के साथ इंटरऑपरेबल नहीं है। सिस्को और जुनिपर की सुरक्षा और राउटर उत्पाद इसका समर्थन नहीं करते हैं - वे केवल IPsec और मालिकाना एसएसएल वीपीएन का समर्थन करते हैं। पालो ऑल्टो, फोर्टिनेट, चेक प्वाइंट, आदि इसका समर्थन नहीं करते हैं, या तो। इसलिए, यदि आपका संगठन / उद्यम किसी साइट-टू-साइट एक्स्ट्रानेट वीपीएन को किसी अन्य कंपनी में सेटअप करना चाहता है और आपको केवल OpenVPN उपकरण मिला है, तो आप शायद किस्मत से बाहर होने वाले हैं।

कहा जा रहा है कि, कुछ नेटवर्क हार्डवेयर और सॉफ्टवेयर कंपनियां OpenVPN को अपनाने लगी हैं। मिक्रोटिक उनमें से एक है। यह RouterOS 3.x के बाद से समर्थित है:

http://wiki.mikrotik.com/wiki/OpenVPN

इसके अलावा, सबसे लंबे समय तक Apple के iOS पर ओपनवीपीएन क्लाइंट चलाने का एकमात्र तरीका है जेलब्रेक। अब ऐसा नहीं है:

https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8

कुल मिलाकर, स्थिति में सुधार हो रहा है। हालांकि, सिस्को और जुनिपर जैसे विक्रेताओं के बिना अपने उत्पादों में इसे लागू करने के बाद, मैं बड़े उद्यमों को इंटरऑपरेबिलिटी की समस्याओं का सामना किए बिना इसे अपनाते हुए नहीं देख सकता।

मार्क कामिचॉफ
स्रोत
साथ ही साथ मिकरोटिक ओपनवीपीएन (और अब में थोड़ी देर के लिए है) pfSense pfsense.org (हालांकि मुझे विश्वास नहीं है कि आप इसके साथ साइट-टू-साइट सुरंग बना सकते हैं, शायद CLI के माध्यम से?
jwbleyley
मुझे नहीं पता था कि उनका OpenVPN IOS ऐप था, याय!
zevlag
6

IPSEC मानक है। लगभग हर नेटवर्किंग विक्रेता इसका समर्थन करता है। आप OpenVPN के साथ राउटर के बीच समान स्तर की इंटरऑपरेबिलिटी हासिल नहीं कर सकते।

जैसा कि डेविड ने कहा, क्लाइंट वीपीएन समाधान के लिए ओपन वीपीएन के साथ कुछ भी गलत नहीं है। साइट के लिए वीपीएन या बुनियादी ढांचे के समाधान के लिए मैं आईपीएसईसी वीपीएन चुनूंगा।

sergejv
स्रोत
5

डाउनसाइड्स में से एक यह है कि कॉर्पोरेट वातावरण में कुछ प्रबंधक खुले स्रोत सॉफ़्टवेयर पर भरोसा करना पसंद नहीं करते हैं।

मैं उपयोगकर्ता वीपीएन समाधान के लिए व्यक्तिगत रूप से OpenVPN के साथ कुछ भी गलत नहीं देखता हूं।

IPSEC को हार्डवेयर (या IPSEC के एन्क्रिप्शन तत्व) में लागू किया जा सकता है और इसलिए यह तब उपयोगी है जब आप किसी वीपीएन पर बहुत अधिक डेटा पुश करना चाहते हैं और अंत उपयोगकर्ता स्टेशनों पर CPU पावर का बलिदान नहीं करना चाहते हैं।

डेविड रोथरा
स्रोत
पूरी तरह से हार्डवेयर IPsec समाधान हैं। हालांकि वे ए) महंगे हैं, और बी) लगभग हमेशा विंडोज़ (सर्वर) मालिकाना है। (एनआईसी [कैवियम] के साथ क्रिप्टो-इन-लाइन, या सीधे निक [इंटेल] में बनाया गया है
रिकी बीम
मैं एएसए की पसंद का अधिक उल्लेख कर रहा था जो कि हार्डवेयर में क्रिप्टो करते हैं।
डेविड रोथरा
मैं एक एनआईसी सोच रहा था जो यह करता है। बहुत सारे राउटर / फ़ायरवॉल हार्डवेयर में इन दिनों क्रिप्टो चिप्स होते हैं। (कुंजी स्टेपअप बहुत महंगा हिस्सा है, 'थियो एनीमिक प्रोसेसर जिसका इस्तेमाल ज्यादातर राउटर्स में किया जाता है, उसे ट्रैफिक के लिए भी इसकी जरूरत होती है)
रिकी बीम
मुझे लगता है कि हार्डवेयर बिंदु में IPSEC IPSEC के लिए एक बड़े पैमाने पर है। OpenVPN हुआ करता था (और मेरा मानना ​​है कि यह अभी भी है, लेकिन मुझे किसी भी तरह से कोई निश्चित दस्तावेज नहीं मिल सकता है) सिंगल थ्रेडेड। एक वाणिज्यिक वीपीएन कंपनी की शुरुआती जांच में सहायता करते हुए, इसे छोड़ दिया गया क्योंकि ओपनवीपीएन काफी तेजी से नहीं जा रहा था। कुछ अंतर्दृष्टि के लिए यह सर्वरफॉल्ट उत्तर देखें (इसके समवर्ती कनेक्शन के बारे में अधिक); serverfault.com/questions/439848/… स्पीड आपके लिए उतनी महत्वपूर्ण नहीं हो सकती है, हम 100Mbps VPNS बेच रहे हैं।
jwbensley
1

  • OpenVPN का एक अधिक सुरक्षित कार्यान्वयन है (उपयोगकर्तास्पेस बनाम कर्नेल)।

  • यह फायरवॉल और NAT के साथ बेहतर काम करता है (NAT-T को सुनिश्चित करने की आवश्यकता नहीं है) और फ़िल्टर करना मुश्किल है।

  • यह एक बहुत कम जटिल है तो IPsec

hyussuf
स्रोत
3
ओपनिंगपीएन
उपयोगकर्ता स्थान कर्नेल स्थान की तुलना में स्वाभाविक रूप से अधिक सुरक्षित नहीं है, और समीक्षा और परीक्षण द्वारा सुरक्षा का सबसे अच्छा निर्णय लिया जाता है - एक कारण के लिए मानकीकृत है।
माइकबकॉक
2
वास्तव में यह है। उपयोगकर्ता-स्पेस में वीपीएन को लागू करना कर्नेल की तुलना में सिस्टम के दृष्टिकोण से अधिक सुरक्षित है। अधिक जानकारी के लिए SSL आधारित VPNS sans.org/reading_room/whitepapers/vpns/… के
hyussuf
यह उत्तर मूल रूप से पोस्ट किए जाने के बाद से चीजें कुछ हद तक विकसित हुई हैं; विशेष रूप से, 2014 में हार्दिक भेद्यता ने दुर्भाग्य से हम सभी को याद दिलाया कि ओपनएसएसएल पर गहरी कमजोरियां पूरे ओपनपीएन को कैसे प्रभावित कर सकती हैं। इसने यह भी प्रदर्शित किया कि यूजर्सस्पेस में चल रहे हमलों को कम महत्वपूर्ण नहीं बनाते हैं, यह देखते हुए कि वीपीएन सॉफ्टवेयर्स के पास अत्यधिक संवेदनशील सामग्री के संपर्क में होने की बहुत अधिक संभावना है, अक्सर वीपीएन की मशीन और / या अन्य मशीनों पर रूट विशेषाधिकार प्राप्त करने के लिए पथ का पता लगाता है। चारों ओर। अंत में, अधिकांश कॉर्पोरेट फ़ायरवॉल समाधान अब डीप पैकेट निरीक्षण के माध्यम से OpenVPN को ब्लॉक करते हैं ...
jwatkins
1

OpenVPN के पास कुछ नियामक प्रमाणपत्र नहीं हैं, जैसे कि 140-2 सपोर्ट।

ए डब्ल्यु एच
स्रोत
1
वास्तव में ओपन वीपीएन के साथ 140-2 समर्थन संभव है। ... ओपन वीपीएन के लिए ओपनस्पीएन और पैच का एक प्रमाणित निर्माण था, इसे प्रमाणित तरीके से उपयोग करने के लिए ... हम वास्तव में ऐसा कर रहे हैं।
जेफ मैक एडम्स
1

OpenVPN के लिए एकमात्र तकनीकी नकारात्मक पहलू यह है कि इसकी तुलना में प्रतियोगियों ने सिस्टम को वीपीएन लिंक में बहुत विलंबता का परिचय दिया है । अद्यतन: मैंने पाया है कि यह OpenVPN के साथ आम तौर पर नहीं बल्कि केवल मेरे परीक्षणों के साथ एक गलती थी। जब OpenVPN टीसीपी प्रोटोकॉल पर चलाया जाता है, तो TCP ओवरहेड्स OpenVPN को थोड़ा धीमा कर देता है। L2TP इंटरऑपरेबिलिटी के लिए निश्चित पोर्ट और प्रोटोकॉल का उपयोग करता है और इसलिए टीसीपी पर इसे चलाने की कोई सुविधा नहीं है। UDP पर Openvpn कई अन्य उपयोगकर्ताओं के लिए तेज़ प्रतीत होता है।

PPTP / L2TP / Ipsec का उपयोग करते समय एकमात्र अन्य लाभ यह है कि मैंने बिना किसी अतिरिक्त क्लाइंट साइड सॉफ्टवेयर को स्थापित किए बिना विंडोज मशीन या iPhone पर सेटअप करना आसान पाया है। YMMV।

आप इस पृष्ठ को पढ़ना चाह सकते हैं

सूरजराम कुमारवेल
स्रोत
1
जहां मैं काम करता हूं, हम OpenVPN का काफी उपयोग करते हैं और इसकी वजह से अतिरिक्त विलंबता चिंताओं से अनजान हैं। क्या आप उस की प्रकृति के बारे में विस्तार से बता सकते हैं?
जेफ़ मैकएडम्स
मैंने दूरस्थ कार्यस्थानों पर सॉफ्टफ़ोन का उपयोग करते समय अपने वीओआईपी सर्वर से कनेक्शन को एन्क्रिप्ट करने की कोशिश करते समय OpenVPN, L2TP और PPTP का परीक्षण किया। मैंने पाया कि ओपनवीपीएन ने सबसे अधिक विलंबता का परिचय दिया और पीपीटीपी सबसे तेज था। आखिरकार मैं L2TP के साथ गया। विलंबता के मुद्दे केवल कुछ खराब 3 जी नेटवर्क पर दिखाई दिए, लेकिन समान नेटवर्क पर भी L2TP ठीक काम करने लगा।
सूरजराम कुमारवेल
Ivpn.net/pptp-vs-l2tp-vs-openvpn पढ़ना मुझे लगता है कि यह मेरे सेटअप के साथ एक विशिष्ट मुद्दा था और सामान्य समस्या नहीं है। मेरी मदद करने के लिए धन्यवाद कि जेफ!
सूरजराम कुमारवेल
1

मैं लगभग हर बार IPSec पसंद करता हूं क्योंकि मैं इससे परिचित हूं और यह हमेशा काम करता है। मानक आधारित होने के कारण, इसका लगभग सभी चीज़ों से समर्थन है, फ़ोन और टैबलेट से लेकर विंडोज और लिनक्स मशीनों तक और इसमें एनएटी सपोर्ट और डेड पीयर डिटेक्शन जैसे उपयोगी फ़ीचर हैं।

FYI करें मैं मुख्य रूप से लिनक्स पर Openswan का उपयोग करता हूं।

IPSec पसंद करने वाले प्रमुख सुरक्षा कारणों में से एक सत्र कुंजी घुमा रहा है। OpenVPN ने इसे लागू किया हो सकता है (लेकिन मैं इसे नहीं देखता)। इसका मतलब यह है कि एक हमलावर जो निष्क्रिय रूप से डेटा को लंबे समय तक कैप्चर करता है, वह संपूर्ण संचार लॉग को एक बार में बल नहीं दे सकता है, लेकिन प्रत्येक व्यक्तिगत सत्र कुंजी के लायक है।

mikebabcock
स्रोत
एक तुलना के रूप में, OpenVPN भी NAT के माध्यम से काम करता है, और पीसी, फोन और टेबल (विंडोज, मैक ओएस एक्स, लिनक्स, बीएसडी, एंड्रॉइड, आईओएस, और इसी तरह) पर समर्थित है।
jwbensley
मेरा मतलब बिल्ट-इन सपोर्ट था, शायद स्पष्ट रूप से @ जवनो
माइकबाकॉक 20
मैं मान रहा हूँ कि आपने कभी OpenVPN का उपयोग नहीं किया है। कोई भी व्यक्ति जिसने OpenVPN और IPsec का उपयोग नहीं किया है, वह IPsec का चयन करेगा क्योंकि यह "बस हमेशा काम करता है"। OpenVPN के सबसे बड़े फायदों में से यह जटिल रूप से कम हुई जटिलता और समस्या निवारण में आसान है। मैंने इसे ऐसे व्यक्ति के रूप में देखा जिसने कुछ साल पहले IPsec से OpenVPN तक सैकड़ों दूरस्थ लिनक्स उपकरणों (ग्राहक साइटों पर रहने वाले) को परिवर्तित किया था। IPsec अच्छा है यदि आपको ऐसी किसी चीज़ से जुड़ना है जिसे आप प्रबंधित नहीं करते / नियंत्रित करते हैं जो केवल IPsec का समर्थन करती है। OpenVPN लगभग हर दूसरे मामले में एक बेहतर विकल्प है।
क्रिस्टोफर कैशेल
0

OpenVPN में एक स्पोकन लेआउट है, इसलिए सभी संचार को मुख्य सर्वर के माध्यम से रूट करना होगा। Tinc-VPN विभिन्न साइटों के बीच रूटिंग कर सकता है। आप इस ब्लॉग को पढ़ सकते हैं: http://www.allsundry.com/2011/04/10/tinc-better-than-openvpn/

पोकर फेस
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.