OpenVPN बनाम IPsec - पेशेवरों और विपक्ष, क्या उपयोग करना है?

दिलचस्प है कि मुझे "OpenVPN बनाम IPsec" की खोज करते समय कोई अच्छा खोज परिणाम नहीं मिला है। तो यहाँ मेरा सवाल है:

मुझे एक अविश्वसनीय नेटवर्क पर एक निजी लैन स्थापित करने की आवश्यकता है। और जहाँ तक मुझे पता है, दोनों दृष्टिकोण मान्य प्रतीत होते हैं। लेकिन मुझे नहीं पता कि कौन सा बेहतर है।

यदि आप दोनों दृष्टिकोणों और शायद आपके सुझावों और अनुभवों को सूचीबद्ध कर सकें कि क्या उपयोग करना है, तो मैं बहुत आभारी हूं।

अद्यतन (टिप्पणी / प्रश्न के बारे में):

मेरे ठोस मामले में, लक्ष्य किसी भी संख्या में सर्वर (स्थिर आईपी के साथ) पारदर्शी रूप से एक दूसरे से जुड़ा होना है। लेकिन "सड़क योद्धाओं" (गतिशील आईपी के साथ) जैसे गतिशील ग्राहकों का एक छोटा हिस्सा भी कनेक्ट करने में सक्षम होना चाहिए। मुख्य लक्ष्य हालांकि अविश्वसनीय नेटवर्क के शीर्ष पर "पारदर्शी सुरक्षित नेटवर्क" है। मैं काफी नौसिखिया हूं इसलिए मुझे नहीं पता कि "1: 1 प्वाइंट टू प्वाइंट कनेक्शंस" की सही ढंग से व्याख्या कैसे करें => समाधान को प्रसारण और उस सभी सामान का समर्थन करना चाहिए ताकि यह पूरी तरह कार्यात्मक नेटवर्क हो।

मेरे पास मेरे वातावरण में सभी परिदृश्य सेटअप हैं। (ओपनवीपीएन साइट-साइट, सड़क योद्धा; सिस्को ipsec साइट-साइट, दूरस्थ उपयोगकर्ता)

अब तक ओपेनवैन तेज है। दूरस्थ उपयोगकर्ताओं पर Openvpn सॉफ़्टवेयर कम ओवरहेड है। Openvpn को tcp के साथ पोर्ट 80 पर सेटअप किया जा सकता है, ताकि यह उन जगहों पर से गुजरे जहाँ सीमित इंटरनेट है। Openvpn अधिक स्थिर है।

मेरे वातावरण में Openvpn अंतिम उपयोगकर्ता के लिए नीति को बाध्य नहीं करता है। Openvpn कुंजी वितरण सुरक्षित रूप से करने के लिए थोड़ा कठिन है। Openvpn कुंजी पासवर्ड अंतिम उपयोगकर्ताओं तक हैं (वे खाली पासवर्ड हो सकते हैं)। Openvpn को कुछ ऑडिटरों द्वारा अनुमोदित नहीं किया जाता है (जो कि केवल खराब ट्रेड रीड पढ़ते हैं)। Openvpn सेटअप करने के लिए (सिस्को के विपरीत) दिमाग का थोड़ा सा लेता है।

यह ओपनवीपीएन के साथ मेरा अनुभव है: मुझे पता है कि मेरे अधिकांश नकारात्मक को कॉन्फ़िगरेशन परिवर्तन या प्रक्रिया परिवर्तनों के माध्यम से कम किया जा सकता है। इसलिए मेरी सभी नकारात्मकताओं को थोड़ा संदेह के साथ लें।

IPSec पर OpenVPN का एक प्रमुख लाभ यह है कि कुछ फ़ायरवॉल IPSec को ट्रैफ़िक के माध्यम से नहीं जाने देते हैं, लेकिन OpenVPN के UDP पैकेट या TCP स्ट्रीम को बिना बाधा के यात्रा करने देते हैं।

IPSec के लिए आपके फ़ायरवॉल को कार्य करने के लिए या तो पता होना चाहिए (या यह जानने के बिना अनदेखा करने की आवश्यकता है कि क्या है) IP प्रोटोकॉल के पैकेट ESP और AH के साथ-साथ अधिक सर्वव्यापी तिकड़ी (TCP, UDP और ICMP)।

निश्चित रूप से आपको कुछ कॉर्पोरेट वातावरण मिल सकते हैं, जैसे कि IPSec के माध्यम से, लेकिन OpenVPN के माध्यम से, जब तक कि आप इसे HTTP के माध्यम से सुरंग बनाने जैसा कुछ नहीं करते, तो यह आपके इच्छित वातावरण पर निर्भर करता है।

OpenVPN इथरनेट-लेयर टनल कर सकता है, जो IPsec नहीं कर सकता है। यह मेरे लिए महत्वपूर्ण है क्योंकि मैं IPv6 को कहीं से भी सुरंग बनाना चाहता हूं जिसमें केवल IPv4 पहुंच हो। शायद IPsec के साथ ऐसा करने का एक तरीका है, लेकिन मैंने इसे नहीं देखा है। इसके अलावा, OpenVPN के एक नए संस्करण में आप इंटरनेट-लेयर सुरंगों को बनाने में सक्षम होंगे जो IPv6 को टनल कर सकते हैं, लेकिन डेबियन निचोड़ में संस्करण ऐसा नहीं कर सकता है, इसलिए ईथरनेट-लेयर सुरंग अच्छी तरह से काम करती है।

इसलिए यदि आप गैर-आईपीवी 4 यातायात को सुरंग करना चाहते हैं, तो ओपन वीपीएन आईपीसीईसी पर जीतता है।

OpenVPN है

मेरी राय में सेट-अप और उपयोग को प्रबंधित करना बहुत आसान है .. इसकी पूरी तरह पारदर्शी वीपीएन, जो मुझे पसंद है ...

IPsec vpns के भीतर शास्त्रीय मार्ग के बारे में कई और विकल्पों के साथ एक "पेशेवर" दृष्टिकोण है।

अगर आप सिर्फ एक बिंदु से लेकर एक बिंदु वीपीएन (1-टू -1) चाहते हैं, तो मैं ओपनवीपीएन का उपयोग करने का सुझाव दूंगा

आशा है कि यह मदद करता है: डी

मुझे देश भर में दर्जनों साइटों (एनजेड) के साथ ADSL के माध्यम से इंटरनेट से जुड़ने का कुछ अनुभव था। वे IPSec वीपीएन के साथ एक ही साइट पर जा रहे थे।

ग्राहकों की आवश्यकता बदल गई और उन्हें दो वीपीएन की आवश्यकता थी, जिनमें से एक मुख्य साइट पर जा रहा था और दूसरा असफल स्थल पर जा रहा था। ग्राहक चाहते थे कि दोनों वीपीएन एक ही समय में सक्रिय हों।

हमने पाया कि ADSL राउटर उपयोग में नहीं थे। एक IPSec वीपीएन के साथ वे ठीक थे लेकिन जैसे ही दो वीपीएन को लाया गया ADSL राउटर को रिबूट किया गया। ध्यान दें कि वीपीएन को राउटर के पीछे कार्यालय के अंदर एक सर्वर से शुरू किया गया था। हमने राउटर की जांच करने के लिए आपूर्तिकर्ता से तकनीशियन प्राप्त किए और उन्होंने कई डायग्नोस्टिक्स को विक्रेता को वापस भेजा लेकिन कोई फिक्स नहीं मिला।

हमने ओपनवीपीएन का परीक्षण किया और कोई समस्या नहीं थी। इसमें शामिल लागतों पर विचार (दर्जनों ADSL राउटरों को बदलने या वीपीएन तकनीक को बदलने के लिए) को ओपनवीपीएन में बदलने का निर्णय लिया गया।

हमने डायग्नोस्टिक्स को भी आसान पाया (OpenVPN बहुत स्पष्ट है) और इतने बड़े और व्यापक नेटवर्क के लिए प्रबंधन के कई अन्य पहलू बहुत आसान थे। हमने कभी पीछे मुड़कर नहीं देखा।

मैं साइट-टू-साइट वीपीएन के लिए ओपनवीपीएन का उपयोग करता हूं और यह बहुत अच्छा काम करता है। मैं वास्तव में प्यार करता हूं कि प्रत्येक स्थिति के लिए ओपनवीपीएन कितना अनुकूलन योग्य है। एकमात्र मुद्दा जो मेरे पास है वह यह है कि ओपनवीपीएन मल्टीथ्रेडेड नहीं है, इसलिए आप केवल उतना ही बैंडविड्थ प्राप्त कर सकते हैं जितना 1 सीपीयू संभाल सकता है। मैंने जो परीक्षण किया है, हम बिना किसी समस्या के सुरंग के पार ~ 375 MBits / sec को धकेलने में सक्षम हैं, जो कि अधिकांश लोगों के लिए पर्याप्त से अधिक है।

IPSEC पर ओपन वीपीएन साइट-टू-साइट बहुत बेहतर है। हमारे पास एक क्लाइंट है जिसके लिए हमने एमपीएलएस नेटवर्क में ओपन-वीपीएन स्थापित किया है जो ठीक काम करता है और ब्लो-फिश 128 बिट सीबीसी जैसे तेज और अधिक सुरक्षित एन्क्रिप्शन का समर्थन करता है। एक अन्य साइट पर जो सार्वजनिक आईपी के माध्यम से जुड़ा हुआ है, हमने इस कनेक्शन का उपयोग कम बैंडवाइट जैसे 256kbps / 128kbps में किया है।

हालाँकि मुझे यह बताना चाहिए कि IPSec VTI इंटरफेस अब लिनक्स / यूनिक्स में समर्थित हैं। यह आपको IPSec की साइट या GRE पर OpenVPN साइट की तरह ही नियमित और सुरक्षित सुरंग बनाने की अनुमति देता है।