OpenVPN vs. IPsec - Avantages et inconvénients, que faut-il utiliser ?

J'ai mis en place tous les scénarios dans mon environnement. (openvpn site-site, road warriors ; cisco ipsec site-site, utilisateurs distants)

L'openvpn est de loin plus rapide. Le logiciel openvpn est moins lourd pour les utilisateurs distants. L'openvpn est/peut être configuré sur le port 80 avec tcp de sorte qu'il passe dans les endroits où l'Internet gratuit est limité. L'openvpn est plus stable.

Openvpn dans mon environnement ne force pas la politique à l'utilisateur final. La distribution des clés Openvpn est un peu plus difficile à réaliser de manière sécurisée. Les mots de passe des clés Openvpn sont laissés à la discrétion des utilisateurs finaux (ils peuvent avoir des mots de passe vides). Openvpn n'est pas approuvé par certains auditeurs (ceux qui ne lisent que les mauvais torchons). La configuration d'Openvpn demande un peu d'intelligence (contrairement à Cisco).

C'est mon expérience avec openvpn : Je sais que la plupart de mes points négatifs peuvent être atténués en modifiant la configuration ou le processus. Prenez donc tous mes points négatifs avec un peu de scepticisme.

L'un des principaux avantages d'OpenVPN par rapport à IPSec est que certains pare-feu ne laissent pas passer le trafic IPSec mais laissent les paquets UDP ou les flux TCP d'OpenVPN circuler sans entrave.

Pour qu'IPSec fonctionne, votre pare-feu doit connaître (ou doit ignorer et acheminer sans savoir de quoi il s'agit) les paquets des types de protocole IP ESP et AH ainsi que le trio plus omniprésent (TCP, UDP et ICMP).

Bien sûr, certains environnements d'entreprise peuvent être à l'opposé : ils autorisent le passage d'IPSec mais pas celui d'OpenVPN, à moins que vous ne fassiez quelque chose de fou comme le tunnelage via HTTP, donc tout dépend des environnements auxquels vous vous destinez.

OpenVPN peut faire des tunnels de la couche Ethernet, ce que IPsec ne peut pas faire. C'est important pour moi car je veux créer des tunnels IPv6 à partir d'un endroit qui n'a qu'un accès IPv4. Il existe peut-être un moyen de faire cela avec IPsec, mais je ne l'ai pas vu. De plus, dans une version plus récente d'OpenVPN, vous serez en mesure de créer des tunnels de couche Internet qui peuvent tunneler IPv6, mais la version dans Debian Squeeze ne peut pas le faire, donc un tunnel de couche Ethernet fonctionne bien.

Donc, si vous voulez tunneliser le trafic non-IPv4, OpenVPN l'emporte sur IPsec.

OpenVPN est

beaucoup plus facile à administrer, à configurer et à utiliser, à mon avis. Son VPN est totalement transparent, ce que j'adore...

IPsec est plus une approche "professionnelle" avec beaucoup plus d'options concernant le routage classique au sein des vpns .

Si vous voulez juste un vpn point à point (1 à 1), je vous suggère d'utiliser l'OpenVPN.

J'espère que cela vous aidera :D

J'avais une certaine expérience de la gestion de dizaines de sites dans tout le pays (NZ), chacun se connectant à l'Internet via l'ADSL. Ils fonctionnaient avec un VPN IPSec vers un seul site.

Les besoins du client ont changé et il a fallu mettre en place deux VPN, l'un vers le site principal et l'autre vers un site de secours. Le client voulait que les deux VPN soient actifs en même temps.

Nous avons constaté que les routeurs ADSL utilisés ne faisaient pas le poids. Avec un VPN IPSec, tout allait bien, mais dès que deux VPN étaient mis en place, le routeur ADSL redémarrait. Notez que le VPN était initié à partir d'un serveur situé dans le bureau, derrière le routeur. Nous avons demandé aux techniciens du fournisseur de vérifier les routeurs et ils ont renvoyé de nombreux diagnostics au fournisseur, mais aucune solution n'a été trouvée.

Nous avons testé OpenVPN et il n'y a eu aucun problème. Après avoir examiné les coûts impliqués (remplacer des dizaines de routeurs ADSL ou changer de technologie VPN), il a été décidé de passer à OpenVPN.

Nous avons également constaté que les diagnostics étaient plus faciles (OpenVPN est beaucoup plus clair) et que de nombreux autres aspects de la gestion d'un réseau aussi vaste et étendu étaient beaucoup plus simples. Nous n'avons jamais regardé en arrière.