OpenVPN vs. IPsec - Prós e contras, o que usar?

Curiosamente, não encontrei bons resultados de pesquisa ao pesquisar "OpenVPN vs IPsec". Então aqui está a minha pergunta:

Preciso configurar uma LAN privada em uma rede não confiável. E, tanto quanto eu sei, ambas as abordagens parecem válidas. Mas não sei qual é o melhor.

Ficaria muito grato se você puder listar os prós e contras de ambas as abordagens e talvez suas sugestões e experiências sobre o que usar.

Atualização (em relação ao comentário / pergunta):

No meu caso concreto, o objetivo é ter qualquer número de servidores (com IPs estáticos) conectados de forma transparente. Mas uma pequena porção de clientes dinâmicos como "guerreiros da estrada" (com IPs dinâmicos) também deve poder se conectar. O objetivo principal é, no entanto, ter uma "rede segura transparente" executada em cima da rede não confiável. Eu sou um novato, então não sei como interpretar corretamente "1: 1 conexões ponto a ponto" => A solução deve oferecer suporte a transmissões e todo esse material, para que seja uma rede totalmente funcional.

Eu tenho todos os cenários configurados no meu ambiente. (site-site openvpn, guerreiros em estradas; site-site Cisco ipsec, usuários remotos)

De longe, o openvpn é mais rápido. O software openvpn é menos sobrecarregado para os usuários remotos. O openvpn é / pode ser configurado na porta 80 com tcp, para que ele passe em locais com Internet gratuita limitada. O openvpn é mais estável.

Openvpn no meu ambiente não força a política para o usuário final. A distribuição de chaves Openvpn é um pouco mais difícil de fazer com segurança. As senhas de chave Openvpn dependem dos usuários finais (eles podem ter senhas em branco). O Openvpn não é aprovado por certos auditores (aqueles que apenas lêem más notícias). O Openvpn requer um pouco de inteligência para ser configurado (ao contrário do Cisco).

Esta é minha experiência com o openvpn: eu sei que a maioria dos meus negativos pode ser aliviada por meio de alterações na configuração ou no processo. Então pegue todos os meus negativos com um pouco de ceticismo.

Uma vantagem importante do OpenVPN sobre o IPSec é que alguns firewalls não permitem o tráfego do IPSec, mas permitem que os pacotes UDP ou fluxos TCP do OpenVPN viajem sem impedimentos.

Para que o IPSec funcione, seu firewall precisa estar ciente (ou precisa ignorar e rotear sem saber o que é) pacotes dos tipos de protocolo IP ESP e AH, além do trio mais onipresente (TCP, UDP e ICMP).

É claro que você pode encontrar alguns ambientes corporativos ao contrário: permitir o IPSec através do OpenVPN, a menos que você faça algo louco como encapsulá-lo via HTTP, portanto depende dos ambientes pretendidos.

O OpenVPN pode fazer túneis da camada Ethernet, o que o IPsec não pode fazer. Isso é importante para mim, porque quero encapsular o IPv6 de qualquer lugar que possua apenas acesso IPv4. Talvez haja uma maneira de fazer isso com o IPsec, mas eu não o vi. Além disso, em uma versão mais recente do OpenVPN, você poderá criar túneis da camada da Internet que podem encapsular o IPv6, mas a versão no squeeze do Debian não pode fazer isso, portanto, um túnel da camada Ethernet funciona bem.

Portanto, se você deseja encapsular tráfego não IPv4, o OpenVPN ganha sobre o IPsec.

OpenVPN é

muito mais fácil de administrar a instalação e usar na minha opinião .. Sua VPN totalmente transparente, que eu amo ...

O IPsec é mais uma abordagem "profissional", com muito mais opções em relação ao roteamento clássico dentro de vpns.

Se você quiser apenas um ponto a ponto vpn (1 a 1), sugiro usar o OpenVPN

Espero que isso ajude: D

Tive alguma experiência com o gerenciamento de dezenas de sites em todo o país (NZ), cada um se conectando à Internet via ADSL. Eles estavam operando com a VPN IPSec indo para um único site.

O requisito dos clientes mudou e eles precisavam ter duas VPNs, uma indo para o site principal e a outra para um site de failover. O cliente queria que as duas VPNs estivessem ativas ao mesmo tempo.

Descobrimos que os roteadores ADSL em uso não estavam lidando com isso. Com uma VPN IPSec, eles estavam bem, mas assim que duas VPNs foram ativadas, o roteador ADSL foi reiniciado. Observe que a VPN foi iniciada a partir de um servidor dentro do escritório, atrás do roteador. Contamos com técnicos do fornecedor para verificar os roteadores e eles enviaram muitos diagnósticos de volta ao fornecedor, mas nenhuma correção foi encontrada.

Testamos o OpenVPN e não houve problemas. Considerando os custos envolvidos (substitua dezenas de roteadores ADSL ou altere a tecnologia VPN), foi decidido mudar para o OpenVPN.

Também achamos o diagnóstico mais fácil (o OpenVPN é muito mais claro) e muitos outros aspectos da sobrecarga de gerenciamento para uma rede tão grande e difundida eram muito mais fáceis. Nós nunca olhamos para trás.

Eu uso o OpenVPN para uma VPN site a site e funciona muito bem. Eu realmente amo como o OpenVPN é personalizável para cada situação. O único problema que tive foi que o OpenVPN não é multithread, portanto, você só pode obter a largura de banda que uma CPU pode suportar. Nos testes que fiz, conseguimos passar por ~ 375 MBits / s através do túnel sem problemas, o que é mais do que suficiente para a maioria das pessoas.

O VPN aberto site a site é muito melhor que o IPSEC. Temos um cliente para quem instalamos o Open-VPN em uma rede MPLS que funcionou bem e suportou criptografia mais rápida e segura, como o Blow-fish 128 bits CBC. Em outro site conectado via IP público, usamos essa conexão também em baixa largura de banda, como 256kbps / 128kbps.

No entanto, deixe-me salientar que as interfaces IPSec VTI agora são suportadas no Linux / Unix. Isso permite que você crie túneis roteáveis ​​e seguros da mesma maneira que o site OpenVPN para site ou GRE sobre IPSec.