В чем разница между VPN между сайтами AWS и VPN клиента AWS?
Я знаю, что site-to-site использует IPSec (уровень 3), но клиент использует TLS (уровень приложения). После прочтения статей / документов в Интернете кажется, что оба на самом деле являются межсайтовыми VPN.
Думаю, протокол (IPSec против TLS) - их единственное различие, которое влияет на то, когда вы будете использовать какой из них. Я предполагаю, что оба одинаково хороши, и вы всегда должны использовать TLS на уровне приложения, даже поверх клиентской VPN.
Как вы решаете, какой из них использовать и почему?
В общем, протокол тут не при чем. У вас могут быть туннели IPSec в конфигурациях site-to-site или client (также известный как road warrior ), как и у вас. OpenVPN (TLS) туннели в обеих конфигурациях site-to-site или клиент . Это вопрос конфигурации и назначения, а не используемого протокола.
Site-to-Site VPN
- обычно 1-к-1 конфигурации
- обе стороны в целом имеют одинаковую конфигурацию
- обе стороны имеют фиксированный IP-адрес
- любая сторона может инициировать или перезапускать соединение
- у обоих обычно есть сеть (например, соединены две офисные сети)
- вы можете запустить протокол маршрутизации (BGP, OSPF, ...) через туннель
- , по которому сети могут связываться в обе стороны
VPN-клиент-сайт
- обычно N-к-1 конфигурации, с N клиентами, подключающимися к 1 серверу
- конфигурации сервера и клиента различаются
- клиентам не нужен фиксированный IP-адрес
- только клиенты инициируют соединения (поскольку сервер не знает текущий IP-адрес клиента)
- клиент обычно представляет собой всего лишь один портативный компьютер без сеть за ним
- маршрутизация разрешает только один IP-адрес для каждого клиента, без поддержки BGP или OSPF
- разрешено подключение только клиента к сайту за сервером, обычно Если сайт не может инициировать соединение с клиентом
В этом примерно разница между VPN сайта с сайтом и клиентом с сайтом.
В AWS VPN-шлюз использует протокол IPsec , а Client VPN использует протокол OpenVPN , но именно так AWS реализовала услуги . Однако в целом вполне возможно использовать любой протокол в любой настройке.
Надеюсь, что это поможет :)
в любом случае вы всегда должны использовать TLS на уровне приложений, даже поверх клиентской VPN.
TLS - это протокол, который имеет множество различных применений. Наиболее распространен протокол HTTPS, но его используют и многие другие протоколы, поскольку это стандартный способ шифрования сетевого трафика. Это уровень приложения.
В AWS Client VPN он используется на один уровень ниже - для шифрования фактического трафика сетевого уровня (уровень 3), независимо от того, что проходит через туннель. Они решили использовать TLS, потому что это стандартный хорошо известный протокол.
Amazon могла бы реализовать Client VPN с IPsec или даже изобрести собственный протокол, но они выбрали TLS, потому что это проверенная технология.
И да, вы действительно можете использовать HTTPS через эту VPN, которая технически является TLS через TLS, но с другими конечными точками и сертификатами.
Я знаю, что между сайтами используется IPSec (уровень 3),
Это действительно так.
но клиент использует TLS (уровень приложений).
Не знаете, где вы это читаете? документация , похоже, указывает на то, что клиентская VPN AWS основана на openvpn
OpenVPN использует TLS для согласования, но не использует его для фактических данных.
Похоже, что оба фактически являются vpns между сайтами после прочтения статей / документов в Интернете.
Openvpn способен выполнять задачи VPN и между клиентскими компьютерами, и между сайтами, но AWS, похоже, использует его в качестве клиентского VPN, я не вижу в документации ничего, что позволило бы вам скажем, выделить целый сетевой блок для отдельного VPN-клиента.
Конечно, вы можете запустить NAT на VPN-клиенте, чтобы все устройства, находящиеся за ним, могли использовать VPN, но это не будет использовать службу по назначению.
Я полагаю, что протокол (IPSec против TLS) является их единственной разницей.
Сети VPN между сайтами и клиентом имеют разные приоритеты, что приводит к разным типичным вариантам протоколов.
Проблема с ipsec в том, что он был разработан в эпоху до повсеместного NAT. В результате он работает непосредственно поверх IP и не имеет ничего похожего на номера портов TCP / UDP, которые NAT могут использовать для устранения неоднозначности нескольких клиентских сеансов.
Таким образом, использование IPsec VPN из-за NAT - рискованное предложение. Он может не работать вообще или, что более коварно, работать, но только для одного клиента за раз.
Для VPN между сайтами это обычно не имеет большого значения,ваше пограничное устройство, скорее всего, будет иметь общедоступный IPv4 от постоянного поставщика услуг Интернета.
Для мобильного клиента это большая проблема. Поэтому использование решения VPN, которое работает поверх UDP или даже TCP (openvpn может делать то же самое, я не уверен, какую конфигурацию использует Amazon), вероятно, хорошая идея. Даже если он менее эффективен.