OpenVPN по сравнению с IPsec - За и против, что использовать?
Попытайтесь переключиться от твердого до мягких флагов монтирования.
Пересмотрите no_root_squash. Это может быть часть проблемы (пользователь, или приложение может злоупотреблять полномочием уничтожить монтирование).
Тщательно ищите предупреждения SELinux любого вида.
Проверьте и посмотрите, существуют ли какие-либо файлы или подкаталоги под точкой монтирования, и используют lsof, чтобы видеть, сохраняет ли любой процесс их открытыми после того, как монтирование потеряно.
Добавьте любое сообщение журнала здесь.
У меня есть вся установка сценариев в моей среде. (openvpn сайт сайта, коммивояжеры; Cisco ipsec сайт сайта, удаленные пользователи)
Безусловно openvpn быстрее. openvpn программное обеспечение - меньше служебное на удаленных пользователях. openvpn/может быть установкой на порте 80 с tcp так, чтобы это передало в местах, которые ограничили бесплатный Интернет. openvpn более стабилен.
Openvpn в моей среде не вызывает политику конечному пользователю. Распределение ключа Openvpn немного более трудно сделать надежно. Пароли ключа Openvpn возросли конечным пользователям (у них могут быть пустые пароли). Openvpn не утвержден определенными аудиторами (те, которые только читают плохие торговые обрывки). Openvpn берет определенные мозги для установки (в отличие от Cisco).
Это - мой опыт с openvpn: Я знаю, что большинство моих отрицательных сторон может быть облегчено или посредством изменений конфигурации или посредством изменений процесса. Поэтому возьмите все мои отрицательные стороны с небольшим количеством скептицизма.
Одно главное преимущество OpenVPN по IPSec - то, что некоторые брандмауэры не пропускают трафик IPSec, но действительно позволяют пакетам UDP OpenVPN или потоковому перемещению TCP без помехи.
Чтобы IPSec функционировал Ваш брандмауэр или должен знать (или должен проигнорировать, и направить, не зная, что это) пакеты типов протокола IP ESP и AH, а также более вездесущее трио (TCP, UDP и ICMP.
Конечно, Вы могли бы найти некоторые корпоративные среды наоборот: IPSec разрешения через, но не OpenVPN, если Вы не делаете что-то сумасшедшее как туннелирование его через HTTP, таким образом, это зависит от Ваших намеченных сред.
OpenVPN
намного легче администрировать установку и использование, по-моему.. Его полностью прозрачная VPN, которую я люблю...
IPsec является больше "профессиональным" подходом со значительно большим количеством опций относительно классической маршрутизации в vpns..
Если бы Вы хотите просто точку - к - указывают на vpn (1 к 1), я предложил бы использовать OpenVPN
Надежда это Помогает :D
Я использую OpenVPN для от сайта к сайту VPN, и это работает отлично. Я действительно люблю, как настраиваемый OpenVPN для каждой ситуации. Единственная проблема, которую я имел, - то, что OpenVPN не является многопоточным, поэтому можно только получить столько пропускной способности, сколько 1 ЦП может обработать. Тестирование, которое я сделал, мы смогли продвинуть ~375 Мбит/с через туннель без проблем, который является более чем достаточно для большинства людей.
-
1Как более неподтвержденная информация на ЦП используют OpenVPN: когда я выполнил несколько тестов на нетбуке, я нашел, что OpenVPN мог почти (но не совсем) насыщают 100Mbit/sec соединение даже только одножильным Atom ЦП. – David Spillett 17 November 2010 в 16:33
OpenVPN может сделать туннели уровня Ethernet, которые не может сделать IPsec. Это важно для меня, потому что я хочу туннелировать IPv6 отовсюду, который имеет только доступ IPv4. Возможно, существует способ сделать это с IPsec, но я не видел его. Кроме того, в более новой версии OpenVPN Вы сможете сделать туннели интернет-слоя, которые могут туннелировать IPv6, но версия в сжатии Debian не может сделать этого, таким образом, туннель уровня Ethernet работает приятно.
Таким образом, если Вы хотите туннелировать трафик не-IPv4, победы OpenVPN над IPsec.
У меня был некоторый опыт управления десятками сайтов по всей стране (Новой Зеландии), каждый из которых подключается к Интернету через ADSL. Они работали с IPSec VPN, идущей к одному сайту.
Требования клиентов изменились, и им потребовалось иметь две VPN, одна для основного сайта, а другая для аварийного сайта. Заказчик хотел, чтобы обе сети VPN были активны одновременно.
Мы обнаружили, что используемые маршрутизаторы ADSL не справлялись с этим. С одной IPSec VPN все было в порядке, но как только были подключены две VPN, маршрутизатор ADSL перезагрузился. Обратите внимание, что VPN был инициирован с сервера внутри офиса за маршрутизатором. Мы попросили технических специалистов поставщика проверить маршрутизаторы, и они отправили поставщику множество диагностических данных, но исправления не нашли.
Мы протестировали OpenVPN, и проблем не было. Учитывая связанные с этим затраты (заменить десятки маршрутизаторов ADSL или изменить технологию VPN), было решено перейти на OpenVPN.
Мы также обнаружили, что диагностика стала проще (OpenVPN намного понятнее), и многие другие аспекты накладных расходов на управление для такой большой и широко распространенной сети были намного проще. Мы никогда не оглядывались назад.
Межсайтовый открытый VPN намного лучше IPSEC. У нас есть клиент, для которого мы установили Open-VPN в сети MPLS, который отлично работал и поддерживал более быстрое и безопасное шифрование, такое как Ударная рыба 128 бит CBC. На другом сайте, который подключен через общедоступный IP-адрес, мы также использовали это соединение с низкой пропускной способностью, такой как 256 кбит / с / 128 кбит / с.
Однако позвольте мне указать, что интерфейсы IPSec VTI теперь поддерживаются в Linux / Unix. Это позволяет создавать маршрутизируемые и безопасные туннели почти так же, как OpenVPN site to site или GRE over IPSec.