URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 39681
[ Назад ]

Исходное сообщение
"FreeSwan и OpenVPN"

Отправлено klez , 23-Янв-04 11:07 
Подскажите что лучше из этиз двух?
Каккие плюсы и минусы?

Содержание

Сообщения в этом обсуждении
"FreeSwan и OpenVPN"
Отправлено Михаил , 25-Янв-04 19:49 
>Подскажите что лучше из этиз двух?
>Каккие плюсы и минусы?

OpenVPN
плюсы:
1) единый продукт от одной команды разработчиков.
2) многоплатформенность, вплоть до виндов.
3) унифицированная настройка, т.е. опции конфига почти одинаковые для всех ОС
4) простота настройки
5) хорошая документация в комплекте и на сайте производителя. другой документации искать не приходится...
6) не требует больших накладных расходов по ширине канала, собственно, у меня заметить их вообще не получилось...
7) позволяет сжимать данные перед передачей и разжимать при приеме.
правда, сжатие не особо сильное, но хорошо сжимающиеся данные жмет до 2 раз и более (для справки, rar эти же данные жмет в семь раз).
8) работает поверх обычного протокола UDP (в новых версиях еще и через TCP/IP) и использует только один порт, что не создает проблем с пропусканием туннеля через файерволлы и т.п.

минусы:
1) не очень большая производительность в локальной сети. у меня не получалось передавать через туннель больше 1 Мбайт/сек данных (либо 2 Мбайт/сек, если включено сжатие, но тогда поток данных через сеть был опять же 1 Мбайт/сек). с чем связано - непонятно, процессоры оконечных машин грузит заметно, но далеко не полностью, памяти тоже достаточно.
2) позволяет создавать только соединения точка-точка.

но эти минусы не очень страшны:
1) так как обычно защищают каналы, проходящие через интернет (а подключения быстрее 1Мбайт/сек встречаются крайне редко), то скорость шифрования не будет ограничивать производительность канала.
2) обычно количество соединяемых сетей невелико и ничто не мешает создать несколько туннелей, допустим, от центрального офиса в филиалы, или вообще между всеми сетями.

касательно ipsec:
минусы:
1) абсолютно разные реализации для разных ОС.
2) ограниченная кроссплатформенность. не любой вариант ipsec может заработать с любым другим вариантом, либо заработает но не полноценно.
3) документация не полна, не точна, сильно разбросана по интернету.
частенько в ней речь идет о разных вариантах работы ipsec, без указаниия о каком именно варианте идет речь. как следствие - в разных источниках можно найти даже противоречивые сведения.
4) настройка сложна и совершенно различна для разных ОС.
5) использует не только стандарные ip-протоколы, но и дополнительные, что создает проблемы с пропусканием туннеля через файрволл.
6) соединение не устанавливается автоматически при получении первого пакета с другой стороны, вместо этого используется довольно сложная процедура установления соединения.
7) неусточивое соединение. бывают случаи, когда соединение не восстанавливается, когда перегружается компьютер на одной из сторон туннеля.
8) применительно к Линуксу (FreeSWAN) - требует наложения патчей на ядро, отсда сильная привязка к текущей версии ядра.

плюсы (для меня они все лишь умозрительны, практического подтверждения не нашел):
1) считается, что ipsec имеет самое сильное шифрование среди всех vpn. правда, это преимущество сильно ослабляется возможностью существования ошибок в реализации всех внутренних протоколов.
2) я встречал упоминания, что на базе ipsec можно создать не только туннели точка-точка, но и "облако", т.е. сеть поверх сети.


как уже видно по моим комментариям, я сам всецело за OpenVPN.

PS. все написанное явлется ИМХО, если меня кто-то поправит или даже опровергнет - буду только рад.


"FreeSwan и OpenVPN"
Отправлено klez , 03-Фев-04 00:39 
Кстати freeswan без особых проблем утановливаеться на ред нат 9 проще не бывает а вот пересел я на альт мастер 2.2 вот тут та у меня "хвост" и прижался :(
Как я понял при установки особых проблем не было???
На что ставили???

"FreeSwan и OpenVPN"
Отправлено MrKooll , 13-Фев-04 20:39 
>Кстати freeswan без особых проблем утановливаеться на ред нат 9 проще не
>бывает а вот пересел я на альт мастер 2.2 вот тут
>та у меня "хвост" и прижался :(

В Master 2.2 freeswan включен в ядро и работает без проблем. Обращайтесь в рассылку ALTLinux я помогу если что не получается.

Можно найти меня в jabber mrkooll@jabber.pibhe.com

>Как я понял при установки особых проблем не было???
>На что ставили???



"FreeSwan и OpenVPN"
Отправлено MrKooll , 13-Фев-04 20:37 
Плюсов у тебя маловато что-то для IPSec.

>касательно ipsec:
>минусы:
>1) абсолютно разные реализации для разных ОС.
>2) ограниченная кроссплатформенность. не любой вариант ipsec может заработать с любым другим
>вариантом, либо заработает но не полноценно.

Начнем с того что IPSec это стандарт IETF. Что хоть почти все реализации придерживаются стандартов связать их не всегда просто это правда. Но к винде и кошке привязывается без проблем.

>3) документация не полна, не точна, сильно разбросана по интернету.
>частенько в ней речь идет о разных вариантах работы ipsec, без указаниия
>о каком именно варианте идет речь. как следствие - в разных
>источниках можно найти даже противоречивые сведения.

Теперь о документации. На английском ее навалом. И в документации о FreeS/WAN я противоречивости не заметил. Если вы искали на форумах документацию или статьи на русском непонятного качества тогда может так и есть. Я знаю только введение на www.securitylab.ru

>4) настройка сложна и совершенно различна для разных ОС.

В настройке ничего сложного и она очень хорошо документирована.

>5) использует не только стандарные ip-протоколы, но и дополнительные, что создает проблемы
>с пропусканием туннеля через файрволл.

Дополнительные протоколы это AH и ESP?
Для начала AH не рекомендован к использованию. Кроме того проблемы могут быть только одни - нельзя пускать IPSec через NAT, а то не будет сходится контрольная сумма пакета. В остальном он полностью прозрачен (при работе в туннельном режиме, а не в транспортном). Кроме того через NAT можно пустить IPSec но не рекомендуется т.к. снижается защищенность канала (только если некуда деваться).


>6) соединение не устанавливается автоматически при получении первого пакета с другой стороны,
>вместо этого используется довольно сложная процедура установления соединения.

Эта "сложная процедура" (видимо IKE имеешь в виду) одно из самых полезных в IPSec. Пока безопасность Diffie-Helman никто не опроверг.

>7) неусточивое соединение. бывают случаи, когда соединение не восстанавливается, когда перегружается компьютер
>на одной из сторон туннеля.

А бывает подземный стук.
Например может не подняться если его в инит не включить :)

>8) применительно к Линуксу (FreeSWAN) - требует наложения патчей на ядро, отсда
>сильная привязка к текущей версии ядра.

Ну 2.0.х ядер у меня нет.
Остальные 2.2 ветка и 2.4 ветка с различными версиями freeswan работает без единой проблемы.

>
>плюсы (для меня они все лишь умозрительны, практического подтверждения не нашел):
>1) считается, что ipsec имеет самое сильное шифрование среди всех vpn. правда,
>это преимущество сильно ослабляется возможностью существования ошибок в реализации всех внутренних
>протоколов.
>2) я встречал упоминания, что на базе ipsec можно создать не только
>туннели точка-точка, но и "облако", т.е. сеть поверх сети.

Можно.

>
>как уже видно по моим комментариям, я сам всецело за OpenVPN.

Причем это видно невооруженным взглядом :)


>
>PS. все написанное явлется ИМХО, если меня кто-то поправит или даже опровергнет
>- буду только рад.

ИМХО вы правильно написали про OpenVPN но в IPSec вы зря стали калом кидать. Вы его неважно знаете судя по всему.