Quel est l'avantage de OpenVPN sur SSTP?

Si l'on considère l'environnement Windows uniquement, quel est l'avantage d'introduire OpenVPN en tant que service VPN de l'entreprise, au lieu des protocoles embeddeds Windows? En particulier, le nouveau protocole SSTP a déjà surmonté celui de la faiblesse de PPTP, qui peut ne pas passer par firewall / NAT.

Je me request s'il y a lieu de ne pas utiliser la solution embeddede Windows. La force de la security peut être un problème, mais je ne suis pas sûr de la façon dont ils sont différents (je sais que MS VPN était vulnérable mais est-ce toujours?)

Merci.

7 Solutions collect form web for “Quel est l'avantage de OpenVPN sur SSTP?”

La disponibilité des clients pour OpenVPN est plus large que celle du SSTP (au less, maintenant). Je peux acheter un téléphone IP avec un client OpenVPN embedded, par exemple. AFAIK, Microsoft n'a pas sauvegardé le client SSTP vers Windows XP (qui, d'abord, ils l'ont dit), de sorte que coupe une grande base de clients. En revanche, cependant, SSTP ne nécessite pas l'installation d'un logiciel tiers sur les systèmes d'exploitation client pris en charge.

Il n'existe pas de frais de licence par client avec OpenVPN tel qu'il existe avec l'offre de Microsoft. (Je n'offrirai pas mon opinion sur les utilisations spécifiques nécessitant une CAL Windows et qui ne … Dans une documentation, Microsoft prétend qu'un client DHCP a besoin d'une CAL , alors j'ai tendance à leur donner une large couchette. Si mon concierge les poussières autour de ma machine Windows Server, j'ai probablement besoin d'une CAL pour eux. Le bon endroit pour find des licences est le logiciel "fabricant" de toute façon …)

La fonctionnalité embeddede au client OpenVPN pour recevoir des routes "poussés" est plus flexible que le client VPN de Microsoft (à less que vous n'utilisiez le CMAK, ce qui n'a pas été fiable pour moi en pratique).

L'avantage principal de OpenVPN dans un environnement Win unique est l'utilisation de UDP comme porteur sous-jacent car cela évite le «problème de fusion TCP» voir http://sites.inka.de/bigred/devel/tcp-tcp.html pour plus d'informations à propos de TCP dans TCP.

hth, cheerio Steve

Attention, malheureusement, SSTP (en novembre 2011) ne fonctionnera pas sur un server proxy avec authentification . Ceci est documenté, bien que beaucoup ne le réalisent pas.

Il est également possible pour l'administrateur réseau d'un proxy non autonome de détecter les en-têtes SSTP et de supprimer les connections. Donc, la déclaration selon laquelle il se trouve sur n'importe quel pare-feu, etc. … est vrai avec certaines réservations .

OpenVPN est capable de passer par HTTPS sur un proxy avec authentification . Il est beaucoup plus difficile de bloquer ce trafic car il semble normal "SSL", mais ce n'est pas le cas! Il est possible avec l'inspection d'un package sur les premiers octets du contenu pour bloquer ces packages. OpenVPN dans ce mode perd le gain de performance "UDP", car OpenVPN fonctionnerait en mode TCP. Donc, en ce sens, c'est égal à SSTP.

Pour OpenVPN, du côté du server, vous devez disposer de deux adresses IP publiques si vous disposez également d'un server Web sur le port 443, ceci pour l'édition commerciale. Pour l'édition communautaire, il est possible de partager le port 443 sur la même adresse IP, car le server détecte un protocole non OpenVPN qui redirige le trafic vers un autre server Web (443). Cela ne fonctionne que dans la version Linux du server OpenVPN.

Sur SSTP, il est possible de partager le même IP / port 443, tant pour le trafic SSTP que pour les pages protégées par le server Web normal.

Sur SSTP, il peut y avoir un dispositif de déchargement SSL sur le réseau avant d'atteindre le server RRAS. Sur OpenVPN, parce que le trafic n'est pas vraiment "vrai" SSL, c'est-à-dire que le protocole openVPN encapsule une charge utile SSL, ce n'est pas possible.

Sur la communauté OpenVPN, vous devez gérer l'infrastructure KPI, les certificates, etc., ce qui peut être une courbe d'apprentissage plus difficile parfois … (sur l'édition communautaire). Sur l'édition commerciale, cette tâche est facilitée.

Sur OpenVPN commercial, l'authentification peut être embeddede à LDAP (par exemple sur un AD). Sur la communauté, cela n'est pas possible (pas complètement sûr, mais presque!). L'idée e plus sur les certificates de clients; bien que possible d'utiliser des schémas de certificates plus simples.

O SSTP, cela est compris évident.

Le travail OpenVPN en mode UDP est très bon, mais PPTP fonctionne également sur UDP pour le canal de données (protocole GRE). Parce que la question est la comparaison entre SSTP et OpenVPN, supposons simplement que nous comparons le trafic TCP.

Donc, vous voyez … il n'y a pas de mieux ou de pire … Dans mon cas, j'ai lutté pour choisir un en raison de mes exigences fonctionnelles … et toujours pas complètement satisfait de celui que je devais choisir (SSTP), mais Plutôt satisfait. Je dis cela parce que si le réseau (hôtel) bloque PPTP alors SSTP peut être utilisé … cela est automatiquement traité par le client VPN.

Le client OpenVPN dispose d'un mécanisme de recharge similaire.

SSTP est déjà supporté par Linux, mais le projet semble être en phase initiale.

PPTP est considéré comme cassé cryptographiquement et ne devrait pas être utilisé . Ce n'est pas seulement une question de longueur de key, mais de graves défauts d'authentification et de Microsoft Point-to-Point Encryption (MMPE).

Ma propre preference, du sharepoint vue d'une architecture robuste, d'un large support, d'une security élevée, d'un parcours de réseau fiable et d'une performance solide, est OpenVPN .

Un autre avantage de OpenVPN est que vous pouvez l'exécuter sur le port 443 (HTTPS). Cela devient important lorsque vos clients sont assis dans une chambre d'hôtel, car de nombreux hôtels bloquent le trafic sur les ports autres que 25,80, 110 et 443, et vos connections VPN normales ne fonctionnent plus. Il en va de même pour beaucoup de grandes entresockets.

Les seuls avantages que je vois sur SSTP ne sont pas techniques: une meilleure intégration évidente sur Windows, et peut-être plus facile à configurer (aussi en raison d'être less puissant).

Avantages de OpenVPN:

  • peut tunnel sur UDP

Ceci est si important dans n'importe quel environnement restreint de bande passante, où un tunnel TCP est coincé très rapidement.

  • peut tunnel sur un seul port dans UDP (à part TCP)

Certains disent que le port TCP https 443 va dans n'importe quel environnement (hôtel, etc.), ce qui est une hypothèse raisonnable, mais ce n'est pas UDP. – Je trouve que le port DNS UDP 53 va également dans de nombreux environnements, et vous pouvez configurer OpenVPN là-bas!

  • disponible pour beaucoup plus de plates-forms Windows (et d'autres bien sûr), à la fois comme client et server
  • peut tunnel réseaux

Je quitte le "Windows uniquement" ici … mais si vous souhaitez connecter une équipe dans une chambre d'hôtel, cela peut devenir délicat … Une option est d'arriver avec un petit routeur (OpenVPN) et laisser le Les ordinateurs / téléphones s'y connectent. Vous pouvez également le faire avec un ordinateur exécutant Linux ou un smartphone Android enraciné, …

Je l'ai fait avec un routeur exécutant OpenWRT ou Freetz, un "firmware de marché après-vente".

  • peut être configuré pour survivre aux changements de réseau

Avec l'option "float", j'ai fait mon smartphone survivre à des commutateurs entre les zones couvertes WiFi et le réseau mobile 3G, sans perdre les connections! (Un bug de longue date ne fait que fonctionner en mode homologue.)

Je finis ici.

Les principaux avantages de Open VPN sont les suivants:

  1. Très facile à installer et à utiliser

Sorti en 2002, ce logiciel OpenVPN open-source est très facile à installer et à utiliser. Vous pouvez l'installer sur un server et un client sur n'importe quelle plate-forme (comme Linux, Windows, Mac OS X et autres) sans ressortingctions. Le server OpenVPN attend jusqu'à ce qu'un client soumet une request de connection, et le client établit la connection selon la configuration donnée. En dépit de vous obliger à download et configurer des files de configuration supplémentaires, cela ne constitue pas un fardeau car il existe de nombreux tutoriels disponibles.

  1. Offre un haut niveau de security

OpenVPN offre diverses fonctionnalités de security telles que l'authentification par les pairs, les certificateions numériques et les normes de encryption très fortes. Il utilise des protocoles de security à partir de la bibliothèque de encryption OpenSSL et du protocole SSL v3 / TLS v1. Les algorithms cryptocharts (p. Ex. AES, Blowfish, 3DES, CAST-128, etc.) sont connus pour ne pas soulever de problèmes de security sérieux, y compris la NSA (Agence nationale de security). Le Blowfish 128 bits est le chiffrement par défaut d'OpenVPN, mais l'AES plus précieux offre plus de security.

  1. Hautement configurable et flexible

    OpenVPN est hautement configurable par rapport à d'autres protocoles de security. Il peut être configuré pour être exécuté sur n'importe quel port, mais est connu pour fonctionner le mieux au port TCP 443. Cela rend le trafic OpenVPN plus difficile à distinguer et à bloquer par rapport au trafic provenant des sites HTTPS. Lors de la configuration de la connection, OpenVPN offre également de nombreux points, ce qui le rend très flexible pour tous les types d'users. Les connections peuvent être accolées grâce à presque tous les servers et pare-feu disponibles, offrant ainsi une protection supplémentaire aux agents de terrain.

    1. Grand soutien communautaire

OpenVPN vous oblige à download une application tierce, mais le soutien de la communauté est génial. En raison de sa popularité, il a déjà acquis une grande quantité de fans partout dans le monde. Sans parler, le réseau OpenVPN peut être connecté sur des appareils mobiles et fonctionne bien sur différents logiciels d'exploitation tels que iOS et Android d'Apple. Et parce qu'il s'agit d'une source ouverte, le code source est facilement disponible et gratuit pour la modification. En bref, la réception d'un support n'est jamais un problème pour les users OpenVPN.

  1. Très fiable

Avec OpenVPN, il n'y a pas de perte de données même si le système diminue. Au lieu de cela, le réseau s'arrête pour que la réparation et la reconfiguration puissent être effectuées immédiatement. Cette fonctionnalité sert également de mesure de security supplémentaire. OpenVPN est également considéré comme le protocole VPN le plus stable et fiable sur les routeurs sans fil, les réseaux non fiables, ainsi que sur les zones Wi-Fi. En ce qui concerne la vitesse, il est particulièrement rapide, même sur de longues distances et des connections avec une latence élevée. C'est pourquoi de nombreux fournisseurs VPN l'offrent.

http://sahrzad.net/blog/5-advantages-de-openvpn-technology-you-need-toknowknow

  • Exécuter des requêtes HTTP spécifiques via pfSense OpenVPN
  • Problème avec Cisco ASA 5515-X VPN Connection
  • Server 2012 R2 Les filters statiques entrants / sortants RRAS ne fonctionnent pas
  • Les périphériques Android ne parviennent pas à se connecter à MS L2TP PSK
  • "Tunnel mode ipsec ipv4" semble manquer de mon routeur CISCO
  • Comment configurer l'environnement de test derrière VPN?
  • Mesurer les performances de la connection VPN
  • Azure - plusieurs passerelles de réseau virtuel?
  • Hyper-V Cut-n-Paste
  • pptp (pon) échoue lorsqu'il est appelé via cron (debian)
  • Debian se serre comme passerelle L2TP / IPSec pour les appareils Android
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.