OpenVPN対IPsec-長所と短所、何を使うべきか？

興味深いことに、「OpenVPN vs IPsec」を検索したとき、良い検索結果が見つかりませんでした。だからここに私の質問があります：

信頼できないネットワーク上にプライベートLANをセットアップする必要があります。そして私が知る限り、両方のアプローチは有効であるようです。しかし、どちらが優れているかはわかりません。

両方のアプローチの長所と短所、そして何を使用するかについてのあなたの提案や経験をリストできるなら、私はとても感謝しています。

更新（コメント/質問に関して）：

私の具体的なケースでは、目標は（静的IPを持つ）任意の数のサーバーを互いに透過的に接続することです。しかし、「動的なIPを使用した」「ロードウォリアー」などの動的クライアントのごく一部も接続できる必要があります。ただし、主な目標は、信頼されていないネットワーク上で「透過的で安全なネットワーク」を実行することです。私はかなり初心者なので、「1：1ポイントツーポイント接続」を正しく解釈する方法がわかりません。

私の環境にはすべてのシナリオがセットアップされています。（openvpnサイトサイト、ロードウォリアーズ、cisco ipsecサイトサイト、リモートユーザー）

openvpnははるかに高速です。openvpnソフトウェアは、リモートユーザーのオーバーヘッドが少ないです。openvpnは、tcpを使用してポート80にセットアップできるため、無料のインターネットが制限されている場所を通過できます。openvpnはより安定しています。

私の環境のOpenvpnは、エンドユーザーにポリシーを強制しません。Openvpnキー配布は、安全に行うのが少し難しくなります。Openvpnキーのパスワードはエンドユーザー次第です（パスワードは空白にすることができます）。Openvpnは、特定の監査員（悪い取引のぼろきれを読むだけの監査員）によって承認されていません。Openvpnのセットアップには少しの頭脳が必要です（シスコとは異なります）。

これはopenvpnでの私の経験です。ネガのほとんどは、構成の変更またはプロセスの変更によって緩和できることを知っています。だから、少し懐疑心を持ってすべてのネガを取り上げてください。

OpenVPNのIPSecの主な利点の1つは、一部のファイアウォールがIPSecトラフィックを通過させず、OpenVPNのUDPパケットまたはTCPストリームを妨げずに通過させることです。

IPSecが機能するには、ファイアウォールがIPプロトコルタイプESPおよびAHのパケットと、より一般的なトリオ（TCP、UDP、ICMP）のパケットを認識する（または、それを知らずに無視してルーティングする）必要があります。

もちろん、企業環境の中には、逆の方法もあります。HTTP経由でトンネリングするようなクレイジーな操作をしない限り、OpenVPNではなくIPSecを許可するため、意図する環境に依存します。

OpenVPNは、IPsecではできないイーサネット層トンネルを実行できます。これは私にとって重要です。IPv4アクセスのみが可能な場所からIPv6をトンネリングしたいからです。IPsecでこれを行う方法があるかもしれませんが、私はそれを見ていません。また、OpenVPNの新しいバージョンでは、IPv6をトンネルできるインターネット層トンネルを作成できますが、Debian squeezeのバージョンではそれができないため、イーサネット層トンネルはうまく機能します。

したがって、IPv4以外のトラフィックをトンネリングする場合、OpenVPNがIPsecを優先します。

OpenVPNは

私の意見では、セットアップの管理と使用がはるかに簡単です。

IPsecは、VPN内の従来のルーティングに関するより多くのオプションを備えた、より「プロフェッショナルな」アプローチです。

ポイント-ポイント-VPN（1対1）だけが必要な場合は、OpenVPNを使用することをお勧めします

これが役立つことを願っています：D

私は、ADSL経由でインターネットに接続している全国（NZ）の数十のサイトを管理した経験があります。彼らは、単一のサイトに行くIPSec VPNで動作していました。

顧客の要件が変更され、2つのVPNが必要でした。1つはメインサイトに、もう1つはフェールオーバーサイトに行きます。顧客は、両方のVPNを同時にアクティブにすることを望んでいました。

使用中のADSLルーターがこれに対応していないことがわかりました。1つのIPSec VPNで問題ありませんでしたが、2つのVPNが立ち上がるとすぐにADSLルーターが再起動しました。VPNは、オフィス内のルーターの背後にあるサーバーから開始されたことに注意してください。サプライヤから技術者を集めてルーターを確認し、多くの診断をベンダーに送り返しましたが、修正は見つかりませんでした。

OpenVPNをテストしましたが、問題はありませんでした。関連するコストを考慮して（数十のADSLルーターを交換するか、VPNテクノロジーを変更する）、OpenVPNに変更することが決定されました。

また、診断が容易であることがわかりました（OpenVPNの方がはるかに明確です）。また、このような大規模で広範囲にわたるネットワークの管理オーバーヘッドの他の多くの側面がずっと簡単でした。振り返ることはありませんでした。

私はサイト間VPNにOpenVPNを使用していますが、うまく機能します。OpenVPNがそれぞれの状況に合わせてカスタマイズ可能であることが本当に気に入っています。私が経験した唯一の問題は、OpenVPNがマルチスレッド化されていないことです。したがって、1 CPUが処理できる帯域幅しか取得できません。私が行ったテストでは、トンネルを約375 MBits /秒で問題なくプッシュすることができました。これはほとんどの人にとっては十分です。

オープンVPNサイト間はIPSECよりもはるかに優れています。MPLSネットワークにOpen-VPNをインストールしたクライアントがいて、Blow-fish 128ビットCBCなどの高速で安全な暗号化をサポートしました。パブリックIP経由で接続されている別のサイトでは、256kbps / 128kbpsなどの低帯域でもこの接続を使用しました。

ただし、Linux / UnixでIPSec VTIインターフェイスがサポートされるようになったことを指摘しておきます。これにより、OpenVPNサイト間またはGRE over IPSecとほぼ同じ方法で、ルーティング可能な安全なトンネルを作成できます。