forum.opennet.ru - "FreeSwan и OpenVPN" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"FreeSwan и OpenVPN"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"FreeSwan и OpenVPN"
Сообщение от klez on 23-Янв-04, 11:07 (MSK)
Подскажите что лучше из этиз двух? Каккие плюсы и минусы?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

FreeSwan и OpenVPN, Михаил, 19:49 , 25-Янв-04, (1)
- FreeSwan и OpenVPN, klez, 00:39 , 03-Фев-04, (2)
  - FreeSwan и OpenVPN, MrKooll, 20:39 , 13-Фев-04, (4)
- FreeSwan и OpenVPN, MrKooll, 20:37 , 13-Фев-04, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "FreeSwan и OpenVPN"

Сообщение от Михаил on 25-Янв-04, 19:49  (MSK)

>Подскажите что лучше из этиз двух?
>Каккие плюсы и минусы?
OpenVPN
плюсы:
1) единый продукт от одной команды разработчиков.
2) многоплатформенность, вплоть до виндов.
3) унифицированная настройка, т.е. опции конфига почти одинаковые для всех ОС
4) простота настройки
5) хорошая документация в комплекте и на сайте производителя. другой документации искать не приходится...
6) не требует больших накладных расходов по ширине канала, собственно, у меня заметить их вообще не получилось...
7) позволяет сжимать данные перед передачей и разжимать при приеме.
правда, сжатие не особо сильное, но хорошо сжимающиеся данные жмет до 2 раз и более (для справки, rar эти же данные жмет в семь раз).
8) работает поверх обычного протокола UDP (в новых версиях еще и через TCP/IP) и использует только один порт, что не создает проблем с пропусканием туннеля через файерволлы и т.п.
минусы:
1) не очень большая производительность в локальной сети. у меня не получалось передавать через туннель больше 1 Мбайт/сек данных (либо 2 Мбайт/сек, если включено сжатие, но тогда поток данных через сеть был опять же 1 Мбайт/сек). с чем связано - непонятно, процессоры оконечных машин грузит заметно, но далеко не полностью, памяти тоже достаточно.
2) позволяет создавать только соединения точка-точка.
но эти минусы не очень страшны:
1) так как обычно защищают каналы, проходящие через интернет (а подключения быстрее 1Мбайт/сек встречаются крайне редко), то скорость шифрования не будет ограничивать производительность канала.
2) обычно количество соединяемых сетей невелико и ничто не мешает создать несколько туннелей, допустим, от центрального офиса в филиалы, или вообще между всеми сетями.
касательно ipsec:
минусы:
1) абсолютно разные реализации для разных ОС.
2) ограниченная кроссплатформенность. не любой вариант ipsec может заработать с любым другим вариантом, либо заработает но не полноценно.
3) документация не полна, не точна, сильно разбросана по интернету.
частенько в ней речь идет о разных вариантах работы ipsec, без указаниия о каком именно варианте идет речь. как следствие - в разных источниках можно найти даже противоречивые сведения.
4) настройка сложна и совершенно различна для разных ОС.
5) использует не только стандарные ip-протоколы, но и дополнительные, что создает проблемы с пропусканием туннеля через файрволл.
6) соединение не устанавливается автоматически при получении первого пакета с другой стороны, вместо этого используется довольно сложная процедура установления соединения.
7) неусточивое соединение. бывают случаи, когда соединение не восстанавливается, когда перегружается компьютер на одной из сторон туннеля.
8) применительно к Линуксу (FreeSWAN) - требует наложения патчей на ядро, отсда сильная привязка к текущей версии ядра.
плюсы (для меня они все лишь умозрительны, практического подтверждения не нашел):
1) считается, что ipsec имеет самое сильное шифрование среди всех vpn. правда, это преимущество сильно ослабляется возможностью существования ошибок в реализации всех внутренних протоколов.
2) я встречал упоминания, что на базе ipsec можно создать не только туннели точка-точка, но и "облако", т.е. сеть поверх сети.

как уже видно по моим комментариям, я сам всецело за OpenVPN.
PS. все написанное явлется ИМХО, если меня кто-то поправит или даже опровергнет - буду только рад.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeSwan и OpenVPN"

Сообщение от klez on 03-Фев-04, 00:39  (MSK)

Кстати freeswan без особых проблем утановливаеться на ред нат 9 проще не бывает а вот пересел я на альт мастер 2.2 вот тут та у меня "хвост" и прижался :(
Как я понял при установки особых проблем не было???
На что ставили???

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "FreeSwan и OpenVPN"

Сообщение от MrKooll on 13-Фев-04, 20:39  (MSK)

>Кстати freeswan без особых проблем утановливаеться на ред нат 9 проще не
>бывает а вот пересел я на альт мастер 2.2 вот тут
>та у меня "хвост" и прижался :(
В Master 2.2 freeswan включен в ядро и работает без проблем. Обращайтесь в рассылку ALTLinux я помогу если что не получается.
Можно найти меня в jabber mrkooll@jabber.pibhe.com
>Как я понял при установки особых проблем не было???
>На что ставили???

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "FreeSwan и OpenVPN"

Сообщение от MrKooll on 13-Фев-04, 20:37  (MSK)

Плюсов у тебя маловато что-то для IPSec.

>касательно ipsec:
>минусы:
>1) абсолютно разные реализации для разных ОС.
>2) ограниченная кроссплатформенность. не любой вариант ipsec может заработать с любым другим
>вариантом, либо заработает но не полноценно.
Начнем с того что IPSec это стандарт IETF. Что хоть почти все реализации придерживаются стандартов связать их не всегда просто это правда. Но к винде и кошке привязывается без проблем.
>3) документация не полна, не точна, сильно разбросана по интернету.
>частенько в ней речь идет о разных вариантах работы ipsec, без указаниия
>о каком именно варианте идет речь. как следствие - в разных
>источниках можно найти даже противоречивые сведения.
Теперь о документации. На английском ее навалом. И в документации о FreeS/WAN я противоречивости не заметил. Если вы искали на форумах документацию или статьи на русском непонятного качества тогда может так и есть. Я знаю только введение на www.securitylab.ru
>4) настройка сложна и совершенно различна для разных ОС.
В настройке ничего сложного и она очень хорошо документирована.
>5) использует не только стандарные ip-протоколы, но и дополнительные, что создает проблемы
>с пропусканием туннеля через файрволл.
Дополнительные протоколы это AH и ESP?
Для начала AH не рекомендован к использованию. Кроме того проблемы могут быть только одни - нельзя пускать IPSec через NAT, а то не будет сходится контрольная сумма пакета. В остальном он полностью прозрачен (при работе в туннельном режиме, а не в транспортном). Кроме того через NAT можно пустить IPSec но не рекомендуется т.к. снижается защищенность канала (только если некуда деваться).

>6) соединение не устанавливается автоматически при получении первого пакета с другой стороны,
>вместо этого используется довольно сложная процедура установления соединения.
Эта "сложная процедура" (видимо IKE имеешь в виду) одно из самых полезных в IPSec. Пока безопасность Diffie-Helman никто не опроверг.
>7) неусточивое соединение. бывают случаи, когда соединение не восстанавливается, когда перегружается компьютер
>на одной из сторон туннеля.
А бывает подземный стук.
Например может не подняться если его в инит не включить :)
>8) применительно к Линуксу (FreeSWAN) - требует наложения патчей на ядро, отсда
>сильная привязка к текущей версии ядра.
Ну 2.0.х ядер у меня нет.
Остальные 2.2 ветка и 2.4 ветка с различными версиями freeswan работает без единой проблемы.
>
>плюсы (для меня они все лишь умозрительны, практического подтверждения не нашел):
>1) считается, что ipsec имеет самое сильное шифрование среди всех vpn. правда,
>это преимущество сильно ослабляется возможностью существования ошибок в реализации всех внутренних
>протоколов.
>2) я встречал упоминания, что на базе ipsec можно создать не только
>туннели точка-точка, но и "облако", т.е. сеть поверх сети.
Можно.
>
>как уже видно по моим комментариям, я сам всецело за OpenVPN.
Причем это видно невооруженным взглядом :)

>
>PS. все написанное явлется ИМХО, если меня кто-то поправит или даже опровергнет
>- буду только рад.
ИМХО вы правильно написали про OpenVPN но в IPSec вы зря стали калом кидать. Вы его неважно знаете судя по всему.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "FreeSwan и OpenVPN"
Сообщение от Михаил on 25-Янв-04, 19:49 (MSK)
>Подскажите что лучше из этиз двух? >Каккие плюсы и минусы? OpenVPN плюсы: 1) единый продукт от одной команды разработчиков. 2) многоплатформенность, вплоть до виндов. 3) унифицированная настройка, т.е. опции конфига почти одинаковые для всех ОС 4) простота настройки 5) хорошая документация в комплекте и на сайте производителя. другой документации искать не приходится... 6) не требует больших накладных расходов по ширине канала, собственно, у меня заметить их вообще не получилось... 7) позволяет сжимать данные перед передачей и разжимать при приеме. правда, сжатие не особо сильное, но хорошо сжимающиеся данные жмет до 2 раз и более (для справки, rar эти же данные жмет в семь раз). 8) работает поверх обычного протокола UDP (в новых версиях еще и через TCP/IP) и использует только один порт, что не создает проблем с пропусканием туннеля через файерволлы и т.п. минусы: 1) не очень большая производительность в локальной сети. у меня не получалось передавать через туннель больше 1 Мбайт/сек данных (либо 2 Мбайт/сек, если включено сжатие, но тогда поток данных через сеть был опять же 1 Мбайт/сек). с чем связано - непонятно, процессоры оконечных машин грузит заметно, но далеко не полностью, памяти тоже достаточно. 2) позволяет создавать только соединения точка-точка. но эти минусы не очень страшны: 1) так как обычно защищают каналы, проходящие через интернет (а подключения быстрее 1Мбайт/сек встречаются крайне редко), то скорость шифрования не будет ограничивать производительность канала. 2) обычно количество соединяемых сетей невелико и ничто не мешает создать несколько туннелей, допустим, от центрального офиса в филиалы, или вообще между всеми сетями. касательно ipsec: минусы: 1) абсолютно разные реализации для разных ОС. 2) ограниченная кроссплатформенность. не любой вариант ipsec может заработать с любым другим вариантом, либо заработает но не полноценно. 3) документация не полна, не точна, сильно разбросана по интернету. частенько в ней речь идет о разных вариантах работы ipsec, без указаниия о каком именно варианте идет речь. как следствие - в разных источниках можно найти даже противоречивые сведения. 4) настройка сложна и совершенно различна для разных ОС. 5) использует не только стандарные ip-протоколы, но и дополнительные, что создает проблемы с пропусканием туннеля через файрволл. 6) соединение не устанавливается автоматически при получении первого пакета с другой стороны, вместо этого используется довольно сложная процедура установления соединения. 7) неусточивое соединение. бывают случаи, когда соединение не восстанавливается, когда перегружается компьютер на одной из сторон туннеля. 8) применительно к Линуксу (FreeSWAN) - требует наложения патчей на ядро, отсда сильная привязка к текущей версии ядра. плюсы (для меня они все лишь умозрительны, практического подтверждения не нашел): 1) считается, что ipsec имеет самое сильное шифрование среди всех vpn. правда, это преимущество сильно ослабляется возможностью существования ошибок в реализации всех внутренних протоколов. 2) я встречал упоминания, что на базе ipsec можно создать не только туннели точка-точка, но и "облако", т.е. сеть поверх сети. как уже видно по моим комментариям, я сам всецело за OpenVPN. PS. все написанное явлется ИМХО, если меня кто-то поправит или даже опровергнет - буду только рад.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "FreeSwan и OpenVPN"
	Сообщение от klez on 03-Фев-04, 00:39 (MSK)
	Кстати freeswan без особых проблем утановливаеться на ред нат 9 проще не бывает а вот пересел я на альт мастер 2.2 вот тут та у меня "хвост" и прижался :( Как я понял при установки особых проблем не было??? На что ставили???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "FreeSwan и OpenVPN"
	Сообщение от MrKooll on 13-Фев-04, 20:39 (MSK)
	>Кстати freeswan без особых проблем утановливаеться на ред нат 9 проще не >бывает а вот пересел я на альт мастер 2.2 вот тут >та у меня "хвост" и прижался :( В Master 2.2 freeswan включен в ядро и работает без проблем. Обращайтесь в рассылку ALTLinux я помогу если что не получается. Можно найти меня в jabber mrkooll@jabber.pibhe.com >Как я понял при установки особых проблем не было??? >На что ставили???
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "FreeSwan и OpenVPN"
	Сообщение от MrKooll on 13-Фев-04, 20:37 (MSK)
	Плюсов у тебя маловато что-то для IPSec. >касательно ipsec: >минусы: >1) абсолютно разные реализации для разных ОС. >2) ограниченная кроссплатформенность. не любой вариант ipsec может заработать с любым другим >вариантом, либо заработает но не полноценно. Начнем с того что IPSec это стандарт IETF. Что хоть почти все реализации придерживаются стандартов связать их не всегда просто это правда. Но к винде и кошке привязывается без проблем. >3) документация не полна, не точна, сильно разбросана по интернету. >частенько в ней речь идет о разных вариантах работы ipsec, без указаниия >о каком именно варианте идет речь. как следствие - в разных >источниках можно найти даже противоречивые сведения. Теперь о документации. На английском ее навалом. И в документации о FreeS/WAN я противоречивости не заметил. Если вы искали на форумах документацию или статьи на русском непонятного качества тогда может так и есть. Я знаю только введение на www.securitylab.ru >4) настройка сложна и совершенно различна для разных ОС. В настройке ничего сложного и она очень хорошо документирована. >5) использует не только стандарные ip-протоколы, но и дополнительные, что создает проблемы >с пропусканием туннеля через файрволл. Дополнительные протоколы это AH и ESP? Для начала AH не рекомендован к использованию. Кроме того проблемы могут быть только одни - нельзя пускать IPSec через NAT, а то не будет сходится контрольная сумма пакета. В остальном он полностью прозрачен (при работе в туннельном режиме, а не в транспортном). Кроме того через NAT можно пустить IPSec но не рекомендуется т.к. снижается защищенность канала (только если некуда деваться). >6) соединение не устанавливается автоматически при получении первого пакета с другой стороны, >вместо этого используется довольно сложная процедура установления соединения. Эта "сложная процедура" (видимо IKE имеешь в виду) одно из самых полезных в IPSec. Пока безопасность Diffie-Helman никто не опроверг. >7) неусточивое соединение. бывают случаи, когда соединение не восстанавливается, когда перегружается компьютер >на одной из сторон туннеля. А бывает подземный стук. Например может не подняться если его в инит не включить :) >8) применительно к Линуксу (FreeSWAN) - требует наложения патчей на ядро, отсда >сильная привязка к текущей версии ядра. Ну 2.0.х ядер у меня нет. Остальные 2.2 ветка и 2.4 ветка с различными версиями freeswan работает без единой проблемы. > >плюсы (для меня они все лишь умозрительны, практического подтверждения не нашел): >1) считается, что ipsec имеет самое сильное шифрование среди всех vpn. правда, >это преимущество сильно ослабляется возможностью существования ошибок в реализации всех внутренних >протоколов. >2) я встречал упоминания, что на базе ipsec можно создать не только >туннели точка-точка, но и "облако", т.е. сеть поверх сети. Можно. > >как уже видно по моим комментариям, я сам всецело за OpenVPN. Причем это видно невооруженным взглядом :) > >PS. все написанное явлется ИМХО, если меня кто-то поправит или даже опровергнет >- буду только рад. ИМХО вы правильно написали про OpenVPN но в IPSec вы зря стали калом кидать. Вы его неважно знаете судя по всему.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх