OpenVPN与IPSec – 优点和缺点，使用什么？

我在我的环境中设置了所有场景。 （openvpn站点站点，公路战士; cisco ipsec站点站点，远程用户）

到目前为止openvpn更快。 openvpn软件在远程用户上的开销较小。 openvpn可以使用tcp在端口80上设置，以便在有限的免费互联网的地方通过。 openvpn更稳定。

我的环境中的Openvpn不强制最终用户的策略。 Openvpn密钥分发有点难以做到安全。 Openvpn密钥密码取决于最终用户（他们可以有空密码）。 Openvpn没有被某些审计人员（只读坏账的人）批准。 Openvpn需要一点点设置（不像思科）。

这是我使用openvpn的经验：我知道，我的大多数负面因素都可以通过configuration更改或stream程更改得到缓解。 所以，我有一些怀疑，把我所有的消极。

OpenVPN在IPSec上的一个关键优势是一些防火墙不会让IPSecstream量通过，而是让OpenVPN的UDP数据包或TCP数据stream畅通无阻。

为了使IPSec正常工作，防火墙需要知道（或者需要忽略和路由，而不知道它是什么）IP协议typesESP和AH以及更普遍的三重组（TCP，UDP和ICMP）。

当然，你可能会发现一些企业环境：允许IPSec通过但不是OpenVPN，除非你做了一些像通过HTTP隧道一样的疯狂，所以这取决于你的预期环境。

OpenVPN可以做IPsec不能做的以太网层隧道。 这对我来说很重要，因为我想从任何只有IPv4访问的地方隧道化IPv6。 也许有一种方法可以与IPsec做到这一点，但我没有看到它。 另外，在一个更新版本的OpenVPN中，你可以制作可以隧道化IPv6的互联网隧道，但是Debian挤压的版本不能这么做，所以以太网隧道很好地工作。

所以如果你想隧道非IPv4stream量，OpenVPN胜过IPsec。

我使用OpenVPN作为站点到站点的VPN，它工作的很好。 我真的很喜欢如何定制OpenVPN是针对每种情况。 我唯一的问题是OpenVPN不是multithreading的，因此你只能得到1个CPU能够处理的带宽。 我所做的testing中，我们已经能够在整个隧道中推送~375 MBits / sec，这对大多数人来说已经足够了。

OpenVPN是

更容易pipe理设置和使用在我看来..它完全透明的VPN，我爱…

IPsec更多的是一个“专业”的方法，有更多的select关于vpns中的经典路由。

如果你只想要一个点到点的VPN（1对1），我会build议使用OpenVPN

希望这有助于：D

我有一些pipe理全国各地（NZ）的几十个网站的经验，每个网站都通过ADSL连接到互联网。 他们一直在使用IPSec VPN去一个站点。

客户需求改变了，他们需要有两个VPN，一个去主站点，另一个去故障转移站点。 客户希望两个VPN同时处于活动状态。

我们发现正在使用的ADSL路由器没有处理这个问题。 使用一个IPSec VPN他们很好，但是一旦两个VPN出现ADSL路由器重新启动。 请注意，VPN是从路由器后面的办公室内的服务器启动的。 我们让供应商的技术人员检查路由器，并将许多诊断信息发回给供应商，但未find任何修复程序。

我们testing了OpenVPN，没有问题。 考虑到所涉及的成本（取代数十台ADSL路由器或改变VPN技术），决定改用OpenVPN。

我们还发现诊断更容易（OpenVPN更清晰），而且如此庞大而广泛的networking的pipe理开销的许多其他方面要容易得多。 我们从不回头。

开放VPN站点到站点比IPSEC好得多。我们有一个客户端，我们在一个MPLSnetworking中安装了Open-VPN，这个客户端运行良好，支持更快，更安全的encryption，如Blow-fish 128位CBC。 在通过公共IP连接的另一个站点，我们使用这种连接以及低带宽（如256kbps / 128kbps）。

但是让我指出，Linux / Unix现在支持IPSec VTI接口。 这使您可以像OpenVPN站点到站点或GRE over IPSec一样创build可路由和安全的隧道。