LINUX.ORG.RU
ФорумAdmin

Соединение двух сетей с пмощью VPN , что выбрать ?


0

1

Имеем две сети - сторона А - белый ip,nat iptables,локальная сеть конторы;Сторона Б - динамический ip ,nat,iptables,локалка филиала.

Склоняюсь к двум вариантам - Openvpn или IPSEC. Собственно вопрос по какому методу объединять ? Раньше юзал openvpvn (подключение удалённых юзеров к сети ), с ipsec не работал.

Собственно может кто подскажет ссылку на внятное сравнение обоих методов ?

★★
Загрузка сетевого интерфейса не интерактивная
dansguardian настройка страницы блокировки

С ipsec'ом гемороя больше со стороны провайдера (некоторые ничего не знают кроме tcp/udp), но он д/быть производительнее.

anonymous
()
Ответ на: комментарий от Deleted

спасибо , хотелось бы еще услышать мнение людей юзавших обе системы , о преимуществах и не достатках обеих

drac753 ★★
() автор топика
Ответ на: комментарий от drac753

ИМХО.
Для чистого site-to-site с помощью ipsec очень желателен статичный ip с обоих сторон.
В случае openvpn, то один как сервер. Другой как клиент. Настроить маршруты и радоваться жизни.
С strongswan не работал, но на cisco asa ipsec site-to-site без статичного айпишника с обоих сторон не заводится.

Deleted
()
Ответ на: комментарий от drac753

Если получится, хоть отпишись, а то интересно.
Идеально бы просто протестировать обе технологии и написать на ЛОР плюсы и минусы каждой.

Deleted
()

Я бы выбрал openvpn, хоть он и в userspace, но обычно это не критично (не такой широкий канал между офисами и не такие медленные процессоры на серверах-маршрутизаторах).

Зато openvpn, ИМХО, проще (понятнее) в управлении, так как есть интерфейс tun0, на интерфейсе есть счётчики (Tx/Rx), рулится всё обычными маршрутами (ip route / ip rule). Если вдруг на одной из сторон появися два подключения к сети и захочется два тунеля с распределением трафика по ним, то с openvpn будет проще.

mky ★★★★★
()

Лет пять использую openswan. Объединение сетей в конфигурации центр-филиалы.

l2tp не использую - авторизация rsa ключами.

Использую klips, т.е. имею интерфейс ipsecX, что в свою очередь позволяет легко рулить iptables и tc.

nat-t и roadwarrior (динамический ip) работают без проблем.

Можно задействовать аппаратную криптографическую акселерацию.

openswan/strongswan прекрасно поддерживаются в openwrt, что особенно ценно в филиалах.

ipsec это зрелое решение строгого шифрования трафика.

funky
()

Я бы использовал ipsec из-за того, что он есть везде. На линуксе, оффтопике, цисках и длинках. Подключиться можно с любой железки.

riki ★★★★
()

IPSEC отлично работает и по UDP в режиме NAT-Traversal с инкапсуляцией, так что ничем не хуже OpenVPN.

Я бы брал IPSEC т.к. он стандарт. И настраивается в два счета, особенно в Strongswan, несколько строк в ipsec.conf, прешаред ключ и вуаля.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

IPSEC производительнее. openvpn у меня на P4/3000 не давал скорость больше 30Мбит/с

victorb ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Загрузка сетевого интерфейса не интерактивная
Admin
dansguardian настройка страницы блокировки