OpenVPN vs. IPsec - Pros y contras, ¿qué usar?

Curiosamente, no he encontrado ningún buen resultado de búsqueda al buscar "OpenVPN vs IPsec". Así que aquí está mi pregunta:

Necesito configurar una LAN privada a través de una red no confiable. Y hasta donde yo sé, ambos enfoques parecen ser válidos. Pero no sé cuál es mejor.

Estaría muy agradecido si puede enumerar los pros y los contras de ambos enfoques y quizás sus sugerencias y experiencias sobre qué usar.

Actualización (sobre el comentario / pregunta):

En mi caso concreto, el objetivo es tener cualquier número de servidores (con IP estáticas) conectados de forma transparente entre sí. Pero una pequeña porción de clientes dinámicos como "road warriors" (con IP dinámicas) también deberían poder conectarse. Sin embargo, el objetivo principal es tener una "red segura transparente" que se ejecute sobre la red no confiable. Soy un novato, así que no sé cómo interpretar correctamente "Conexiones punto a punto 1: 1" => La solución debe admitir transmisiones y todo eso, por lo que es una red totalmente funcional.

Tengo todos los escenarios configurados en mi entorno. (sitio-sitio openvpn, guerreros del camino; sitio-sitio csec ipsec, usuarios remotos)

De lejos, el openvpn es más rápido. El software openvpn es menos sobrecarga en los usuarios remotos. El openvpn se puede / puede configurar en el puerto 80 con tcp para que pase en lugares que tienen Internet gratis limitado. El openvpn es más estable.

Openvpn en mi entorno no fuerza la política al usuario final. La distribución de claves Openvpn es un poco más difícil de hacer de forma segura. Las contraseñas clave de Openvpn dependen de los usuarios finales (pueden tener contraseñas en blanco). Openvpn no está aprobado por ciertos auditores (los que solo leen trapos comerciales malos). Openvpn requiere un poco de cerebro para la configuración (a diferencia de Cisco).

Esta es mi experiencia con openvpn: sé que la mayoría de mis aspectos negativos pueden aliviarse mediante cambios en la configuración o cambios en el proceso. Así que toma todos mis negativos con un poco de escepticismo.

Una ventaja clave de OpenVPN sobre IPSec es que algunos cortafuegos no dejan pasar el tráfico de IPSec, pero sí permiten que los paquetes UDP o las secuencias TCP de OpenVPN viajen sin obstáculos.

Para que IPSec funcione, su firewall debe tener en cuenta (o debe ignorar y enrutar sin saber qué es) los paquetes de los tipos de protocolo IP ESP y AH, así como el trío más omnipresente (TCP, UDP e ICMP).

Por supuesto, puede encontrar algunos entornos corporativos al revés: permitiendo que IPSec pase a través de OpenVPN pero no OpenVPN, a menos que haga algo loco como hacer un túnel a través de HTTP, por lo que depende de los entornos previstos.

OpenVPN puede hacer túneles de capa Ethernet, lo que IPsec no puede hacer. Esto es importante para mí porque quiero hacer un túnel IPv6 desde cualquier lugar que solo tenga acceso IPv4. Quizás haya una manera de hacer esto con IPsec, pero no la he visto. Además, en una versión más nueva de OpenVPN podrá crear túneles de capa de Internet que pueden hacer un túnel IPv6, pero la versión en Debian Squeeze no puede hacer eso, por lo que un túnel de capa Ethernet funciona muy bien.

Entonces, si desea tunelizar el tráfico que no es IPv4, OpenVPN gana a IPsec.

OpenVPN es

mucho más fácil de administrar, configurar y usar en mi opinión. Es una VPN totalmente transparente, que me encanta ...

IPsec es más un enfoque "profesional" con muchas más opciones con respecto al enrutamiento clásico dentro de vpns.

Si desea solo un punto a punto vpn (1 a 1), sugeriría usar OpenVPN

Espero que esto ayude: D

Tenía cierta experiencia en la gestión de docenas de sitios en todo el país (NZ), cada uno de los cuales se conectaba a Internet a través de ADSL. Habían estado operando con IPSec VPN yendo a un solo sitio.

El requisito de los clientes cambió y necesitaban tener dos VPN, una que se dirigiera al sitio principal y la otra al sitio de conmutación por error. El cliente quería que ambas VPN estuvieran activas al mismo tiempo.

Descubrimos que los enrutadores ADSL en uso no estaban haciendo frente a esto. Con una VPN IPSec estaban bien, pero en cuanto aparecieron dos VPN, el enrutador ADSL se reinició. Tenga en cuenta que la VPN se inició desde un servidor dentro de la oficina, detrás del enrutador. Obtuvimos técnicos del proveedor para verificar los enrutadores y enviaron muchos diagnósticos al proveedor, pero no se encontró ninguna solución.

Probamos OpenVPN y no hubo problemas. Teniendo en cuenta los costos involucrados (reemplazar docenas de enrutadores ADSL o cambiar la tecnología VPN), se decidió cambiar a OpenVPN.

También encontramos que el diagnóstico es más fácil (OpenVPN es mucho más claro) y muchos otros aspectos de la sobrecarga administrativa para una red tan grande y extendida fueron mucho más fáciles. Nunca miramos hacia atrás.

Uso OpenVPN para una VPN de sitio a sitio y funciona muy bien. Realmente me encanta lo personalizable que es OpenVPN para cada situación. El único problema que he tenido es que OpenVPN no es multiproceso, por lo tanto, solo puede obtener tanto ancho de banda como pueda manejar 1 CPU. Las pruebas que he realizado han sido capaces de impulsar ~ 375 MBits / seg a través del túnel sin problemas, lo cual es más que suficiente para la mayoría de las personas.

Open VPN de sitio a sitio es mucho mejor que IPSEC. Tenemos un cliente para el que instalamos Open-VPN en una red MPLS que funcionó bien y admitió un cifrado más rápido y seguro, como Blow-fish CBC de 128 bits. En otro sitio que está conectado a través de una IP pública, también utilizamos esta conexión en un ancho de banda bajo, como 256 kbps / 128 kbps.

Sin embargo, permítanme señalar que las interfaces IPSec VTI ahora son compatibles con Linux / Unix. Esto le permite crear túneles enrutables y seguros de la misma manera que OpenVPN sitio a sitio o GRE sobre IPSec.