• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

IPSec mit Strongswan oder OpenVPN?

schorsch_76

FreeBSD Fanboy
Themenstarter #1
Hallo Kollegen,

seit langer Zeit nutze ich OpenVPN dennoch interessiert mich was ihr für VPN einsetzt?

Ich habe mir schon mehrfach Strongswan bzw. IPSec angesehen aber das scheint von der Komplexität und der "NAT-Tauglichkeit" nicht in jeder Konfiguration einfach zu sein. Wenn ich hier im Forum zu den Themen suche tauchen mehrere Dramen auf.

Ein RL-Arbeitskollege meinte "IPSec ist halt schon ein anderes Kaliber als OpenVPN.". Ähh .... ja .. von der Komplexität auf jeden Fall: Aber ist es auch sicherer? IPSec ist halt auf der IP Ebene und OpenVPN auf der TCP/UDP Ebene.

Zu IPSec gibt es ja da Zitat von Bruce Schneier:
“IPsec was a great disappointment to us. Given the quality of the people that worked on it and the time that was spent on it, we expected a much better result.”​
„IPsec war eine große Enttäuschung für uns. In Anbetracht der Qualifikation der Leute, die daran gearbeitet haben, und der Zeit, die dafür aufgebracht wurde, haben wir ein viel besseres Ergebnis erwartet.“​
Niels Ferguson, Bruce Schneier: A Cryptographic Evaluation of IPsec (S. 1, Abs. 2; PDF; 222 kB)

https://de.wikipedia.org/wiki/IPsec

Was ist eure Meinung dazu? Gibt es einen Sicherheitsgewinn bei korrekter Nutzung von IPSec gegenüber OpenVPN oder ist das eher religiöser Natur?

Gruß
Georg
 
#2
IPsec ist halt ein Industriestandart und mit IKEv2 eigentlich ziemlich brauchbar geworden. Wenn’s schnell gehen soll und alle Beteiligten OpenVPN können ist das aber schneller zu implementieren. Plus mit OpenVPN kann man auch L2 VPNs bauen, manchmal braucht man das ja. IPSec wird dafür im der Regel im Kernel implementiert, was dann einen Performance Gewinn bringen kann.

Ich mag IPSec dennoch ganz gerne, weil jedes halbwegs aktuelle Betriebssystem einen Client dafür schon mitbringt. Leider unterstützen die dann oft nur ein bestimmtes Subset des Standards, sodass oftmals doch wieder trial and error angesagt ist.
 

medV2

Well-Known Member
#3
IPSec ist halt Standard, viele nahmhafte Firewalls (Barracuda, Cisco, ..) kann man mit etwas Geduld dazu bringen mit StrongSwan zu arbeiten. Zudem: Wenns ein Sicherheitsproblem gibt ( was ich in beiden Lösungen für gleich Wahrscheinlich/Unwahrscheinlich halte ) bist du mit IPSec auf der sichereren Seite wenn im Unternehmen ein Schuldiger gesucht wird. Immerhin nehmen das "alle Großen" ;)

Ich hab mal für Mobiledevices "VPN on Demand" machen wollen (also nur für bestimmte Netze ins VPN einwählen) - das ging mit OpenVPN nicht, mit SW schon. Ist aber schon ein paar Jahre her.
 

Crest

rm -rf /*
Mitarbeiter
#6
Also sobald du auch Traffic (>10MiB/s) in deinem VPN hast führt an IPsec kein Weg vorbei in FreeBSD. OpenVPN hat einen besseren Ruf was die Einstiegshürde angeht, aber es kann fast genauso schlimm werden wie IPsec, wenn du mehr als nen Site-to-Site Tunnel mit PSK brauchst.
 

schorsch_76

FreeBSD Fanboy
Themenstarter #8
Momentan hab ich Android, Windows, Linux und FreeBSD (mit X509 Cert). Also fast die ganze Bandbreite. Ich denke mittlerweile dass ich einfach das obige Setup kopieren kann und die local_addr auf %any setzen könnte....

Mein Jetztiges VPN macht auch Tunnel Mode (auch auf Android mit der App).