Qual é a vantagem do OpenVPN sobre o SSTP?

6

Se considerarmos o ambiente apenas do Windows, qual é a vantagem de introduzir o OpenVPN como o serviço VPN da empresa, em vez dos protocolos internos do Windows? Especialmente o novo protocolo SSTP já supera o da fraqueza do PPTP, que pode não passar por firewall / NAT.

Eu estou querendo saber se há alguma razão para não usar a solução integrada do Windows. A força da segurança pode ser um problema, mas não tenho certeza de como eles são diferentes (eu sei que a MS VPN estava vulnerável, mas ainda é?)

Obrigado.

    
por Jose 20.08.2010 / 11:28

6 respostas

11

A disponibilidade de clientes para o OpenVPN é mais ampla que a do SSTP (pelo menos agora). Eu posso comprar um telefone IP com um cliente OpenVPN embutido, por exemplo. AFAIK, a Microsoft não voltou a portar o cliente SSTP para o Windows XP (o que, inicialmente, eles disseram que faria), de modo que corta uma grande base de clientes. Em contraste, no entanto, o SSTP não requer a instalação de software de terceiros em sistemas operacionais clientes suportados.

Não há taxas de licença por cliente com o OpenVPN, como há com a oferta da Microsoft. (Não vou oferecer minha opinião sobre quais usos específicos precisam de uma CAL do Windows e quais não ... Em algumas documentações, a Microsoft alega que um cliente DHCP precisa de uma CAL , então eu tenho a tendência de dar-lhes um amplo espaço. Se meu zelador colocar poeira na minha máquina Windows Server, eu provavelmente preciso de uma CAL para eles. direito lugar para saber mais sobre licenciamento é o software "fabricante" mesmo assim ...)

A funcionalidade embutida no cliente OpenVPN para receber rotas "enviadas" é mais flexível do que o cliente VPN da Microsoft (a menos que você use o CMAK, e isso não tem sido confiável para mim na prática).

    
por 20.08.2010 / 12:44
11

A principal vantagem do OpenVPN em um ambiente somente para o Win é o uso do UDP como suporte subjacente, já que isso evita o 'problema de fusão do TCP', veja link para mais informações sobre o TCP no TCP.

hth, cheerio Steve

    
por 20.08.2010 / 11:57
4

Atenção que infelizmente o SSTP (a partir de novembro de 2011) não funcionará em um servidor proxy com autenticação . Isso está documentado, embora muitos não percebam isso.

Também é possível que o administrador da rede de um proxy não autenticado detecte cabeçalhos SSTP e elimine as conexões. Portanto, a afirmação de que ele passa por qualquer firewall, etc ... é verdadeira com algumas reservas .

O OpenVPN é capaz de passar por HTTPS em um proxy com autenticação . É muito mais difícil bloquear este tráfego porque parece normal "SSL", mas não é! É possível com alguma inspeção de pacote nos primeiros bytes do conteúdo bloquear esses pacotes. O OpenVPN neste modo perde o ganho de desempenho "UDP", porque o OpenVPN estaria funcionando no modo TCP. Então, nesse sentido, é igual a SSTP.

Para o OpenVPN, no lado do servidor, você precisa ter dois IPs públicos se também tiver um servidor da Web na porta 443, isso para a edição comercial. Para a edição comunitária, é possível compartilhar a porta 443 no mesmo IP, porque o servidor detecta um protocolo não-OpenVPN e redireciona o tráfego para um servidor da Web alternativo (443). Isso só funciona na versão Linux do servidor OpenVPN.

No SSTP, é possível compartilhar o mesmo IP / porta 443, tanto para o tráfego SSTP quanto para páginas protegidas pelo servidor web normal.

No SSTP, pode haver um dispositivo de descarregamento de SSL na rede antes de atingir o servidor RRAS. No OpenVPN, porque o tráfego não é realmente "verdadeiro" SSL, ou seja, o protocolo openVPN encapsula uma carga útil SSL, isso não é viável.

Na comunidade OpenVPN, você precisa lidar com a infraestrutura de KPIs, certificados, etc, o que pode ser uma curva de aprendizado mais difícil algumas vezes ... (na edição da comunidade). Na edição comercial, essa tarefa é facilitada.

No comercial do OpenVPN, a autenticação pode ser integrada ao LDAP (por exemplo, em um AD). Na comunidade isso não é possível (não completamente certo, mas quase!). A ideia e mais em torno de certificados de clientes; embora seja possível usar esquemas de certificados mais simples.

O SSTP, isso está incluído óbvio.

O trabalho OpenVPN no modo UDP é muito bom, mas o PPTP também funciona no UDP para o canal de dados (protocolo GRE). Como a questão é a comparação entre o SSTP e o OpenVPN, vamos supor que estamos comparando o tráfego TCP.

Então você vê ... não há um melhor ou pior ... No meu caso eu lutei muito para escolher um devido aos meus requisitos funcionais ... e ainda não totalmente satisfeito com o que eu tinha que escolher (SSTP ), mas bastante satisfeito. Digo isso porque se a rede (hotel) bloquear o PPTP, o SSTP pode ser usado ... isso é feito automaticamente pelo cliente VPN.

O cliente OpenVPN tem um mecanismo de fallback semelhante.

O SSTP já é suportado pelo Linux, mas o projeto parece estar nos estágios iniciais.

    
por 24.11.2011 / 17:06
2

PPTP é considerado criptograficamente quebrado e deve não ser usado . Não é apenas uma questão de tamanho da chave, mas de falhas graves na autenticação e na Criptografia ponto-a-ponto da Microsoft (MMPE).

Minha própria preferência, desde os pontos de vista da arquitetura robusta, suporte amplo, alta segurança, passagem de rede confiável e desempenho sólido, é OpenVPN .

    
por 16.03.2013 / 16:12
0

As únicas vantagens que vejo no SSTP não são técnicas: óbvio melhor integração no Windows e possivelmente mais fácil de configurar (também por ser menos potente).

Vantagens do OpenVPN:

  • pode encapsular em UDP

Isso é muito importante em qualquer ambiente restrito de largura de banda, onde um túnel TCP fica preso muito rapidamente.

  • pode encapsular em uma única porta no UDP (além do TCP)

Alguns dizem que a porta TCP https 443 entra em qualquer ambiente (hotel, etc.), o que é uma suposição razoável, mas não é UDP. - Eu acho que a porta DNS UDP 53 também vai em muitos ambientes, e você pode configurar o OpenVPN lá!

  • disponível para muito mais plataformas Windows (e outras, é claro), como cliente e servidor
  • pode fazer redes de túnel

Estou deixando o "Windows-only" aqui ... mas se você quiser conectar uma equipe em um quarto de hotel, pode ficar complicado ... Uma opção é chegar com um pequeno roteador (executando o OpenVPN) e deixe os computadores / telefones conectarem-se lá. Você também pode fazer isso com computadores que executam o Linux ou um smartphone Android com root, ...

Eu fiz isso com um roteador executando OpenWRT ou Freetz, um "firmware de pós-venda".

  • pode ser configurado para sobreviver às alterações na rede

Com a opção "float", deixei meu smartphone sobreviver a trocas entre áreas cobertas WiFi e rede móvel 3G, sem perder conexões! (Um bug de longa duração faz com que isso funcione apenas no modo peer.)

Eu termino aqui.

    
por 08.07.2012 / 05:36
-1

Outra vantagem do OpenVPN é que você pode executá-lo pela porta 443 (HTTPS). Isso se torna importante quando seus clientes se sentam em um quarto de hotel, já que muitos hotéis bloqueiam o tráfego em portas diferentes de 25,80, 110 e 443 e, em seguida, suas conexões VPN normais não funcionam mais. O mesmo também é verdade para muitas grandes empresas.

    
por 20.08.2010 / 14:09