Qual è il vantaggio di OpenVPN su SSTP?

Se si considera l'ambiente solo di Windows, qual è il vantaggio di introdurre OpenVPN come servizio VPN aziendale, anziché i protocolli integrati Windows? Soprattutto il nuovo protocollo SSTP già superato quello della debolezza di PPTP, che non può andare oltre il firewall / NAT.

Mi chiedo se c'è qualche motivo per non utilizzare la soluzione integrata di Windows. La forza della sicurezza può essere un problema, ma non sono sicuro di come siano differenti (lo so che MS VPN era vulnerabile, ma è ancora?)

Grazie.

  • Esegui il command CLI su un'istanza di windows EC2 usando c #
  • Samba public share - Windows continua a chiedere la password
  • webdav su iis7.5 - semplicemente non può farlo funzionare
  • Ottieni il codice di errore dell'ultimo command shell
  • VboxManage in un file batch
  • Raccomandazioni del server TFTP di Windows?
  • utilizzando più tabs di networking per aumentare la width di banda totale di un server in una LAN (windows)
  • Installare le funzionalità e i ruoli di Windows Server 2008 R2 tramite Criteri di gruppo
  • 6 Solutions collect form web for “Qual è il vantaggio di OpenVPN su SSTP?”

    La disponibilità di client per OpenVPN è più ampia di quella di SSTP (alless, adesso). Per esempio, posso acquistare un telefono IP con un client OpenVPN incorporato. AFAIK, Microsoft non ha spedito il client SSTP a Windows XP (che, in un primo momento, avevano detto che avrebbero fatto), in modo da tagliare una grande base client. Al contrario, però, SSTP non richiede l'installazione di software di terze parti sui sisthemes operativi client supportti.

    Non ci sono tasse di licenza per client con OpenVPN come ci sono con l'offerta di Microsoft. (Io non offrirò la mia opinione su quali usi specifici necessitano di una CAL di Windows e che non … In una certa documentazione Microsoft afferma che un client DHCP necessita di una CAL , quindi ho la tendenza a dare loro un ampio ancoraggio. polvere intorno alla mia macchina di Windows Server probabilmente ho bisogno di una CAL per loro. Il posto giusto per conoscere la licenza è comunque il "produttore" del software …)

    La funzionalità integrata al client OpenVPN per ricevere routes "spinti" è più flessibile del client VPN di Microsoft (a less che non si utilizzi il CMAK e ciò non è stato affidabile per me in pratica).

    Il vantaggio principale di OpenVPN in un ambiente Win only è l'utilizzo di UDP come porttore sottostante in quanto evita il problema di "fusione TCP" vedere http://sites.inka.de/bigred/devel/tcp-tcp.html per maggiori informazioni di TCP in TCP.

    hth, cheerio Steve

    Attenzione che sfortunatamente SSTP (a partire da novembre 2011) non functionrà su un server proxy con l'authentication . Questo è documentato, anche se non molti ne rendono conto.

    È inoltre ansible che l'amministratore di networking per un proxy non autenticato per rilevare le intestazioni SSTP e abbandonare le connessioni. Quindi l'affermazione che va attraverso qualsiasi firewall, ecc … è vero con alcune riserve .

    OpenVPN è in grado di passare HTTPS su un proxy con l'authentication . È molto più difficile bloccare questo traffico perché sembra normale "SSL", ma non lo è! È ansible eseguire un'ispezione dei pacchetti sui primi byte del contenuto per bloccare questi pacchetti. OpenVPN in questa modalità perde il guadagno di performance "UDP", perché OpenVPN functionrebbe in modalità TCP. Quindi in questo senso è uguale a SSTP.

    Per OpenVPN, sul lato server, è necessario disporre di due IP public se si dispone anche di un server web sulla port 443, questo per l'edizione commerciale. Per l'edizione comunity è ansible condividere la port 443 sullo stesso IP, poiché il server rileva un protocollo non OpenVPN e reindirizza il traffico a un server web alternativo (443). Questo funziona solo nella versione Linux del server OpenVPN.

    Su SSTP, è ansible condividere la stessa port IP / port 443, sia per il traffico SSTP che per le pagine protette standard del server Web.

    SSTP può essere un dispositivo di scaricamento SSL sulla networking prima di raggiungere il server RRAS. In OpenVPN, perché il traffico non è veramente "vero" SSL, cioè il protocollo openVPN incapsula un payload SSL, questo non è fattibile.

    Nella community di OpenVPN, è necessario gestire l'infrastruttura KPI, i certificati, ecc., Che può essere una curva di apprendimento più difficile … (in edizione della comunità). Nell'edizione commerciale questo task è reso più facile.

    Su OpenVPN commerciale, l'authentication può essere integrata con LDAP (ad esempio su un AD). Nella comunità questo non è ansible (non completamente sicuro, ma quasi!). L'idea è più attorno ai certificati client; anche se è ansible utilizzare schemi di certificati più semplici.

    O SSTP, questo è incluso ovvio.

    OpenVPN funziona in modalità UDP con è molto buona, ma poi PPTP funziona anche su UDP per il canale dati (protocollo GRE). Poiché la domanda è il confronto tra SSTP e OpenVPN, supponiamo solo che stiamo confrontando il traffico TCP.

    Così vedi … non c'è niente di meglio o peggio … Nel mio caso ho combattuto duramente a scegliere uno a causa dei miei requisiti funzionali … e ancora non completamente soddisfatto di quello che wherevo scegliere (SSTP), ma abbastanza soddisfatto. Dico questo perché se la networking (hotel) blocca PPTP allora SSTP può essere utilizzato … questo viene gestito automaticamente dal client VPN.

    Il client OpenVPN ha un meccanismo di fallback simile.

    SSTP è già supportto da Linux, ma il progetto sembra essere nelle fasi iniziali.

    PPTP è considerato crittograficamente rotto e non deve essere utilizzato . Non è solo una questione di lunghezza chiave, ma di gravi errori nell'authentication e in Microsoft Point-to-Point Encryption (MMPE).

    La mia preferenza, dal punto di vista di un'architettura robusta, di un ampio supporto, di una sicurezza elevata, di un traversal di networking affidabile e di una solida performance, è OpenVPN .

    Un altro vantaggio di OpenVPN è che è ansible eseguirlo tramite port 443 (HTTPS). Questo diventa importnte quando i tuoi clienti siedono in una stanza d'albergo, poiché molti alberghi bloccano traffico su porti diversi dai 25,80, 110 e 443 e quindi le tue connessioni VPN non funzionano più. Lo stesso vale anche per molte grandi aziende.

    I soli vantaggi che vedo su SSTP non sono tecnici: ovviamente una migliore integrazione su Windows e forse più facile da configurare (anche perché è less potente).

    Vantaggi di OpenVPN:

    • può tunnel su UDP

    Questo è soo importnte in qualsiasi ambiente limitato di width di banda, where un tunnel TCP si blocca molto rapidamente.

    • può tunnel su una singola port in UDP (a parte TCP)

    Alcuni dicono che la port https TCP 443 va in qualsiasi ambiente (hotel, ecc.), Che è un presupposto ragionevole, ma non è UDP. – Trovo che la port UDP DNS 53 va anche in molti ambienti, e tu puoi configurare OpenVPN!

    • disponibile per più piattaforms Windows (e altri, ovviamente), sia come client che server
    • possono reti di tunnel

    Sto lasciando qui "solo Windows" … ma se vuoi colbind una squadra in una stanza d'albergo, può diventare difficile … Una possibilità è di arrivare con un piccolo router (in esecuzione OpenVPN) e lasciare che collegano i computer / telefoni. Puoi anche farlo con un computer che esegue Linux o uno smartphone Android rooted, …

    Lo ho fatto con un router che esegue OpenWRT o Freetz, un "firmware del mercato".

    • può essere configurato per sopravvivere ai cambiamenti di networking

    Con l'opzione "float", ho fatto il mio smartphone sopravvivere switch tra le aree WiFi coperte e la networking 3G, senza perdere le connessioni! (Un bug di lunga data lo fa solo in modalità peer.)

    Concludo qui.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.