web-dev-qa-db-ja.com

SSTP上のOpenVPNの利点は何ですか?

Windowsのみの環境を検討する場合、Windows組み込みプロトコルの代わりにOpenVPNを会社のVPNサービスとして導入する利点は何ですか?特に、新しいSSTPプロトコルはPPTPの弱点の1つをすでに克服しており、ファイアウォール/ NATを超えない場合があります。

Windows統合ソリューションを使用しない理由はあるのでしょうか。セキュリティの強さが問題になる可能性がありますが、それらの違いがわかりません(MS VPNが脆弱であることがわかっていますが、それでも問題はありませんか?)

ありがとう。

7
Jose

OpenVPNのクライアントの可用性は(少なくとも現時点では)SSTPよりも広くなっています。たとえば、OpenVPNクライアントが組み込まれたIP電話を購入できます。私の知る限り、MicrosoftはSSTPクライアントをWindowsにバックポートしませんでしたXP(最初はそうするように言っていました))ため、大きなクライアントベースが遮断されました。 SSTPでは、サポートされているクライアントオペレーティングシステムにサードパーティソフトウェアをインストールする必要はありません。

OpenVPNには、Microsoftのサービスとは異なり、クライアントごとのライセンス料はかかりません。 (私は、Windows CALを必要とする特定の使用法については意見を述べません。一部のドキュメントでは、Microsoftは DHCPクライアントはCALを必要とする と主張しているので、それらを与える傾向があります広いバース。私の管理人がWindows Serverマシンの周りにほこりをかければ、おそらくそれらのCALが必要です。 ライセンスについて調べる適切な場所は、ソフトウェア「メーカー」です とにかく...)

「プッシュされた」ルートを受信するためにOpenVPNクライアントに組み込まれている機能は、MicrosoftのVPNクライアントよりも柔軟性があります(CMAKを使用していない限り、実際には信頼性がありません)。

12
Evan Anderson

Winのみの環境でのOpenVPNの主な利点は、基になるベアラとしてUDPを使用することです。これにより、「TCPメルトダウン問題」が回避されます http://sites.inka.de/bigred/devel/tcp-tcp。 html TCP TCPに関する詳細情報。

hth、cheerio Steve

11
Lairsdragon

残念なことにSSTP(2011年11月現在)認証を使用するプロキシサーバーでは機能しません。これは文書化されていますが、多くの人はそれを理解していません。

非認証プロキシのネットワーク管理者がSSTPヘッダーを検出して接続をドロップすることも可能です。したがって、ファイアウォールなどを通過するという記述はtrueです一部予約あり

OpenVPNは、プロキシでHTTPSを経由することができます認証あり。通常の「SSL」のように見えるため、このトラフィックをブロックすることははるかに困難ですが、そうではありません!内容の最初のバイトのいくつかのパッケージ検査で、それらのパケットをブロックすることが可能です。このモードのOpenVPNは、OpenVPNがTCPモードで動作するため、 "UDP"パフォーマンスの向上を失います。この意味で、SSTPと同じです。

OpenVPNの場合、ポート443にもWebサーバーがあり、これが商用版の場合、サーバー側で2つのパブリックIPが必要です。コミュニティエディションでは、サーバーがOpenVPN以外のプロトコルを検出し、トラフィックを代替のWebサーバー(443)にリダイレクトするため、同じIPで443ポートを共有することが可能です。これはLinuxバージョンのOpenVPNサーバーでのみ機能します。

SSTPでは、SSTPトラフィックと通常のWebサーバーで保護されたページの両方で、同じIP /ポート443を共有できます。

SSTPでは、RRASサーバーに到達する前に、ネットワーク上にSSLオフロードデバイスが存在する可能性があります。 OpenVPNでは、トラフィックは実際には「真の」SSLではないため、つまり、openVPNプロトコルはSSLペイロードをカプセル化しているため、これは現実的ではありません。

OpenVPNコミュニティーでは、KPIインフラストラクチャー、証明書などを処理する必要があります。これは、ときどき難しい学習曲線になる可能性があります...(コミュニティー版)。商用版では、このタスクはより簡単になります。

OpenVPNコマーシャルでは、認証をLDAPと統合できます(たとえば、AD上)。コミュニティではこれは不可能です(完全にはわかりませんが、ほとんど!)。クライアント証明書に関するアイデア。より単純な証明書スキームを使用することは可能ですが。

O SSTP、これは明白に含まれています。

OpenVPNはUDPモードで非常に優れていますが、PPTPはデータチャネル(GREプロトコル)のUDPでも機能します。問題はSSTPとOpenVPNの比較なので、 TCPトラフィックを比較しています。

ですから...良くも悪くもありません...私の場合、機能要件のために1つを選択するのに苦労しました...それでも、選択する必要があったもの(SSTP)に完全に満足していませんが、かなり満足。ネットワーク(ホテル)がPPTP=をブロックする場合、SSTPを使用できます...これはVPNクライアントによって自動的に処理されるためです。

OpenVPNクライアントには同様のフォールバックメカニズムがあります。

SSTPはすでにLinuxでサポートされていますが、プロジェクトは初期段階のようです。

5
Luis Cordeiro

[〜#〜] pptp [〜#〜]暗号解読および しないでください使用しない 。これは、キーの長さの問題だけでなく、認証とMicrosoft Point-to-Point Encryption(MMPE)の重大な欠陥の問題です。

堅牢なアーキテクチャ、幅広いサポート、高いセキュリティ、信頼性の高いネットワークトラバーサル、および確かなパフォーマンスの観点から、私自身の好みはOpenVPNです。

2
JNavas

SSTPで私が目にする唯一の利点は技術的なものではありません。Windowsでの統合が明らかに優れており、おそらく構成が簡単です(あまり強力でないため)。

OpenVPNの利点:

  • DP経由でトンネルできます

これは、TCPトンネルが非常に速くスタックするような帯域幅制限のある環境では非常に重要です。

  • DP(TCPを除く)の1つの単一ポートでトンネリングできます

一部の人は、https TCPポート443は任意の環境(ホテルなど)で使用されます)と言いますが、これは妥当な仮定ですが、UDPではありません。– DNS UDPポート53も多くの場合使用されます環境でOpenVPNを設定できます!

  • クライアントおよびサーバーの両方として、はるかに多くのWindowsプラットフォーム(およびもちろん他のプラットフォーム)で利用可能
  • ネットワークをトンネルできます

ここでは「Windowsのみ」のままにしておきます...しかし、ホテルの部屋でチームを接続したい場合は、トリッキーになる可能性があります... 1つのオプションは、小さなルーター(OpenVPNを実行)を使用して到着し、コンピュータ/電話がそこに接続します。 Linuxを実行しているコンピュータまたはroot化されたAndroidスマートフォン、...

OpenWRTまたはFreetzを実行しているルーター、「アフターマーケットファームウェア」を使用してこれを行いました。

  • ネットワークの変更に対応するように構成できます

「フロート」オプションを使用して、接続を失うことなく、WiFiカバーエリアと3Gモバイルネットワークの間でスイッチを存続させました。 (長年のバグにより、これはピアモードでのみ機能します。)

ここで終わります。

1
Robert Siemer