Chuyển sang giao thức OpenVPN hoặc IKEV2 từ SSTP

Bản tóm tắt:

OpenVPN thêm tới 20%, trong khi Wireguard (và NordlyNX) sẽ chỉ thêm 4%. IKEV2 ở giữa, với thêm 7%

Trong bài viết này, chúng tôi sẽ so sánh các giao thức VPN khác nhau và thảo luận về lợi ích, sự khác biệt và trường hợp sử dụng của chúng.

1. Giao thức VPN là gì?

Giao thức VPN cung cấp các hướng dẫn rõ ràng về cách xử lý kết nối VPN, bao gồm kiểm tra tính toàn vẹn dữ liệu và phương thức mã hóa.

2. Các giao thức VPN chính là gì?

Các giao thức VPN chính bao gồm nordlynx (Wireguard), IKev2, OpenVPN và L2TP.

3. Nordlynx (Wireguard) là gì?

NordlyNX là một giao thức đường hầm nguồn mở dựa trên giao thức datagram người dùng (UDP) để có tốc độ nhanh hơn. NordlyNx giải quyết vấn đề gán địa chỉ IP cho người dùng bằng cách triển khai hệ thống dịch địa chỉ mạng duy nhất.

4. IKEV2 là gì?

IKEV2 là giao thức mã hóa VPN sử dụng khóa trao đổi khóa khác nhau và x.509 chứng chỉ để xác thực. Nó được biết đến với độ trễ và khả năng duy trì kết nối thấp khi chuyển đổi giữa Wi-Fi và dữ liệu di động.

5. OpenVPN là gì?

OpenVPN là một giao thức đường hầm nguồn mở hỗ trợ cả chế độ UDP và TCP. Nó cung cấp các kết nối đến điểm và trang web an toàn, cung cấp kết nối đáng tin cậy với tùy chọn cho tốc độ hoặc sự ổn định.

6. L2TP là gì?

L2TP là một giao thức kết hợp giao thức đường hầm điểm đến điểm (PPTP) và chuyển tiếp lớp 2 (L2F). Nó thường được sử dụng kết hợp với IPSEC để mã hóa.

7. Lợi ích của Nordlynx là gì?

NordlyNX cung cấp hiệu suất và bảo mật được cải thiện bằng cách gán địa chỉ IP duy nhất cho người dùng và đường hầm của họ. Nó đảm bảo quyền riêng tư dữ liệu mà không cần đăng nhập danh tính người dùng.

số 8. Lợi ích của IKEV2 là gì?

IKEV2 cung cấp độ trễ thấp và chuyển đổi liền mạch giữa Wi-Fi và dữ liệu di động. Nó cũng có các tính năng như tự động kết nối khi kết nối giảm.

9. Lợi ích của OpenVPN là gì?

OpenVPN được sử dụng rộng rãi và có khả năng tùy biến cao. Nó cung cấp tùy chọn chế độ UDP hoặc TCP, tùy thuộc vào các ưu tiên của tốc độ hoặc sự ổn định.

10. Lợi ích của L2TP là gì?

L2TP cung cấp các kết nối an toàn và thường được sử dụng kết hợp với IPSEC để mã hóa.

11. Giao thức nào có chi phí dữ liệu thấp nhất?

Wireguard (NordlyNX) có chi phí dữ liệu thấp nhất, chỉ thêm 4% vào dữ liệu được truyền.

12. Giao thức nào phù hợp với thiết bị di động?

IKEV2 phù hợp với các thiết bị di động vì nó có thể duy trì kết nối khi chuyển đổi giữa Wi-Fi và dữ liệu di động.

13. Điều gì phân biệt Nordlynx với Wireguard?

NordlyNX đã thêm một hệ thống dịch địa chỉ mạng kép để đảm bảo quyền riêng tư của người dùng mà không cần ghi danh danh tính.

14. OpenVPN có thể hoạt động ở cả chế độ UDP và TCP?

Có, OpenVPN có thể hoạt động ở cả chế độ UDP và TCP, cung cấp các tùy chọn cho tốc độ hoặc độ ổn định.

15. Các tính năng bảo mật của IKEV2 là gì?

IKEV2 sử dụng trao đổi khóa Diffie-Hellman và x.509 Chứng chỉ để xác thực, đảm bảo kết nối an toàn và mã hóa cấp cao.

Chuyển sang giao thức OpenVPN hoặc IKEV2 từ SSTP

Tuy nhiên, không phải tất cả các giao thức đều có cùng một dữ liệu. Ví dụ, OpenVPN thêm tới 20%, trong khi Wireguard (và NordlyNX) sẽ chỉ thêm 4%. IKEV2 ở giữa, với thêm 7%, đó vẫn là một kết quả tốt. Vì vậy, nếu bạn muốn giảm thiểu dữ liệu người dùng của mình, bạn nên gắn bó với nordlynx.

So sánh giao thức VPN

Mạng riêng ảo (VPN) có lẽ là phương pháp phổ biến nhất để thiết lập các kết nối để chia sẻ dữ liệu nhạy cảm. Công nghệ hoạt động bằng cách liên kết thiết bị của bạn với máy chủ VPN tạo một đường hầm an toàn. Trước khi bắt đầu kết nối VPN, phải có một định nghĩa chung về cách nó trông.

Giao thức VPN cung cấp các hướng dẫn rõ ràng về cách xử lý kết nối này. Nó chỉ định tất cả các chi tiết mà thiết bị và máy chủ của bạn ở đầu nhận phải biết. Các giao thức có đủ hình dạng và kích thước. Một số yêu cầu kiểm tra tính toàn vẹn dữ liệu bổ sung trong khi những người khác thêm mã hóa mạnh mẽ hơn. Sự đa dạng là rất lớn, và có rất nhiều chỗ để tùy biến.

Bài viết này sẽ giới thiệu các giao thức VPN phổ biến nhất và đánh giá lợi ích, sự khác biệt và trường hợp sử dụng của chúng.

Các giao thức VPN chính là gì?

Dữ liệu đi qua một giao thức đường hầm được chia thành các mảnh và được đặt bên trong các gói dữ liệu được mã hóa. Sau khi đến đích dự định của họ, máy chủ đã giải mã các gói với khóa riêng được cấu hình và giải nén dữ liệu đã gửi. Quá trình này qua lại giữa thiết bị của bạn và máy chủ VPN cho toàn bộ phiên.

Trong khi nguyên tắc cốt lõi về cách thức hoạt động đường hầm không đổi, Các thuộc tính cụ thể phân biệt các giao thức đường hầm với nhau. Hầu hết các thiết bị phần cứng đều hỗ trợ họ, và một số cũng được coi là tiêu chuẩn.

Dưới đây là một bản tóm tắt ngắn gọn về một số giao thức đường hầm phổ biến nhất:

Nordlynx (Wireguard)

Wireguard là một giao thức đường hầm nguồn mở với mã được sắp xếp hợp lý để giảm thiểu bề mặt tấn công và cải thiện đáng kể bảo trì. Nó dựa trên Giao thức Datagram của người dùng (UDP), bỏ qua việc bắt tay để được hưởng lợi từ tốc độ tăng đáng kể.

Wireguard không thể gán địa chỉ IP một cách linh hoạt cho mọi người được kết nối với máy chủ. Để xử lý việc này và để kết nối có thể, máy chủ cần một sổ cái nội bộ. Điều này đăng ký mỗi người dùng, đảm bảo rằng các gói của họ không được trộn lẫn. Trong một vi phạm dữ liệu, điều này có thể phản tác dụng vì sẽ dễ dàng xác định danh tính của người dùng được chỉ định bởi máy chủ.

Nordlynx được tạo bởi nhóm bảo mật Nord. Thể hiện sự cải thiện cho cốt lõi của mã Wireguard, nó giải quyết vấn đề liên quan đến danh tính người dùng.

Nordlynx khác với Wireguard bằng cách thêm một Hệ thống dịch địa chỉ mạng kép. Nó tạo ra một giao diện cục bộ cho mỗi phiên, gán một địa chỉ IP duy nhất cho người dùng và các đường hầm của họ. Điều này giải quyết vấn đề sổ cái mà không cần đăng nhập người dùng hiện tại để theo dõi đích của từng gói dữ liệu. Địa chỉ IP chỉ được chỉ định khi phiên hoạt động, cung cấp hiệu suất và bảo mật vô song khi kết nối với máy chủ VPN.

Chỉ các sản phẩm bảo mật của Nord như Nordvpn và Nordlayer mới có giao thức đường hầm này.

IKEV2

Internet trao đổi khóa phiên bản 2 là giao thức mã hóa VPN xử lý các hành động yêu cầu và phản hồi. Nó dựa vào hai cơ chế để xác thực và mã hóa. Để mã hóa, nó sử dụng giao thức trao đổi khóa DiffieTHER Hellman để thiết lập một phiên chia sẻ. Xác thực của IKEV2 được xử lý bởi x.509 Chứng chỉ cơ sở hạ tầng chính công cộng, dựa trên Tiêu chuẩn Liên minh Viễn thông Quốc tế (ITU).

IKEV2 thuộc bộ giao thức bảo mật Internet xử lý các hiệp hội bảo mật (SA). Công việc của họ là tìm các điều kiện đồng ý lẫn nhau để thiết lập một đường hầm VPN. Vì IKEV2 sử dụng UDP, nó có độ trễ tương đối thấp và sẽ là một lựa chọn nhanh chóng cho hầu hết các trường hợp sử dụng. Nó cũng không đòi hỏi hiệu suất lắm, vì vậy hoạt động tốt trên các thiết bị phần cứng yếu hơn.

Giao thức IKE VPN cũng có thể duy trì kết nối khi chuyển đổi giữa Wi-Fi và dữ liệu di động. Do đó, nó có thể là một lựa chọn tốt cho các thiết bị di động dựa vào dữ liệu di động nhưng có thể chuyển sang Wi-Fi. Ngoài ra, IKEV2 cũng thực hiện các tính năng như tự động kết nối khi kết nối giảm.

OpenVPN

OpenVPN là giao thức VPN được sử dụng rộng rãi nhất. Nó là một Giao thức đường hầm nguồn mở và hệ thống cho phép thiết lập các kết nối điểm-điểm và trang web an toàn. Bảo mật lớp vận chuyển, kết hợp với các thuật toán thư viện mật mã OpenSSL, xử lý trao đổi khóa riêng để tăng sự an toàn của các mạng riêng ảo.

Từ góc độ kết nối mạng, Giao thức OpenVPN có thể hoạt động ở hai chế độ: Giao thức điều khiển UDP hoặc Truyền (TCP).

UDP – không sử dụng bắt tay, có nghĩa là gửi các gói dữ liệu mà không nhận được xác nhận rằng họ đã đến đích. Đó là cùng một phương pháp được sử dụng bởi Wireguard và IKEV2 ưu tiên tốc độ thay vì sự ổn định kết nối.

TCP -Sử dụng bắt tay ba chiều giữa người khởi tạo và máy thu. Máy khách gửi yêu cầu, máy chủ thừa nhận biên lai và máy khách trả lời với xác nhận. Mặc dù điều này có vẻ giống như nhiều bước bổ sung, điều này giúp đạt được kết nối đáng tin cậy ở nhược điểm của độ trễ đáng kể hơn.

Cả UDP và TCP đều cắt dữ liệu của bạn thành các gói nhỏ hơn khi gửi. Chúng bao gồm IPS của người gửi và người nhận, dữ liệu thực tế và dữ liệu cấu hình khác. Vì vậy, trong khi đó là một lần lặp tiên tiến hơn nhiều, OpenVPN vẫn dựa vào cùng một nguyên tắc đường hầm.

L2TP

Giao thức đường hầm lớp 2 (L2TP) Kết hợp giao thức điểm đến điểm (PPTP) và chuyển tiếp lớp 2 Để tạo các đường hầm VPN. Bản thân, L2TP không cung cấp mã hóa. Điều đó thường được cung cấp bởi IPSEC (xem bên dưới).

Được xuất bản lần đầu năm 1999, L2TP tạo kết nối giữa bộ tập trung truy cập (LAC) và máy chủ mạng (LNS). Kết nối này có thể có nhiều phiên và hoạt động trên lớp 2 của mô hình OSI.

Một trong những tích cực của giao thức là khả năng tương thích. PPTP được tích hợp vào Microsoft Windows và MacOS. Thiết lập các đường hầm rất dễ thông qua cả hai hệ điều hành, trong khi L2TP cũng tương thích với Linux.

Mặt khác, giao thức về hệ thống mã hóa và xác thực của chính nó. Vì lý do này, nó được hỗ trợ bởi một vài VPN hiện đại.

Ipsec

Bảo mật giao thức Internet (IPSec) hoạt động với L2TP dưới dạng L2TP/IPSEC. IPSEC cung cấp cả xác thực và mã hóa cho dữ liệu đi qua các đường hầm L2TP. Điều này dẫn đến một cách mạnh mẽ hơn nhiều để gửi dữ liệu một cách an toàn trên web.

IPSEC sử dụng mật mã AES để mã hóa dữ liệu. Giao thức VPN chạy hoạt động của Hiệp hội bảo mật bằng cách sử dụng các khóa IKE được chia sẻ. Khi có sẵn kết nối an toàn, giao thức sẽ tạo tải trọng bảo mật được đóng gói (ESP). Điều này kết thúc các gói dữ liệu trong hai lớp thông tin, cho phép hai thiết bị giao tiếp. Nó cũng che giấu danh tính của người gửi ban đầu với một lớp dữ liệu địa chỉ IP bổ sung.

IPSEC được phân loại là giao thức an toàn. Tuy nhiên, người ta biết rằng NSA đã tìm cách thỏa hiệp mã hóa AES 256 bit như là một phần của chương trình Bullrun của mình. Do đó, trạng thái bảo mật thực tế của mật mã là không chắc chắn.

Tốc độ IPSEC có thể bị xâm phạm bằng cách đóng gói kép. Và cả L2TP và IPSec đấu tranh để điều hướng tường lửa. Điều này có thể dẫn đến các vấn đề về hiệu suất.

TLS

Bảo mật lớp vận chuyển (TLS) có hai yếu tố: Giao thức bản ghi TLS và giao thức bắt tay TLS. Giao thức bản ghi tạo ra các kết nối an toàn, trong khi bắt tay ẩn danh dữ liệu để truyền.

TLS là một Đã cập nhật lần lặp của Giao thức Lớp ổ cắm bảo mật (SSL). Nó vượt xa SSL, cung cấp xác thực HMAC, tạo khóa PRF và sử dụng mật mã AES. Kết nối hoạt động thông qua cổng 443, có sẵn trong hầu hết các tình huống. Điều này cũng làm cho TLS trở thành một giao thức VPN tốt để điều hướng tường lửa.

TLS thường dựa trên trình duyệt. Nó thường xuyên Được sử dụng làm cơ sở cho giao thức đường hầm ổ cắm an toàn (SSTP) – Giao thức lựa chọn cho các VPN dựa trên web luôn luôn.

Trong bối cảnh này, TLS được sử dụng để kết nối các ứng dụng web và thiết bị người dùng hoặc máy chủ, mặc dù nó cũng có thể được sử dụng để mã hóa các kết nối OP OP qua. Các kết nối dựa trên trình duyệt cũng có thể không có khách hàng, Giảm nhu cầu về phần mềm VPN bổ sung.

Nhược điểm của TLS là nó chỉ hoạt động thông qua các trình duyệt hoặc các ứng dụng được hỗ trợ. Vì lý do này, người dùng thường kết hợp các VPN IPSEC và TLS để bảo hiểm mạng toàn diện.

Sự khác biệt chính giữa các giao thức VPN là gì?

Cho dù bạn đang tự lưu trữ máy chủ VPN hay chuyển sang nhà cung cấp VPN, bạn sẽ phải chọn giao thức VPN cho kết nối của mình. Đó là một trong những thành phần thiết yếu của kết nối VPN.

Đây là tổng quan về cách các giao thức phổ biến nhất so sánh. Chọn giao thức VPN thích hợp có thể mang lại lợi ích cho hoạt động Internet của bạn và sẽ không lãng phí tài nguyên của bạn khi không cần thiết.

So sánh tốc độ

Nghiên cứu từ Nord Security nhận thấy rằng giao thức VPN NordlyNX có thể tăng lên tới 1200 Mbps, trong khi IKEV2 chỉ đạt 600 Mbps và OpenVPN quản lý tốc độ được ghi lại tốt nhất 400 Mbps. Các xu hướng tương tự lặp lại trên bảng bất kể khoảng cách giữa máy chủ VPN và vị trí của máy khách.

Dựa trên những phát hiện này, Nếu bạn đang tìm kiếm giao thức đường hầm an toàn nhanh nhất, bạn nên đi với nordlynx (hoặc bảo vệ dây). Nhanh thứ hai sẽ là IKEV2, có thể tự tin giữ riêng mình ngay cả khi kết nối với phía bên kia của thế giới.

Tất cả các giao thức trên có xu hướng vượt quá L2TP/IPSEC về tốc độ. TLS cũng bị thời gian đàm phán dài hơn, đặt nó bên dưới IKEV2/IPSEC, OpenVPN và NordlyNX.

Mã hóa

OpenVPN cung cấp mã hóa mạnh nhất thông qua thư viện OpenSSL. Nó hỗ trợ các thuật toán mật mã khác nhau như AES, Chacha20, Poly1305, v.v. OpenVPN cũng có thể sử dụng các thuật toán băm cho thông tin đăng nhập như MD5, Blake2 và các thuật toán khác. RSA, DSA và nhiều thuật toán khác có thể xử lý đạo hàm khóa riêng của giao thức. Mức độ của các tùy chọn tùy chỉnh làm cho OpenVPN trở thành một giao thức VPN rất thích ứng cho nhiều trường hợp sử dụng có thể liên quan đến thiết lập VPN của bạn.

Nordlynx/Wireguard không linh hoạt về mã hóa. Mã hóa của nó chỉ dựa trên chacha20, (được coi là an toàn hơn AES). Xác thực được xử lý bởi chức năng mật mã Poly1305 bằng cách sử dụng blake2 để băm. Lớp vận chuyển của nó chỉ cung cấp tùy chọn UDP.

IKEV2 cung cấp nhiều sự lựa chọn hơn nordlynx nhưng hơi ít sau đó openvpn. Nó cung cấp một loạt các thuật toán mã hóa mạnh mẽ để lựa chọn, như mã hóa AES 256, cá bóng và các thuật toán khác. Sự khác biệt chính là nó chỉ có cài đặt UDP.

OpenVPN, NordlyNX và IKEV2 nên được coi là các giao thức đường hầm an toàn. Điều này ít đúng hơn đối với L2TP/IPSEC và TLS.

Giao thức đường hầm lớp 2 trên riêng của nó không có mã hóa nhưng người dùng có thể thêm mật mã trên đỉnh nếu muốn. Các chuyên gia bây giờ nghi ngờ rằng IPSec hoàn toàn an toàn, theo thông tin được tiết lộ bởi Edward Snowden. IPSEC cũng không phải là nguồn mở và người dùng phải tin tưởng vào thông tin đăng nhập bảo mật của các nhà phát triển.

SSL/TLS cung cấp mã hóa AES an toàn thông qua mật mã khóa công khai. Tuy nhiên, giao thức TLS kém linh hoạt hơn so với các lựa chọn thay thế nâng cao hơn.

Bảo vệ

Mặc dù Wireguard là nguồn mở, NordlyNX là độc quyền, có thể là một vấn đề nếu người dùng luôn cần nhận thức hoàn toàn về mã ứng dụng bảo mật. Mặc dù vậy, Wireguard của Nordlynx không có lỗ hổng bảo mật nào được biết đến. Điều tương tự cũng áp dụng cho OpenVPN.

Tuy nhiên, vì OpenVPN đã tồn tại lâu hơn, những người kiểm tra độc lập có nhiều thời gian hơn để giải quyết hầu hết các lỗi, có nghĩa là nó có thể được coi là tùy chọn VPN an toàn nhất. Wireguard vẫn là một công việc đang được tiến hành.

IKEV2 hơi an toàn hơn một chút. Theo bài thuyết trình NSA bị rò rỉ, việc khai thác các lỗ hổng giao thức của nó dẫn đến giải mã thành công. Trong khi được xem là đầu cơ, OpenVPN và Wireguard sẽ là những lựa chọn tốt hơn khi nhắm đến bảo mật tối đa.

SSL/TLS đã được liên kết với các cuộc tấn công giữa các trung bình thông qua các chứng chỉ bảo mật không đáng tin cậy. Người dùng có thể bị phơi bày bởi các lỗi cấu hình. Nhưng mã hóa AES 256 bit được sử dụng bởi TLS được coi là an toàn bởi hầu hết các chuyên gia.

L2TP/IPSEC bị các vấn đề tương tự như IKEV2. Nghi ngờ đã được nêu ra về thông tin bảo mật của giao thức và nó nằm dưới OpenVPN và NordlyNX trong bảng xếp hạng VPN an toàn.

Yêu cầu cổng mạng

Người dùng VPN có thể gặp sự cố kết nối nếu các mạng không hỗ trợ một cổng cụ thể được sử dụng bởi giao thức VPN đã chọn của họ. Một số quản trị viên mạng hoặc ISP có thể đóng các cổng để hạn chế bề mặt tấn công. Trong quá trình này, họ có thể giới hạn quyền truy cập vào tài nguyên làm việc với VPN.

NordlyNx và IKev2 sử dụng UDP – Lưu lượng truy cập Internet thông thường không. Do đó, quản trị viên của mạng có thể vô hiệu hóa nó. Nếu cổng được đóng, giao thức VPN sẽ không thể bắt đầu kết nối, có thể là một vấn đề.

OpenVPN là một trong những lựa chọn tốt nhất liên quan đến khả năng tương thích. Giao thức VPN sử dụng cổng TCP 443, giống như HTTPS. Ngay cả khi cho phép duyệt web giới hạn, người dùng vẫn có thể đi qua với OpenVPN.

L2TP/IPSEC có thể gặp sự cố với tường lửa do sử dụng đóng gói kép. Bản thân giao thức đường hầm lớp 2 xử lý tường lửa, nhưng thiếu các tính năng bảo mật. Mặt khác, TLS sử dụng cổng 443. Điều này cho phép các đường hầm TLS đi qua hầu hết các tường lửa.

Sử dụng dữ liệu

Tiêu thụ dữ liệu thường tăng khi sử dụng giao thức VPN. Điều này là do mỗi gói dữ liệu được đóng gói lại. Thêm dữ liệu bổ sung trên đầu nó tăng kích thước của nó. Theo thời gian, điều này sẽ tăng lên và khi làm việc trên kết nối có đồng hồ đo, người dùng có thể tiếp cận giới hạn dữ liệu hàng tháng nhanh hơn.

Tuy nhiên, không phải tất cả các giao thức đều có cùng một dữ liệu. Ví dụ, OpenVPN thêm tới 20%, trong khi Wireguard (và NordlyNX) sẽ chỉ thêm 4%. IKEV2 ở giữa, với thêm 7%, đó vẫn là một kết quả tốt. Vì vậy, nếu bạn muốn giảm thiểu dữ liệu người dùng của mình, bạn nên gắn bó với nordlynx.

L2TP/IPSEC thường sẽ vượt quá tất cả các giao thức này về mặt sử dụng dữ liệu. Đóng gói kép bổ sung thêm chi phí cho mỗi hộp số gói. TLS sử dụng nhiều dữ liệu hơn IKEV2 và NORDLYNX, nhưng sẽ tiêu thụ ít hơn OpenVPN.

Khả năng tương thích thiết bị

IKEV2, L2TP/IPSEC và OpenVPN thường tốt nhất khi nói đến khả năng tương thích.

Hầu hết các thiết bị đều hỗ trợ IKEV2 và sẽ tương đối dễ dàng để thiết lập các kết nối thủ công trên chúng. Thông thường, người dùng phải chọn giao thức VPN từ danh sách và nhập các địa chỉ và thông tin xác thực cụ thể.

OpenVPN dựa vào các thư viện mật mã bổ sung. Hầu hết các nhà sản xuất các sản phẩm tiêu dùng không bao gồm chúng theo mặc định, vì vậy bạn có thể được yêu cầu xem xét firmware nhấp nháy nếu bạn đang thiết lập nó trên bộ định tuyến.

Nordlynx và Wireguard chỉ có thể được sử dụng thông qua các ứng dụng của họ, có nghĩa là mọi hệ điều hành chính đều được hỗ trợ.

Chức năng L2TP/IPSEC gốc được bao gồm với MS Windows và MacOS và khả năng tương thích đạt được tất cả các cách trở lại Windows 2000. Người dùng nên gặp một vài vấn đề khi kết hợp giao thức VPN với máy tính hoặc bộ định tuyến.

TLS dựa trên trình duyệt. Nó hoạt động với tất cả các trình duyệt web lớn, nhưng chỉ có thể được sử dụng với các kết nối web. Điều này làm cho nó ít hữu ích hơn khi cài đặt trên các bộ định tuyến hoặc bảo vệ mạng doanh nghiệp, nhưng không làm cho SSL/TLS hữu ích cho các kết nối làm việc từ xa.

Bạn nên sử dụng giao thức VPN nào và khi nào?

Đây là một bản tóm tắt về lợi ích và nhược điểm của từng giao thức.

Chuyển sang giao thức OpenVPN hoặc IKEV2 từ SSTP

Kết nối VPN Point-to-site (P2S) cho phép bạn tạo kết nối an toàn với mạng ảo của mình từ một máy khách riêng lẻ. Kết nối P2S được thiết lập bằng cách khởi động nó từ máy khách. Bài viết này áp dụng cho mô hình triển khai Trình quản lý tài nguyên và nói về các cách để khắc phục giới hạn kết nối đồng thời 128 của SSTP bằng cách chuyển sang giao thức OpenVPN hoặc IKEV2.

P2S sử dụng giao thức nào?

VPN điểm đến trang web có thể sử dụng một trong các giao thức sau:

• Giao thức OpenVPN®, Giao thức VPN dựa trên SSL/TLS. Giải pháp SSL VPN có thể xuyên qua tường lửa, vì hầu hết các tường lửa mở cổng TCP 443, SSL sử dụng SSL. OpenVPN có thể được sử dụng để kết nối từ Android, iOS (Phiên bản 11.0 trở lên), thiết bị Windows, Linux và Mac (phiên bản MacOS 10.13 trở lên).
• Giao thức đường hầm ổ cắm an toàn (SSTP), Một giao thức VPN dựa trên SSL độc quyền. Giải pháp SSL VPN có thể xuyên qua tường lửa, vì hầu hết các tường lửa mở cổng TCP 443, SSL sử dụng SSL. SSTP chỉ được hỗ trợ trên các thiết bị Windows. Azure hỗ trợ tất cả các phiên bản Windows có SSTP (Windows 7 trở lên). SSTP hỗ trợ tối đa 128 kết nối đồng thời bất kể SKU Gateway.
• IKEV2 VPN, giải pháp IPSEC dựa trên tiêu chuẩn. IKEV2 VPN có thể được sử dụng để kết nối từ các thiết bị MAC (phiên bản MacOS 10.11 trở lên).

IKEV2 và OpenVPN cho P2 chỉ có sẵn cho mô hình triển khai Trình quản lý tài nguyên. Chúng không có sẵn cho mô hình triển khai cổ điển. Cổng cơ bản SKU không hỗ trợ các giao thức IKEV2 hoặc OpenVPN. Nếu bạn đang sử dụng SKU cơ bản, bạn sẽ phải xóa và tạo lại một cổng mạng ảo SKU sản xuất.

Di chuyển từ SSTP sang IKEV2 hoặc OpenVPN

Có thể có những trường hợp khi bạn muốn hỗ trợ hơn 128 kết nối P2S đồng thời với cổng VPN nhưng đang sử dụng SSTP. Trong trường hợp như vậy, bạn cần chuyển sang giao thức IKEV2 hoặc OpenVPN.

Tùy chọn 1 – Thêm IKEV2 ngoài SSTP trên cổng

Đây là tùy chọn đơn giản nhất. SSTP và IKEV2 có thể cùng tồn tại trên cùng một cổng và cung cấp cho bạn số lượng kết nối đồng thời cao hơn. Bạn chỉ có thể bật IKEV2 trên cổng hiện có và tải lại máy khách.

Thêm IKEV2 vào Cổng VPN SSTP hiện có sẽ không ảnh hưởng đến các máy khách hiện có và bạn có thể định cấu hình chúng để sử dụng IKEV2 theo các lô nhỏ hoặc chỉ định cấu hình các máy khách mới sử dụng IKEV2. Nếu máy khách Windows được cấu hình cho cả SSTP và IKEV2, nó sẽ cố gắng kết nối bằng IKEV2 trước và nếu điều đó thất bại, nó sẽ quay trở lại SSTP.

IKEV2 sử dụng các cổng UDP không chuẩn, do đó bạn cần đảm bảo rằng các cổng này không bị chặn trên tường lửa của người dùng. Các cổng đang sử dụng là UDP 500 và 4500.

Để thêm IKEV2 vào một cổng hiện có, hãy chuyển đến tab “Cấu hình điểm đến trang” trong Cổng mạng ảo trong Cổng thông tin và chọn IKEV2 và SSTP (SSL) Từ hộp thả xuống.

Khi bạn có cả SSTP và IKEV2 được bật trên cổng, nhóm địa chỉ điểm đến trang web sẽ được phân tách một cách thống kê giữa hai, vì vậy các máy khách sử dụng các giao thức khác nhau sẽ được chỉ định địa chỉ IP từ phạm vi phụ. Lưu ý rằng số lượng máy khách SSTP tối đa luôn là 128 ngay cả khi phạm vi địa chỉ lớn hơn /24 dẫn đến số lượng địa chỉ lớn hơn có sẵn cho máy khách IKEV2. Đối với các phạm vi nhỏ hơn, hồ bơi sẽ giảm một nửa. Các bộ chọn lưu lượng được sử dụng bởi cổng có thể không bao gồm điểm vào phạm vi địa chỉ trang web CIDR, nhưng hai cidrs phạm vi phụ.

Tùy chọn 2 – Xóa SSTP và bật OpenVPN trên cổng

Vì SSTP và OpenVPN đều là giao thức dựa trên TLS, nên chúng không thể cùng tồn tại trên cùng một cổng. Nếu bạn quyết định chuyển từ SSTP sang OpenVPN, bạn sẽ phải tắt SSTP và bật OpenVPN trên cổng. Hoạt động này sẽ khiến các máy khách hiện tại mất kết nối với cổng VPN cho đến khi cấu hình mới được cấu hình trên máy khách.

Bạn có thể kích hoạt OpenVPN cùng với IKEV2 nếu bạn mong muốn. OpenVPN dựa trên TLS và sử dụng cổng TCP 443 tiêu chuẩn. Để chuyển sang OpenVPN, hãy chuyển sang tab “Cấu hình điểm đến trang” trong Cổng mạng ảo trong Cổng thông tin và chọn OpenVPN (SSL) hoặc IKEV2 và OpenVPN (SSL) Từ hộp thả xuống.

Khi cổng đã được định cấu hình, các máy khách hiện tại sẽ không thể kết nối cho đến khi bạn triển khai và định cấu hình máy khách OpenVPN.

Nếu bạn đang sử dụng Windows 10 trở lên, bạn cũng có thể sử dụng máy khách Azure VPN.

Các câu hỏi thường gặp

Các yêu cầu cấu hình máy khách là gì?

Đối với các máy khách Windows, bạn phải có quyền quản trị viên trên thiết bị khách để bắt đầu kết nối VPN từ thiết bị khách đến Azure.

Người dùng sử dụng máy khách VPN gốc trên các thiết bị Windows và Mac cho P2S. Azure cung cấp tệp zip cấu hình máy khách VPN có chứa các cài đặt mà các máy khách bản địa này yêu cầu để kết nối với Azure.

• Đối với các thiết bị Windows, cấu hình máy khách VPN bao gồm gói trình cài đặt mà người dùng cài đặt trên thiết bị của họ.
• Đối với các thiết bị MAC, nó bao gồm tệp MobileConfig mà người dùng cài đặt trên thiết bị của họ.

Tệp zip cũng cung cấp các giá trị của một số cài đặt quan trọng ở phía azure mà bạn có thể sử dụng để tạo hồ sơ của riêng mình cho các thiết bị này. Một số giá trị bao gồm địa chỉ cổng VPN, các loại đường hầm được cấu hình, tuyến đường và chứng chỉ gốc để xác thực cổng.

Bắt đầu từ ngày 1 tháng 7 năm 2018, hỗ trợ đang được xóa cho TLS 1.0 và 1.1 từ cổng VPN Azure. Cổng VPN sẽ chỉ hỗ trợ TLS 1.2. Chỉ các kết nối điểm đến trang web bị ảnh hưởng; Các kết nối trang web đến trang web sẽ không bị ảnh hưởng. nếu bạn’RE sử dụng TLS cho các VPN điểm đến trang web trên các máy khách Windows 10 trở lên, bạn không’t cần phải thực hiện bất kỳ hành động nào. Nếu bạn đang sử dụng TLS cho các kết nối điểm đến trang web trên các máy khách Windows 7 và Windows 8, hãy xem Câu hỏi thường gặp về Cổng VPN để biết hướng dẫn cập nhật.

Cổng nào hỗ trợ P2S VPN?

VPN Cổng Thế hệ	SKU	S2S/VNet-to-VNET Đường hầm	P2S Kết nối SSTP	P2S Kết nối IKEV2/OpenVPN	Tổng hợp Điểm chuẩn thông lượng	BGP	Khu vực-Nghỉ ngơi
Thế hệ1	Nền tảng	Tối đa. 10	Tối đa. 128	Không được hỗ trợ	100 Mbps	Không được hỗ trợ	KHÔNG
Thế hệ1	VPNGW1	Tối đa. 30	Tối đa. 128	Tối đa. 250	650 Mbps	Được hỗ trợ	KHÔNG
Thế hệ1	Vpngw2	Tối đa. 30	Tối đa. 128	Tối đa. 500	1 Gbps	Được hỗ trợ	KHÔNG
Thế hệ1	VPNGW3	Tối đa. 30	Tối đa. 128	Tối đa. 1000	1.25 Gbps	Được hỗ trợ	KHÔNG
Thế hệ1	Vpngw1az	Tối đa. 30	Tối đa. 128	Tối đa. 250	650 Mbps	Được hỗ trợ	Đúng
Thế hệ1	Vpngw2az	Tối đa. 30	Tối đa. 128	Tối đa. 500	1 Gbps	Được hỗ trợ	Đúng
Thế hệ1	Vpngw3az	Tối đa. 30	Tối đa. 128	Tối đa. 1000	1.25 Gbps	Được hỗ trợ	Đúng
Thế hệ2	Vpngw2	Tối đa. 30	Tối đa. 128	Tối đa. 500	1.25 Gbps	Được hỗ trợ	KHÔNG
Thế hệ2	VPNGW3	Tối đa. 30	Tối đa. 128	Tối đa. 1000	2.5 Gbps	Được hỗ trợ	KHÔNG
Thế hệ2	VPNGW4	Tối đa. 100*	Tối đa. 128	Tối đa. 5000	5 Gbps	Được hỗ trợ	KHÔNG
Thế hệ2	VPNGW5	Tối đa. 100*	Tối đa. 128	Tối đa. 10000	10 Gbps	Được hỗ trợ	KHÔNG
Thế hệ2	Vpngw2az	Tối đa. 30	Tối đa. 128	Tối đa. 500	1.25 Gbps	Được hỗ trợ	Đúng
Thế hệ2	Vpngw3az	Tối đa. 30	Tối đa. 128	Tối đa. 1000	2.5 Gbps	Được hỗ trợ	Đúng
Thế hệ2	Vpngw4az	Tối đa. 100*	Tối đa. 128	Tối đa. 5000	5 Gbps	Được hỗ trợ	Đúng
Thế hệ2	VPNGW5AZ	Tối đa. 100*	Tối đa. 128	Tối đa. 10000	10 Gbps	Được hỗ trợ	Đúng

(*) Sử dụng WAN ảo nếu bạn cần hơn 100 đường hầm S2S VPN.

• Việc thay đổi kích thước của vpngw skus được cho phép trong cùng một thế hệ, ngoại trừ thay đổi kích thước của SKU cơ bản. SKU cơ bản là SKU kế thừa và có những hạn chế tính năng. Để chuyển từ cơ bản sang SKU khác, bạn phải xóa cổng VPN SKU cơ bản và tạo một cổng mới với sự kết hợp thế hệ và kích thước SKU mong muốn. (Xem làm việc với SKU Legacy).
• Các giới hạn kết nối này là riêng biệt. Ví dụ: bạn có thể có 128 kết nối SSTP và cả 250 kết nối IKEV2 trên VPNGW1 SKU.
• Thông tin về giá có thể được tìm thấy trên trang giá.
• Thông tin SLA (Thỏa thuận cấp độ dịch vụ) có thể được tìm thấy trên trang SLA.
• Nếu bạn có nhiều kết nối P2S, nó có thể tác động tiêu cực đến các kết nối S2S của bạn. Các điểm chuẩn thông lượng tổng hợp đã được kiểm tra bằng cách tối đa hóa sự kết hợp của các kết nối S2S và P2S. Một kết nối P2S hoặc S2S duy nhất có thể có thông lượng thấp hơn nhiều.
• Lưu ý rằng tất cả các điểm chuẩn không được đảm bảo do điều kiện lưu lượng truy cập Internet và hành vi ứng dụng của bạn

Để giúp khách hàng của chúng tôi hiểu được hiệu suất tương đối của SKU bằng các thuật toán khác nhau, chúng tôi đã sử dụng các công cụ IPERF và CTSTRAFFIC có sẵn công khai để đo lường hiệu suất cho các kết nối trang web đến trang web. Bảng dưới đây liệt kê kết quả kiểm tra hiệu suất cho vpngw skus. Như bạn có thể thấy, hiệu suất tốt nhất có được khi chúng tôi sử dụng thuật toán GCMAES256 cho cả mã hóa IPSec và tính toàn vẹn của IPSEC. Chúng tôi có hiệu suất trung bình khi sử dụng AES256 cho mã hóa IPSEC và SHA256 cho tính toàn vẹn. Khi chúng tôi sử dụng DES3 cho mã hóa IPSEC và SHA256 cho tính toàn vẹn, chúng tôi có hiệu suất thấp nhất.

Đường hầm VPN kết nối với phiên bản VPN Gateway. Mỗi thông lượng thể hiện được đề cập trong bảng thông lượng trên và có sẵn được tổng hợp trên tất cả các đường hầm kết nối với trường hợp đó.

Bảng dưới đây cho thấy băng thông và gói được quan sát mỗi lần thông lượng thứ hai trên mỗi đường hầm cho các cổng khác nhau SKUS. Tất cả các thử nghiệm được thực hiện giữa các cổng (điểm cuối) trong Azure giữa các vùng khác nhau với 100 kết nối và trong điều kiện tải tiêu chuẩn.

SKU cơ bản không hỗ trợ xác thực IKEV2 hoặc bán kính.

Chính sách IKE/IPSEC được cấu hình trên các cổng VPN cho P2S?

IKEV2

Mật mã	Chính trực	Prf	Nhóm DH
GCM_AES256	GCM_AES256	SHA384	Nhóm_24
GCM_AES256	GCM_AES256	SHA384	Nhóm_14
GCM_AES256	GCM_AES256	SHA384	Nhóm_ECP384
GCM_AES256	GCM_AES256	SHA384	Nhóm_ECP256
GCM_AES256	GCM_AES256	SHA256	Nhóm_24
GCM_AES256	GCM_AES256	SHA256	Nhóm_14
GCM_AES256	GCM_AES256	SHA256	Nhóm_ECP384
GCM_AES256	GCM_AES256	SHA256	Nhóm_ECP256
AES256	SHA384	SHA384	Nhóm_24
AES256	SHA384	SHA384	Nhóm_14
AES256	SHA384	SHA384	Nhóm_ECP384
AES256	SHA384	SHA384	Nhóm_ECP256
AES256	SHA256	SHA256	Nhóm_24
AES256	SHA256	SHA256	Nhóm_14
AES256	SHA256	SHA256	Nhóm_ECP384
AES256	SHA256	SHA256	Nhóm_ECP256
AES256	SHA256	SHA256	Nhóm_2

Ipsec

Mật mã	Chính trực	Nhóm PFS
GCM_AES256	GCM_AES256	Nhóm_none
GCM_AES256	GCM_AES256	Nhóm_24
GCM_AES256	GCM_AES256	Nhóm_14
GCM_AES256	GCM_AES256	Nhóm_ECP384
GCM_AES256	GCM_AES256	Nhóm_ECP256
AES256	SHA256	Nhóm_none
AES256	SHA256	Nhóm_24
AES256	SHA256	Nhóm_14
AES256	SHA256	Nhóm_ECP384
AES256	SHA256	Nhóm_ECP256
AES256	Sha1	Nhóm_none

Chính sách TLS nào được cấu hình trên các cổng VPN cho P2S?

TLS

Chính sách
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256

Làm cách nào để định cấu hình kết nối P2S?

Cấu hình P2S yêu cầu khá nhiều bước cụ thể. Các bài viết sau đây chứa các bước để đưa bạn qua cấu hình P2S và các liên kết để định cấu hình các thiết bị máy khách VPN:

• Định cấu hình kết nối P2S – Xác thực bán kính
• Định cấu hình kết nối P2S – Xác thực chứng chỉ gốc Azure
• Định cấu hình OpenVPN

Bước tiếp theo

• Định cấu hình kết nối P2S – Xác thực bán kính
• Định cấu hình kết nối P2S – Xác thực chứng chỉ Azure

“OpenVPN” là nhãn hiệu của OpenVPN Inc.

OpenVPN vs. IKEV2 vs. L2TP: Giao thức VPN nào là tốt nhất?

Mạng riêng ảo (VPN) cung cấp cho người dùng dữ liệu bảo mật và bảo mật khi họ duyệt Internet hoặc tham gia vào hoạt động trực tuyến. Một trong những yếu tố quan trọng nhất của VPN là giao thức bảo vệ sự ẩn danh của người dùng khỏi tin tặc, cơ quan quảng cáo và các thực thể chính phủ.

Giao thức xác định cách VPN sẽ bảo mật dữ liệu trong quá trình vận chuyển. Các nhà cung cấp cung cấp một loạt các giao thức dựa trên các hệ điều hành máy tính, thiết bị, hiệu suất và các khía cạnh khác. Dưới đây, chúng tôi kiểm tra ba trong số các giao thức được sử dụng rộng rãi nhất trong ngành: OpenVPN, IKEV2 và L2TP. Cái nào là tốt nhất? Cho phép’S hãy nhìn kỹ hơn.

OpenVPN

OpenVPN là giao thức phổ biến và được đề xuất nhất bởi các chuyên gia VPN. OpenVPN linh hoạt và cao an toàn, khiến nó trở thành trụ cột của ngành công nghiệp mạng riêng ảo. VPN được đặt tên một cách khéo léo vì nó dựa vào các công nghệ nguồn mở như thư viện mã hóa OpenSSL hoặc giao thức SSL V3/TLS V1.

Trong một nền tảng OpenVPN, các nhà cung cấp duy trì, cập nhật và đánh giá công nghệ. Một trong những lý do tại sao OpenVPN rất hiệu quả là vì nó che chắn cho người dùng tham gia hoạt động trực tuyến trong tầm nhìn rõ ràng. Người dùng ít bị tin tặc ít bị tổn thương hơn và ít có khả năng được phát hiện bởi các cơ quan chính phủ hoặc các nhà tiếp thị tích cực.

Theo nguồn này, khi dữ liệu truyền qua người xem OpenVPN không thể phân biệt giữa HTTPS và kết nối SSL. Giao thức có thể hoạt động trên bất kỳ cổng nào trong khi sử dụng các giao thức UDP hoặc TCP. Điều này giúp người dùng dễ dàng đi xung quanh tường lửa. Các công ty có thể sử dụng một loạt các chiến lược như mã hóa AES, HMAC hoặc Opensll khi thêm OpenVPN vào các quy trình của họ.

OpenVPN yêu cầu ứng dụng của bên thứ ba vì chúng không được hỗ trợ bởi bất kỳ nền tảng nào. Tuy nhiên, các nhà cung cấp bên thứ ba như iOS và Android được hỗ trợ. Mặc dù hầu hết các công ty cung cấp các cấu hình OpenVPN tùy chỉnh, nhưng họ cũng cho phép người dùng cá nhân hóa cấu hình của riêng họ.

Vì vậy hãy’S tóm tắt:

OpenVPN Ưu điểm:

• Bỏ qua hầu hết các tường lửa.
• Được kiểm tra bởi các bên thứ ba.
• Cung cấp bảo mật cấp cao nhất.
• Hoạt động với nhiều phương thức mã hóa.
• Có thể được cấu hình và tùy chỉnh cho phù hợp với bất kỳ ưu tiên nào.
• Có thể bỏ qua tường lửa.
• Hỗ trợ một loạt các thuật toán mật mã.

OpenVPN Nhược điểm:

• Thiết lập cao và phức tạp.
• Dựa vào phần mềm của bên thứ ba.
• Máy tính để bàn-mạnh, nhưng thiết bị di động có thể yếu.

IKEV2

IKEV2 được thiết kế như một dự án chung giữa Cisco Systems và Microsoft. Nó hoạt động như một giao thức thực sự và điều khiển trao đổi khóa IPSEC.

IKEV2 có sự khác biệt của hoạt động trên các nền tảng không chính thống như Linux, BlackBerry hoặc các nền tảng cận biên khác. Tuy nhiên, nó cũng đi kèm với hệ điều hành Windows 7. Do khả năng thích nghi của nó, IKEV2 cung cấp một kết nối nhất quán trong các mạng khác nhau. Vì vậy, nếu một kết nối giảm, IKEV2 giúp người dùng duy trì kết nối VPN.

Giống như hầu hết các giao thức, IKEV2 đáp ứng nhu cầu bảo mật của người dùng. Vì nó cung cấp hỗ trợ cho Mobike, nó có thể thích ứng với các thay đổi trong bất kỳ mạng nào. Do đó, nếu người dùng đột nhiên chuyển từ kết nối Wi-Fi sang kết nối dữ liệu, IKEV2 có thể xử lý nó một cách hoàn hảo mà không mất kết nối.

IKEV2 Ưu điểm:

• Hỗ trợ một loạt các giao thức mã hóa.
• Cung cấp độ ổn định cấp cao và kết nối nhất quán.
• Cung cấp thiết lập dễ dàng.
• Giao thức VPN siêu nhanh.

IKEV2 Nhược điểm:

• Hỗ trợ hạn chế cho các nền tảng.
• Không miễn nhiễm với các khối tường lửa.

L2TP

Đặc điểm đáng chú ý nhất của L2TP là không có khả năng hoạt động một mình. Để cung cấp mã hóa hoặc bảo vệ dữ liệu trong quá trình vận chuyển, nó phải được ghép nối với IPSEC.

L2TP là một phần mở rộng của giao thức pptp. Nó hoạt động trên một đóng gói kép bao gồm kết nối PPP ở cấp một và mã hóa IPSEC ở cấp hai. Trong khi giao thức L2TP hỗ trợ AES-256, các giao thức mạnh hơn có thể làm chậm hiệu suất.

Hầu hết các hệ điều hành máy tính để bàn và di động đều chứa L2TP, điều này làm cho việc triển khai tương đối đơn giản. Tuy nhiên, người dùng và nhà phát triển đều lưu ý rằng L2TP có thể bị chặn bởi tường lửa. Những gì nó có thể có với tường lửa, nó nhiều hơn là bù đắp cho quyền riêng tư của người gửi/người nhận.

Thiết kế L2TP ngăn tin tặc xem hoặc chặn dữ liệu trong quá trình vận chuyển.

Trong khi kết nối được bảo mật, giao thức có thể yếu và chậm. Kết nối có thể bị cản trở do chuyển đổi lưu lượng thành định dạng L2TP. Các nhà phát triển và người dùng cũng phải tính đến lớp mã hóa bổ sung.

Cho phép’S nhìn vào bản tóm tắt:

L2TP Ưu điểm:

• Có sẵn trên gần như tất cả các thiết bị và hệ điều hành.
• Quá trình thiết lập dễ dàng.
• Mức độ bảo mật cao hiển thị một số điểm yếu.
• MultiThreading cải thiện hiệu suất.

L2TP Nhược điểm:

• Có thể bị chặn bởi tường lửa.
• Hiệu suất có thể bị chặn.
• Đóng gói kép có thể làm chậm hiệu suất.

Giao thức nào là tốt nhất?

Với các yếu tố khác nhau của từng giao thức và ứng dụng khác nhau của chúng, giao thức tốt nhất phụ thuộc vào nhu cầu của nhà phát triển và người dùng. Mặc dù OpenVPN có thể được coi là giao thức đi đến, có một số yếu tố cần xem xét.

OpenVPN nhanh chóng, linh hoạt và an toàn. Nó’s cũng tương thích với bất kỳ hệ điều hành nào cả tại chỗ và điều khiển từ xa. Người dùng muốn một giao thức hiệu suất cao, không có vấn đề có lẽ nên gắn bó với OpenVPN.

Tuy nhiên, hãy nhớ rằng OpenVPNS ​​yêu cầu một bên thứ ba. Các nhà phát triển có vấn đề với loại thiết lập này có thể muốn chuyển sang L2TP hoặc IKEV2. Một số cân nhắc chính là bảo mật, tốc độ, tính nhất quán kết nối và hiệu suất cao tổng thể. Vì vậy, hỗ trợ của bên thứ ba có thể không cao trong danh sách ưu tiên.

Và cuối cùng, cấu hình với tất cả các nền tảng và thiết bị sẽ ảnh hưởng đến hiệu suất chung của dịch vụ và mạng? Các nhà phát triển cần hỏi những câu hỏi này từ khách hàng của họ’s quan điểm. Nhà phát triển có thể cung cấp dịch vụ đặc biệt với VPN không’t cung cấp bảo mật tốt nhất tuyệt đối hoặc tốc độ siêu nhanh?

Cân nhắc mọi thứ, niềm tin của chúng tôi là OpenVPN vẫn là giao thức tốt nhất cho tất cả các loại hệ điều hành, thiết bị và nền tảng.

• A
• Bao gồm tệp cục bộ (LFI) là gì? →

Naomi Hodges

Naomi Hodges là một cố vấn an ninh mạng và là một nhà văn đóng góp tại Surfshark. Trọng tâm của cô chủ yếu là các công nghệ sáng tạo, truyền thông dữ liệu và các mối đe dọa trực tuyến. Cô ấy cam kết đấu tranh cho internet an toàn hơn và thúc đẩy chương trình nghị sự về quyền riêng tư.

Naomi-Hodges có 1 bài viết và đếm.Xem tất cả các bài viết của Naomi-Hodges

IKEV2 vs OpenVPN

Tôi muốn hỏi bạn thông tin về giao thức IKEV2 cho kết nối VPN. Tôi chưa tìm thấy nhiều thông tin trên web. Tôi đặc biệt quan tâm đến việc sử dụng trên điện thoại di động. Nó có an toàn như giao thức OpenVPN không? Nếu có, bạn có thể đề xuất cho tôi một số nhà cung cấp VPN cho phép sử dụng giao thức IKEV2?

2.743 8 8 Huy hiệu vàng 22 22 Huy hiệu bạc 35 35 Huy hiệu Đồng

Hỏi ngày 19 tháng 11 năm 2015 lúc 18:40

361 1 1 Huy hiệu vàng 3 3 Huy hiệu bạc 3 3 Huy hiệu Đồng

3 câu trả lời 3

OpenVPN vs Ipsec:

1. Ipsec cần thêm thời gian để đàm phán đường hầm;
2. OpenVPN sử dụng mật mã mạnh và TLS; (Tại thời điểm hiện tại, nó được coi là mã hóa mạnh nhất);
3. Cổng đơn và cấu hình cho OpenVPN và tùy chọn để chọn giữa UDP hoặc TCP.
4. Nhiều cổng/giao thức cho Ipsec;
5. Ipsec Không thể xử lý NAT. (Cần địa chỉ IP công cộng ở cả hai phía nếu không), yêu cầu L2TP. OpenVPN có thể dễ dàng hành động trên NAT;
6. OpenVPN có thể có nhiều trường hợp và Ipsec Chỉ có thể được thiết lập cho cặp địa chỉ IP đơn.
7. OpenVPN có thể được sử dụng cả hai lớp L2 và L3.

Tôi đang sử dụng cả hai Ipsec Và OpenVPN kết nối cơ sở hạ tầng, nhưng OpenVPN cho thấy sự ổn định và linh hoạt tốt hơn nhiều.

Bản thân IKE chỉ là giao thức trao đổi chính, cung cấp đàm phán khóa phiên an toàn. Nó hoạt động cùng với các mô -đun mã hóa và xác thực. Vì vậy, bản thân IKE chỉ cung cấp phiên với các khóa an toàn. Hơn nữa, nó được phát triển vào năm 2005. Nó thường được sử dụng cùng với các giao thức ESP và AH.

OpenVPN là một dự án nguồn mở đang lớn lên nhanh chóng và cũng được phát triển bởi cộng đồng.

Thiết bị di động có hỗ trợ SSL/TLS gốc và OpenVPN Việc thực hiện thích hợp hơn cho việc sử dụng di động vì những lý do sau:

1. Internet di động không cung cấp địa chỉ IP cố định là một vấn đề đối với Ipsec, đang có IKEV2 – Cần sử dụng DDN hoặc mua địa chỉ IP công cộng. L2TP cung cấp mức độ vận chuyển cho Ipsec Sử dụng cổng cố định và có thể bị chặn bởi một số tường lửa;
2. OpenVPN dễ dàng cấu hình và linh hoạt trong việc sử dụng của nó – các phiên bản hiện đại (cao hơn 2.2) Sử dụng TLSV1.X. Có thể sử dụng xác thực đa cấp với chứng chỉ máy khách, mật khẩu và khóa bảo mật nếu cần. Máy chủ có thể dễ dàng thiết lập để nghe bất kỳ cổng nào;
3. Ứng dụng di động cho OpenVPN tồn tại cho Android và iOS – nó chỉ có những hạn chế với các hệ thống dựa trên Windows.
4. OpenVPN được coi là chậm hơn Ipsec. Tuy nhiên, OpenVPN không nhạy cảm với máy chủ đồng bộ hóa thời gian, tồn tại IP công cộng, chỉ cần một miễn phí để chọn cổng.

Đã trả lời ngày 8 tháng 3 năm 2016 lúc 15:05

356 2 2 Huy hiệu bạc 4 4 Huy hiệu đồng

Tôi có thể đề nghị bạn sửa đổi câu trả lời này một chút và làm cho nó dứt khoát hơn về những gì bạn đang cố gắng nói. Bạn đã cung cấp cho OP một số thông tin rất tốt nhưng nếu bạn có thể làm rõ bằng một bản tóm tắt các loại để làm tròn câu trả lời cho câu hỏi, nó sẽ được đánh giá cao.

Ngày 8 tháng 3 năm 2016 lúc 16:53

Liên quan đến số 4, lần cuối tôi đọc OpenVPN không nhanh hơn ipsec chủ yếu khi bạn cần mở rộng, vì OpenVPN không được đa luồng. Điều duy nhất là quy mô là chạy nhiều trường hợp hơn nhưng điều đó cũng có nghĩa là bạn cần sử dụng các số cổng khác nhau.

Ngày 6 tháng 5 năm 2016 lúc 11:07

Bạn có thể trộn cổng và proto. Mỗi quá trình trở thành một ‘thiết bị’ riêng biệt. Nhưng tất cả chúng có thể tồn tại với IP bên ngoài hoặc thậm chí phía sau NAT

Ngày 2 tháng 11 năm 2016 lúc 5:37

2. Strongswan có thể sử dụng tất cả các giao thức bảo mật hiện đại giống nhau mà OpenVPN có thể. 5. IPSEC không có vấn đề gì với Nat Traversal. 6. Cũng không đúng, bạn có thể có nhiều trường hợp cho mỗi cặp iPaddress (ít nhất là StrongSwan không có vấn đề gì với điều này). 7. L2TP/IPSEC (IKEV1) có thể làm đường hầm L2 và IPSEC (IKEV2) có thể làm đường hầm L3.

Ngày 3 tháng 10 năm 2017 lúc 18:37

IPSEC / IKEV2 có thể tùy chỉnh đến mức khó tin rằng OpenVPN có thể hỗ trợ bất kỳ bộ mật mã nào mà Strongswan không thể, tôi nghĩ rằng danh sách phù hợp được hỗ trợ là đủ lớn x’d. Tôi đoán vấn đề nhiều hơn ở đây là những tuyên bố rằng NSA đã cố gắng làm suy yếu tiêu chuẩn ngay từ đầu.

Tôi đồng ý với một số thông tin từ @etech trong câu trả lời trước, đặc biệt là trên người lập trường đó là lưu lượng IPSEC dễ bị chặn, đặc biệt so với OpenVPN, ngay cả khi Nat-Traversal giúp với một số tình huống (nó không quá đen và trắng như bạn, IMO)

Tôi không biết bạn muốn nói gì trên điểm 6, bạn có thể thiết lập hầu hết mọi thứ có thể tưởng tượng với nhiều điểm cuối và cổng như bạn muốn.

Về tính di động, bạn có thể sử dụng Mobike cho một Rất ổn định Kết nối trên thiết bị di động và thậm chí bạn không sử dụng Mobike, bạn chắc chắn có thể có IP động ở một trong các cạnh của kết nối (ví dụ: điện thoại). Tôi đã sử dụng cả hai và thành thật sau khi bạn thiết lập nó, nó chỉ hoạt động (ngoài nhiều lần bạn thấy mình có các vấn đề liên quan đến NAT/FW).

Một ví dụ có thể về cấu hình với các tệp cấu hình nếu bạn muốn kiểm tra nó có thể được tìm thấy trong trang web chính thức của Strongswan