[GTER] RES: OpenVPN ou Openswan ?

Tiago Machado Costa tcosta at mdsystems.com.br
Thu Aug 14 12:06:22 -03 2008


Só pra Constar o OpenVPN também trabalha com UDP (Eu li em vários emails o "povo" falando que não o ipsec faz)
Tenho alguns clientes com VPN, {Free|Open}swan funcionam legal.
O mais interessante é quando 'do nada' ele da problema e 'do nada' ele volta a funcionar sozinho.

Hoje só tenho utilizado OpenVPN, é simples de configurar e acho bem seguro.
Não só eu como muitos conhecidos meu tem migrado Ipsec para openVPN

[]s
Té mais

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Pedro Lemes
Enviada em: quinta-feira, 14 de agosto de 2008 11:32
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] OpenVPN ou Openswan ?

Felipe,

Pra uma passagem de dados não muito volumosa é interessante utilizar 
compressão de dados ?

E no caso inverso: Numa passagem de dados volumosa, utilizar compressão 
requer o que do equipamento (processamento, memória, etc) ?

Abraço.

Felipe - Rasputin escreveu:
> Algumas considerações de por que utilizar IPSEC
>
> IPSEC é um padrão, de fato, definido por RFC, com características técnicas
> claras e abertas.
>
> Openvpn,vtun, são implementações de uma equipe, á parte. Mas isto não indica
> que é melhor ou pior. Pelo contrário, tem cenários que só uma ou outra
> solução funciona.
>
> IPSEC, verifica o IP de origem e destino + chave ou certificado.
> Se algum deles é modificado, a sessão é terminada.
>
> O openvpn, só verifica a senha ou certificado essa conexão pode ser "nateada"
> redirecionada, etc...
>
> O fato é que o resultado, de encriptar a conexão é obtido por ambas.
> Porém o ipsec além de fazer a autentiação que o openswan já faz,
> checa o cabeçalho de cada pacote propriamente dito,
> Enquanto o openswan, só verifica se o ip de origem é o mesmo que está
> na configuração
> se essa requisição for redirecionada ou filtrada, pra ele é indiferente....
> Devido a isso funciona tão bem passando por NAT, firewall etc... faz
> menos checagens
>
>
> Quanto a economizar largura de banda, no openswan é possivel
> adicionar a opção compression=yes para habilitar compressão de dados
>
>
> #========================#
>  Felipe Santos '<\( Rasputin )/>'
>  felipe.nix at gmail.com
>  LPI ID: LPI000123744
>  http://br.groups.yahoo.com/group/openswan-br
> #========================#
>
>
>
> 2008/8/14 Bruno Ayub <bruno.ayub at gmail.com>
>
>   
>> Utilizo o OpenVPN em duas situações distintas: site-to-site e
>> site-to-client, na segunta opçao tenho clientes Linux, Windows XP e Vista.
>> Outra vantagem que ele tem é a possibilidade de implementação do algoritmo
>> LZO (mesmo do winzip), economizando largura de banda!
>>
>>
>>
>> [ ]'s
>>
>>
>> Bruno Ayub.
>>
>>
>> 2008/8/14 Cristina Fernandes Silva <cristinafs.listas at gmail.com>
>>
>>     
>>> O openvpn é voltado sim para site-to-site.. tenho implementado aqui
>>> com relação a limitação de 50mb/s.. onde vc tem essa informação ??
>>>
>>> 2008/8/14 Humberto S Sartini <humberto at hss.blog.br>:
>>>       
>>>> -----BEGIN PGP SIGNED MESSAGE-----
>>>> Hash: SHA1
>>>>
>>>> Pedro,
>>>>
>>>>        Poderia ser separado da seguinte forma (na minha opinião):
>>>>
>>>>        OpenVPN
>>>>        - Usuário final (Gui Windows free)
>>>>        - Sem suporte a Ipsec
>>>>        - É mais lento que o Openswan
>>>>        - É obrigatório um cliente OpenVPN
>>>>        - Não aconselhável para links acima de 50Mb/s
>>>>
>>>>        OpenSwan
>>>>        - VPN ponto a ponto
>>>>        - Mais rápido
>>>>        - Maior interoperabilidade
>>>>        - "Fala" Ipsec
>>>>        - NAT-T
>>>>
>>>>        Quanto a colocação de "amadorismo" do OpenVPN eu não encarro
>>>>         
>> dessa
>>     
>>>> forma, é um excelente projeto e que conta com uma documentação muito
>>>>         
>> boa
>>     
>>>> além de sempre existir novas características.
>>>>
>>>>        Seguem alguns links com mais informações:
>>>>        http://www.debian-administration.org/articles/563
>>>>        http://www.sans.org/rr/whitepapers/vpns/1459.php
>>>>
>>>> [ ]'s
>>>> Humberto Sartini
>>>> Certificado LPIC-1
>>>> http://www.hss.blog.br
>>>> PGP KEY ID 0xB32E5C8D
>>>>
>>>>
>>>> Pedro Lemes escreveu:
>>>> | Ola amigos,
>>>> |
>>>> | Avaliando a necessidade de ter uma VPN entre a empresa onde trabalho
>>>>         
>> e
>>     
>>>> | uma outra, percebi que pro meu cenário (Gateway/Firewall Linux) eu
>>>> | poderia utilizar OpenVPN ou Openswan. Porém, o OpenVPN não trabalha
>>>>         
>> com
>>     
>>>> | IPSec e sim com SSH-Tunneling ao contrário do Openswan.
>>>> |
>>>> | Em termos de segurança, qual seria mais recomendado ? Apesar da
>>>> | facilidade de configuração e manutenção do OpenVPN, este me pareceu
>>>>         
>>> meio
>>>       
>>>> | "amador".
>>>> |
>>>> | Estou certo ou me equivoquei na impressão ? Se for uma exigência da
>>>> | outra ponta, por exemplo, utilizar o IPSec realmente o OpenVPN não
>>>>         
>>> serve ?
>>>       
>>>> |
>>>> | Agradeço desde já a todos !
>>>> -----BEGIN PGP SIGNATURE-----
>>>> Version: GnuPG v1.4.6 (GNU/Linux)
>>>> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>>>>
>>>> iD8DBQFIpDTR6g1qNqemoCARAsSgAJ0dMa8sFJskzOvu5aEdsgDJ0gDNvgCdFa4Z
>>>> LdifnRkKPj6gImBkGbrUkk4=
>>>> =iM0T
>>>> -----END PGP SIGNATURE-----
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>         
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>       
>>
>> --
>> Bruno Ayub.
>> bruno.ayub at gmail.com
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>     
>
>
>
>   
--
gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list