[GTER] OpenVPN ou Openswan ?

Marcus Andree marcusandree at gmail.com
Thu Aug 14 12:03:02 -03 2008 

Pedro,

Vou colocar um pouco mais de lenha na fogueira.

Faz algum tempo, precisei implementar uma instalacao MASSIVA (milhares
de clientes) VPN site-to-site em Linux. Testei alguns produtos, entre eles o
openswan e o racoon.

A especificacao exigia IPSec, portanto deixei o OpenVPN de fora.

Conheco bem o Linux, mas sou um fã incondicional do modo simples e
eficiente como os sistemas BSD costumam resolver o problema, e dei
uma olhadinha em um pacote chamado isakmpd, escrito originalmente
para o OpenBSD e "portado" para Linux.

Olha, a diferenca da sintaxe dos arquivos de configuracao e' gritante.
Nao vou dizer que a instalacao foi um passeio no parque, porque havia
uma lista bastante exigente de especificacoes que terminaram causando
um belo dum conflito entre o roteamento tcp/ip e o tunelamento IPSec.

Para te resumir, deu trabalho, mas o mix isakmpd/ipsec-tools/linux fez o que o
MS ISA Enterprise Server nao conseguiu (e nao consegue ate hoje), e o uso
de CPU, memoria e recursos da maquina nunca chegou a ser "um problema".

O "trabalho" extra foi muito mais relacionado a um requisito especifico  e a
inexperiencia do pessoal que configurava o "servidor" IPSec (um appliance)
do que com as configuracoes do VPN em si.

E' dificil "palpitar" no que seria a melhor configuracao, ja que nao conheco
os seus requisitos de conexao, nem os detalhes das plataformas envolvidas,
mas aconselho a incluir o "isakmpd" na jogada.

Espero ter ajudado.

2008/8/14 Pedro Lemes <pedro.lemes at gmail.com>:
> Ola amigos,
>
> Avaliando a necessidade de ter uma VPN entre a empresa onde trabalho e uma
> outra, percebi que pro meu cenário (Gateway/Firewall Linux) eu poderia
> utilizar OpenVPN ou Openswan. Porém, o OpenVPN não trabalha com IPSec e sim
> com SSH-Tunneling ao contrário do Openswan.
>
> Em termos de segurança, qual seria mais recomendado ? Apesar da facilidade
> de configuração e manutenção do OpenVPN, este me pareceu meio "amador".
>
> Estou certo ou me equivoquei na impressão ? Se for uma exigência da outra
> ponta, por exemplo, utilizar o IPSec realmente o OpenVPN não serve ?
>
> Agradeço desde já a todos !
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list