Erilaiset VPN ratkaisut/toteutukset

[asddsa]

Tämä nyt on hiukan heikosti pohjustettu aloitus, mutta en löytänyt parempaakaan ketjua, joten tehdään tällainen uusi. Täällä voi varmaan keskutella ylipäätään erilaisesti VPN ratkaisuista ja niiden hyvistä ja huonoista puolista.

Mutta asiaan: Olen huomannut, että aika monissa käyttöjärjestelmissä, esimerkiksi Androidissa ja Applen iOS:ssä on valmiina mahdollisuus yhdistää ipsec-VPN:ään. Olen kuitenkin elänyt siinä käsityksessä, että tuo ipsec soveltuu paremmin ns. "site-to-site" tyyppisiin VPN-toteutuksiin, joissa halutaan vaikkapa yhdistää kaksi eri toimipistettä. Voisiko tuota siis kuitenkin käyttää esimerkiksi OpenVPN:n tai Wireguardin tilalla, kun noissa puhelimissakin on valmiina tuki sitä varten? Jos ei, niin miksihän se sitten löytyy noista?

Ipsec ilmeisesti toimii layer 3 eli ip-kerroksella, kun taas esim. OpenVPN ja Wireguard layer 4 eli kuljetuskerroksella. Googlailemalla ymmärsin, että tuo ipsec ilmeisesti toimii huonosti NAT:in takaa, mutta pitääkö tuo paikkansa? Kuitenkin löytyy joitain ohjeita, joissa tuolla on toteutettu ns. "road warrior" VPN, eli sellainen mihin useimmiten käytetään juurikin vaikkapa OpenVPN:ää.

Kokeilemalla tuo tietenkin varmaan selviäisi. Jos vaikka kokeilisi pystyttää kotiin ipsec VPN:n ja yhdistää oman iPhonen siihen, niin varmaan näkisi aika hyvin, että miten se käytännössä toimii.

 

[jessenic]

Joskus itsellä oli IPSec IKEv2 VPN serveri raspilla, strongswan softana, koska tuo taisi olla ainoa järkevä VPN jota Windows Phone tuki. Aivan järkyttävä säätö oli saada konffattua se serveri, mutta kun siinä onnistui niin kyllä sitten toimikin oikein hyvin. Serveri oli minulla NATin takana muistaakseni ihan vaan porttiohjauksella, päätelaitteetkin operaattorinatin takana ja toimi kyllä hyvin. Joskus silloin muistan lukeneeni, että IPSec on oikein hyvä mobiiliyhteyksissä kun ei niin välitä vaikka clientin IP-osoite vaihtuu mitä mobiilissa tapahtuu usein.

Mutta tänä päivänä Wireguard on niin helppo ottaa käyttöön etten oikein näe suurta syytä noihin muihin koskea ellei ole jotain spesifiä tarvetta.

Ja OpenVPN on muuten mahdollista Layer 2 tunneliksikin konffata, töissä noita käytössä laitteiden etäyhteyksissä.

 

[svani]

Mutta tänä päivänä Wireguard on niin helppo ottaa käyttöön etten oikein näe suurta syytä noihin muihin koskea ellei ole jotain spesifiä tarvetta.

Ääni täältä myös Wireguardille. Parisen kuukautta sitten siirryin OpenVPN:stä tuohon eikä ole kyllä kaduttanut. Mielestäni nopeuseronkin huomaa, ei liene pelkkää placeboa. Itsellä tulee varsin säännöllistä käyttöä Android puhelimella, läppärillä ja mummolan koneella kotiverkon palveluihin. Mitään erityisen järkevää käyttäjähallintaa Wireguardille ei taida saada, mutta ei op:n käyttötarkoitus näytä sitä vaativankaan.

IPsec virettelyjä aiemmin mietin, mutta en jaksanut alkaa kuitenkaan konfaamaan. Etuna kai tuossa olisi ollut nimenomaan tuo natiivi tuki käyttöjärjestelmissä. Eli jos tuo on tärkeää, niin sitten on värkättävä ja otettava oppimiskokemuksena. Puhelimille ja muille clienteille pitää muilla vaihtoehdoilla asentaa appi, mutta taitaa tuo iPhonenkin tapauksessa integroitua sitten nätisti VPN valikoiden alle järjestelmään.

 

[asddsa]

Joo. Mietin lähinnä ihan mielenkiinnosta, että miksihän tuohon ipsecciin on edelleenkin natiivi tuki noissa. Ehkä jotain historian havinaa, tai sitten lisenssointi mahdollistaa sen sisällyttämisen vakiona tms.

 

[vesas]

Ipsec on sellainen defacto monissa korporaatioissa, eli tuolle on kysyntää. Lisäksi se on sdandardin mukainen ja palikat kaikissa käyttiksissä. Wireguard tuota on valtaamassa, wireguard kun löytyy jo Linuxin ja Windowssin kerneleistä, applikaatio käytännössä on vain UI.

Uusimmissa Androideissa sekä Openvpn että Wireguard integoituu VPN hallintaan suoraan.

Wireguard ongelma on se että kaikki palomuurit tunnistaa sen suoraan. Openvpn osaa natiivina https tyyppisen kapseloinnin jolloin sen tunnistaminen on huomattavan vaikeaa. Tällä saattaa olla merkitystä jossain ympäristöissä joissa VPN yritetään estää. Ipsec ongelma on taasen se että osa kaikenmaailman NAT ja ip toteutuksista on rikki tuon osalta, esim. ZTE:n 4/5G laitteeet on tästä surullisen kuuluisia.

Wireguard on helppo, kevyt CPU kuorma mutta osa palomuureista blokkaa sen

Openvpn menee läpi mistä vain jos käyttää TCP/https:ää mutta cryptoalgoritmien takia vaatii CPU tehoa. Asennus hiukan monimutkaisempi kuin wireguard

Ipsec tuettu laajasti, ihmeellisiä yhteensopivuusongelmia tietyillä yhteyksillä ja vaatii kunnolla syventymistä että serverin saa pystyyn.