Sinnfrage IPSEC OpenVPN

[axlemoxle]

Hallo, ich habe folgende Konstallation.

IP-Sec Verbindung von der Opnsense zu einer externen Fritzbox. Läuft soweit sehr gut.
Jetzt möchte ich Zugang für einen Laptop via VPN einrichten bzw. habe das schon über den Openvpn Road Warrior gelöst. Funktioniert soweit auch sehr gut.

Die Frage die ich mir jetzt stellte, ob das so wirklich sinnvoll ist, oder ob ich den Open VPN lieber doch wieder deaktiveren und den Laptop über IPSEC verbinden soll damit nicht 2 VPN Dienste laufen.

Man liest auch viel verschiedenes zur Performance...was ist denn nun schneller, IPsec oder Openvpn ?
In der PRaxis jedoch vermutl. völlig wurscht , da der Upload der Internetleitung es ja eher begrenzt...

Danke vorab für hilfreiche Tipps

[uneu]

Hallo Axel,

ich habe dieses Problem in ähnlicher Konstellation auch gehabt.
Für das Notebook (Win10Pro) nutze ich jetzt Wireguard.
Ansonsten ist IPsec für die S2S-Verbindungen zuständig.
Habe dazu überall OPNsense im Einsatz und bin sehr zufrieden.

Viele Grüße aus Südamerika

Udo

[axlemoxle]

OK, aber da sind ja auch 2verschiendene Dienste die du nutzt....

Den Gedanken den ich hatte , war ja eher ob man sich auf ipsec festlegt oder 2 getrennte Dienste doch sinnvoller sind.

IP sec kann man ja auch für mobile clients einrichten, ich erkenne aktuell jedoch die Vorteile des einen gegenüber dem anderen nicht  ???

[meyergru]

Die Fritz Labor unterstützt seit neuestem Wireguard, da hat man das Beste aus zwei Welten mit nur einem VPN-Service. Das geht auch mit IPv6, falls beide Seiten CGNAT oder DS-Lite haben.

Läuft bei mir Site-2-Site OpnSense <-> Fritzbox 7590, Road Warrior noch nicht genutzt, sollte aber funktionieren.

[Patrick M. Hausen]

@axlemoxle

Zum einen ist IPsec auf dem Client oft wirklich mit Schmerzen verbunden. Der Kram ist prima für Sie2Site, aber für Road Warrior wirklich umständlich. Es gibt keinen einheitlichen Client für die unterschiedlichen Betriebssysteme und heutzutage wird Zugriff ja auch vom iOS oder Android Gerät aus erwartet. Chef loggt sich im Urlaub vom iPad aus ein, aber eben per OpenVPN (s.u.).

WireGuard ist super für Fernwartung, auch für Site2Site, aber sobald man eine Firmenumgebung hat und eine zusätzliche Authentifizierung z.B. per LDAP oder RADIUS will, ist Schluss. Gibt's nicht. Also man muss jeden User, dessen fixe IP-Adresse und dessen Key einzeln verwalten. IPsec und OpenVPN können Adresspools.

OpenVPN ist von der Performance her m. Erfahrung nach am schlechtesten, aber

- das Firmenszenario funktioniert wunderbar, jeder User ein eigenes Zertifikat, per Portal herunterzuladen, oder alle dasselbe, aber zusätzlich Username/Passwort per AD, oder beides ... geht alles
- TCP als Transportmöglichkeit. Das ist grundsätzlich weniger performant als UDP, und TCP in TCP kann ganz übel zu stottern anfangen, wenn die Verbindung hohe Paketverluste hat, aber ...
- TCP/443 ist hinter manchen doofen Hotel- oder Flughafen-Accesspoints das einzige was geht

Deshalb setzen wir in der Firma

- IPsec für die Site2site Verbindungen zu Kunden - die kennen meist nix anderes
- Wireguard für unsere eigene RZ/Standort-Kopplung
- OpenVPN für die Leute mit "Software-VPN" auf dem Laptop ein. Wir haben zwei Konfigurationen. Einmal UDP mit Split-Tunnel (Normalfall) und einmal TCP/443 und Default-GW ins VPN für die kaputten Accesspoints.

Es gibt nicht die eine Lösung für alles.

Privat habe ich mein Homeoffice mit WireGuard mit der Firma gekoppelt, manche Kollegen mit fixem Site2Site haben auch noch IPsec per Fritzbox (da tut sich was, WireGuard kommt), und für meine eigenen Fernzugriffe ebenfalls WireGuard. Wie gesagt würde ich für ein paar Dutzend mobile Mitarbeiter nach wie vor nur OpenVPN einsetzen.