@sys_admin
·
תודה על התגובה "לעניין". לא ברור למה ניסיתי לשאול משהו.
---
לאחרים שקוראים את זה, אם הבנתם משהו (ברמה הטכנית) מהפוסט לעיל של sys_admin אשמח להסבר. באמת הייתי רוצה להבין את ההבדלים בין OpenVPN ל-IPSec עם IKEv2 לדוגמא דרך StrongSwan (ו/או אופציות מובילות אחרות). מחיפוש מעמיק יחסית באינטרנט רואים בבירור שהתמונה לא שחור לבן כמו ש-sys_admin מנסה להציג (הדבר שהוא משתמש בו הוא הכי טוב בעולם וכל השאר פשוט ***).
כמובן גם שה"ליכלוכים" על strongswan וכו' הם פשוט לא נכונים: לדוגמא כל הנושא של NAT traversal הוא חלק מהסטנדרטים של IKE (לדוגמא
זה בשביל IKEv1 והוא כבר חלק מובנה מ-
IKEv2). StrongSwan לדוגמא תומך בזה בצורה מלאה, ועובד מצוין, ללא קונפיגורציה מיוחדת, גם במקרה שאחד הצדדים מאחורי NAT. לדעתי הוא גם עובד במקרה ששני הצדדים מאחורי NAT, בהינתן שלפחות באחד מהם מפנים את הפורטים הרלוונטים.
אני גם לא יודע על איזה "מניפולצייה על התעבורה, דבר הנהוג בקרב ספקי אינטרנט בישראל" הוא מדבר אבל יש לי Site to Site של StrongSwan שעובד ביציבות כבר חודשים בין 015 להוטנט (במקרה הספציפי הזה ללא NAT אבל אני יודע בוודאות שהוא עובד טוב גם במקרה של NAT).
מה שכן, התמיכה של IKEv2/IPSec מעל TCP היא בין בעייתית ללא קיימת (לדוגמא StrongSwan תומך אך ורק ב-UDP; בתיאוריה כן אפשר להעביר IKEv2/IPSec מעל TCP אבל אני לא יודע אם קיים לזה מימוש). לעומת זאת ב-OpenVPN אפשר (ואולי גם מקובל?) להשתמש ב-TCP/443 ואז זה נראה כמו תקשורת HTTPS. אני כמובן לא נתקלתי באף ספק בארץ שאפילו חוסם טורנטים ובטח שלא ספק שעושה בעיות עם תקשורת של UDP באופן כללי (אפילו עם הספק חוסם את הפורטים הסטדנרטיים של IKEv2/IPSec אפשר, לפחות ב-StrongSwan, לשנות אותם).
מהמעט מאד שניסית להתעסק עם OpenVPN היא נראית לי לפחות הרבה יותר מסובכת מאופציות אחרות. יתכן שכל הסיבוך הזה נותן יותר כח. מאד יתכן שזו אופציה יותר טובה לאירגונים גדולים שיש את המאשבים להתמודד עם הסיבוך ואולי אפילו את הצורך באופציות של OpenVPN שלא נתמכות באופציות VPN אחרות.
מניסיוני האופציות "לגן ילדים", פשוטות יחסית להרמה ותיחזוק גם למשתמש שלא מבין יותר מידי. ממחקר לא קטן בנושא, למיטב הבנתי, אופציות כמו StrongSwan או WireGuard מאובטחות לא פחות מ-OpenVPN (כש-WireGuard יהיה בשל הוא יהיה יותר מאובטח מ-OpenVPN). במיוחד למי שמנסה לקנפג OpenVPN ומסתבך, אני ממליץ בחום להסתכל על אופציות האחרות שקיימת בפלטפורמה שלו.
למי שיכול להרשות לעצמו ללכת על WIP, אז
WireGuard לדעתי זה העתיד. במיוחד בנושא הזה, על תסמכו על מה שאני אומר, פשוט תריצו חיפוש זריז ותראו מה אומרים עליו ב"אינטרנט". צריך לקחת בחשבון ש-WireGuard עדיין בפיתוח אקטיבי עם כל החסרונות שמשתמעים מזה.