Podcast #154: OpenVPN o IPSec

Cuando utilizar OpenVPN o IPSec depende de muchos factores, e incluso hay situaciones en las que podría darnos igual usar una tecnología u otra.

El primer factor son los requisitos de cliente, en muchos casos es el cliente el que requiere una tecnología u otra. La necesidad puede ser requerida por una decisión política o empresarial o porque hay que terminar en unos equipos que solo soportan una de las dos tecnologías.

Por restricciones de NAT o de firewall, si no podemos configurar los puertos de IPSEC y el ESP no podremos usar IPSEC.

Dependiendo del número total de usuarios, si lo configuramos en un router lo normal es usar IPSec. En monopuesto quizás lo más sencillo sea OpenVPN porque no vamos a controlar los orígenes.

Por potencia: OpenVPN es más potente, requiere menos recursos, pero en routers está menos extendido, y sí, los firewalls existen, pero no todo el Mundo los usa.

Una solución es más profesional que otra. Esto es una tontería, las soluciones funcionan o no funcionan, son más o menos seguras, pero no son más o menos profesionales.

La forma de montar IPSec permite un encaminado más tradicional apoyándonos en L2TP por ejemplo, cada delegación con su propio direccionamiento, de cara al usuario sería “similar” (de aquella manera y solo de apreciación) a una red MPLS desde el punto de vista del usuario. (Por favor, esto que nadie se lo lleve al extremo “taliban”, solo la visión general del usuario)

4 comments

  1. Hola Eduardo, te hago un apunte sobre OpenVPN. OpenVPN no es mas que SSL VPN y si te fijas, los principales firewalls del mercado lo soportan. Yo he probado con exito clientes Ovpn linux contra cyberoam, sophos , sonicwall y Mikrotik con exito. Es el mismo protocolo y es totalmente compatible, incluso con los clientes de SSL vpn de terceros. O sea, para los roadwarriors el OVPN es la opción preferida para mi. Sophos y Mikrotik facilitan el Site to Site Ovpn(SSL OVPN) y ademas recordemos que ovpn funciona en capa 2 o en capa 3 y es muy versátil. Para mi, salvo sitios concretos en los que tiene que ser, IpSec ya esta descartado.
    Por cierto, En Mikrotik se espera hace tiempo como agua de Mayo el soporte Udp de OVpn. ¡ A ver si llega!

    1. @Ollupacre gracias por el apunte, la verdad es que tanto firewall no he probado y para mi, en mi entorno, el estándar sigue siendo IPSec con Cisco, de hecho la mayoría de clientes a los que les hemos montado esto era solución IPSec contra Cisco y en algún caso contra algún firewall, pero siempre IPSec.

      En cuanto a las VPN SSL, no he querido tampoco comentarlo mucho, por eso lo paso de soslayo porque cada fabricante parece que tiene su propio cliente y entre Juniper y demás lo único que hacen es crear confusión, o al menos es la impresión que yo saco, opinión personal por supuesto 🙂

      Lo dicho, mil gracias por el apunte, muy enriquecedor 😉

  2. Pues si, al menos sonicwall y sophos SSL VPN es un OpenVPN puro y duro. Yo trabajo a diario con Firewall sonicwall y Sophos usando el cliente OpenVPn de linux (el plugin del network-manager de gnome o por linea de comandos que es mas rápido.) contra el SSL VPN del FW. En windows puedes usar el cliente que te proporciona cada fabricante, que no es mas que un cliente ovpn totalmente estandard, yo el de sonicwall y el de checkpoint lo he utilizado contra un mikrotik sin problemas (aun siendo MK sobre tcp, ya que ambos clientes lo soportan). Por terminar, dando mas detalles: tanto en firewall Sonicwall como en Sophos, desde el propio FW se descarga el cliente SSL VPN+config para windows, mac o linux; cuando bajas el de linux, lo que te da es un fichero de texto extension .ovpn con los parámetros ovpn y los certificados en formato PEM (en texto claro codificado base64) pegados en el mismo file .ovpn. En fin, un fichero de config ovpn puro y duro con los certificados pegados, supongo que Juniper o Cisco es igual, y si no lo es será porque le metan sus “cosas” propietarias. Lo dejo aquí que me estoy enrollando 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.