PPTP、L2TP/IPSec、OpenVPN比较选择

标签: 翻墙相关 L2TP openvpn PPTP Security | 发表时间:2011-09-13 19:33 | 作者:iGFW 勇
出处:http://igfw.tk

PPTP VPN、L2TP/IPSec VPN、OpenVPN是最常用的三种VPN形式,下面的列表详细比较了其各方面的性能和优劣。

再做个调查看看你喜欢什么方式的VPN。

[ 资料来源:iVPN.net: PPTP vs L2TP vs OpenVPN   翻译来源:PPTP vs. L2TP vs. OpenVPN]

PPTP L2TP/IPSec OpenVPN
背景 PPTP 是一个基于 PPP 的很基本的协议。PPTP 是微软 Windows 平台第一个支持的 VPN 协议。PPTP 标准并没有实际描述加密和授权特性,并且依赖于 PPP 协议的隧道来实现安全功能。 L2TP 是一个在 IETF RFC 3193 中被正式标准化的高级协议。推荐在需要安全加密的地方用来替代 PPTP。 OpenVPN 是一个高级的开源 VPN 解决方案,由 “OpenVPN technologies” 支持,并且已经成为开源网络领域里的事实标准。OpenVPN 使用成熟的 SSL/TLS 加密协议。
数据加密 PPP 负载是使用微软点对点协议(Microsoft’s Point-to-Point Encryption protocol,MPPE)加密。MPPE 实现了 RSA RC4 加密算法,并使用最长 128 位密钥。 L2TP 负载使用标准的 IPSec 协议加密。在 RFC 4835 中指定了使用 3DES 或 AES 加密算法作为保密方式。 OpenVPN 使用 OpenSSL 库来提供加密。OpenSSL 支持好几种不同的加密算法,如:3DES,AES,RC5 等。
安装/配置 Windows 所有版本和大多数其他操作系统包括移动平台都内建了对 PPTP 的支持。PPTP 只需要一个用户名和密码,以及一个服务器地址,所以安装和配置相当简单。 从 2000/XP 起的所有 Windows 平台和 Mac OS X 10.3+ 都内建了 L2TP/IPSec 的支持。大多数现代的移动平台比如 iPhone 和 Android 也有内建的客户端。 OpenVPN 不包含在任何操作系统中,需要安装客户端软件,但安装也是相当简单,基本上 5 分钟可以完成。
速度 由于使用 128 位密钥,加密开销相比 OpenVPN 使用 256位密钥要小,所以速度感觉稍快一点,但这个差异微不足道。 L2TP/IPSec 将数据封装两次,所以相比其他竞争者效率稍低,速度也慢一些。 当使用默认的 UDP 模式,OpenVPN 的表现是最佳的。
端口 PPTP 使用 TCP 1723 端口和 GRE(协议 47)。通过限制 GRE 协议,PPTP 可以轻易地被封锁。 L2TP/IPSec 使用 UDP 500 端口用来初始化密钥交换,使用协议 50 用来传输 IPSec 加密的数据( ESP ),使用 UDP 1701 端口用来初始化 L2TP 的配置,还使用 UDP 4500 端口来穿过 NAT。L2TP/IPSec 相比 OpenVPN 容易封锁,因为它依赖于固定的协议和端口。 OpenVPN 可以很容易的配置为使用任何端口运行,也可以使用 UDP 或 TCP 协议。为了顺利穿越限制性的防火墙,可以将 OpenVPN 配置成使用 TCP 443 端口,因为这样就无法和标准的 HTTPS 无法区分,从而极难被封锁。
稳定性/兼容性 PPTP 不如 OpenVPN 可靠,也不能像 OpenVPN 那样在不稳定网络中快速恢复。另外还有部分同 GRE 协议和一些路由器的兼容性问题。 L2TP/IPSec 比 OpenVPN 更复杂,为了使在 NAT 路由器下的设备可靠地使用,配置可以会更加困难。但是,只要服务器和客户端都支持 NAT 穿越,那么就没什么问题了。 无论是无线网络、蜂窝网络,还是丢包和拥塞经常发生的不可靠网络,OpenVPN 都非常稳定、快速。对于那些相当不可以的连接,OpenVPN 有一个 TCP 模式可以使用,但是要牺牲一点速度,因为将 TCP 封装在 TCP 时效率不高。
安全弱点 微软实现的 PPTP 有一个严重的安全问题(serious security vulnerabilities)。对于词典攻击来说 MSCHAP-v2 是很脆弱的,并且 RC4 算法也会遭到“位翻转攻击( bit-flipping attack )”。如果保密是重要的,微软也强烈建议升级到 IPSec。 IPSec 没有明显的漏洞,当和安全加密算法如 AES 一起使用时,被认为是很安全的。 OpenVPN 也没有明显漏洞,当和安全加密算法如 AES 一起使用时,也被认为是相当安全的。
客户端的兼容性
  • Windows
  • Mac OS X
  • Linux
  • Apple iOS
  • Android
  • DD-WRT
  • Windows
  • Mac OS X
  • Linux
  • Apple iOS
  • Android
  • Windows
  • Mac OS X
  • Linux
结论 由于主要的安全漏洞,除了兼容性以外没有好的理由选择使用 PPTP。如果你的设备既不支持 L2TP/IPSec 又不支持 OpenVPN,那么 PPTP 是一个合理的选择。如果关心快速安装和简易配置,那么 L2TP/IPSec 值得考虑。 L2TP/IPSec 是优秀的,但相比 OpenVPN 的高效和杰出的稳定性要落后一点。如果你使用运行 iOS 或 Android 的移动设备,那么这就是最佳的选择,因为 OpenVPN 目前还不支持这些平台。另外,如果需要快速安装,L2TP/IPSec 也是一个较佳的选择。 对于所有的 Windows, Mac OS X 以及 Linux 桌面用户来说,OpenVPN 是最好的选择。OpenVPN 速度快,并且安全可信。但劣势是缺乏对移动设备的支持,另外还需要安装第三方客户端。
等级 1/5 4/5 5/5
注:单纯的L2TP VPN是不加密的是不安全的,OpenVPN也可以在Android/Apple iOS/DD-WRT设备上使用。
除了上面三种常见VPN类型外也有不少VPN服务商提供SSTP VPN和Cisco IPsec VPN类型,还有IKEv2 VPN等其他VPN类型,这么多的VPN类型你喜欢哪些呢?

网络上提供免费PPTP VPN、OpenVPN的较多,提供免费L2TP/IPSec VPN较少,提供免费SSTP VPN和Cisco IPsec VPN的基本没有。

 

本文原始地址http://igfw.tk/archives/5156

相关 [pptp l2tp ipsec] 推荐:

PPTP、L2TP/IPSec、OpenVPN比较选择

- 勇 - iGFW
PPTP VPN、L2TP/IPSec VPN、OpenVPN是最常用的三种VPN形式,下面的列表详细比较了其各方面的性能和优劣. 再做个调查看看你喜欢什么方式的VPN. [ 资料来源:iVPN.net: PPTP vs L2TP vs OpenVPN   翻译来源:PPTP vs. 背景 PPTP 是一个基于 PPP 的很基本的协议.

VPN 隧道协议PPTP、L2TP、IPSec和SSLVPN的区别

- QQ - 软矿
最近软矿频繁地介绍了各种VPN,有免费的PacketiX.NET和Hotspot Shield,有付费的Astrill VPN,iVPN和PureVPN. 在介绍这些VPN的时候,常常会说到PPTP、L2TP、IPSec和SSLVPN等定义,到底这些词汇的意思是什么,它们之前有何区别呢. 下面借用一下中国IT实验室的一篇文章,里面详细介绍了PPTP、L2TP、IPSec和SSLVPN的定义和它们之间的不同之处和相同的地方.

PPTP、L2TP、IPSec和SSL VPN(如OpenVPN)的区别

- 建军 - iGFW
VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用. 也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支 持VPN协议.

免费的 VPN服务 VPNCUP(现已开通PPTP,L2TP IPSec和OpenVPN服务)

- 伤心狼X - HaoRuan.net
VPNCUP是专业在线VPN服务商,提供PPTP服务,L2TP服务,OpenVPN服务. 继续阅读《免费的 VPN服务 VPNCUP(现已开通PPTP,L2TP IPSec和OpenVPN服务)》的全文内容.... 分类: 网络科技 | Tags: VPN   免费   网络   | 添加评论(12).

Linode VPS上搭建L2TP/IPSec服务

- hama - Pure Pleasure - Reborn
10个小时才折腾明白,真费劲啊. 慨叹1:想要学Linux,还真得买个像Linode这样的VPS,比自己弄台机器,或者自己弄个虚拟机好多了⋯⋯大不了Rebuild,几十秒之内就可以推倒从来⋯⋯(你要是决定购买Linode的VPS,在购买的时候不妨填写Referral Code:90e830ad0f9cccf433cbae2b24228d6c544a5b18,这样我能得到$20⋯⋯嘿嘿.

VPN三合一安装包(PPTP,L2TP,OpenVPN)

- bill boy - iGFW
2011.7.2更新:添加验证已安装mysql的root用户密码是否正确;添加Daloradius,RadiusManager,apache. 2011.5.8更新:添加可选使用本机freeradius服务或者使用远程freeradius服务器,如果使用远程则不会在本机安装freeradius及mysql服务; 提高Mysql是否安装识别,去除Nginx,phpMyAdmin,daloradius安装,这些功能建议单独安装,还原OPENVPN端口为1194.

l2tp-ipsec-vpn — Ubuntu系统上图形化的L2TP/IPSec VPN连接工具(图文详细教程)

- jason - iGFW
在用xl2tpd建立L2TP协议的VPN连接&Ubuntu上图形化的L2TP VPN连接工具一文中,我提到过l2tp-ipsec-vpn,不过当时我不会用,一个偶然的机会看到了一篇教程,测试可以,很方便易用,谷歌翻译下,呈现给大家(以Ubuntu 11.04为例). 安装 L2TP IPSec VPN.

如何在 Debian / Ubuntu 服务器上架设 L2TP / IPSec VPN

- Wang - apple4us
很多公司出于商业资料安全性的考虑,要求员工在移动办公过程中使用 VPN 接入互联网. 目前国内用户比较熟悉的 VPN 接入方式是 PPTP,但有时你或许需要用安全性更强的 L2TP / IPSec 方式接入. 本站的 Rio 最近在一台 Ubuntu 和一台 Debian 主机上配置了 L2TP / IPSec VPN,并在自己的博客上做了记录.

安装PPTP VPN

- - C1G军火库
其它VPN还有IPSEC VPN,L2TP VPN几种,PPTP最简便,IPSEC VPN最通用,各个平台都支持,L2TP VPN最安全. 由于Linux本身并没有集成PPTP功能,所以需要安装相关组件以让我们的RedHat支持PPP,根据内核的版本,下载相应的安装包. 我这里是centos5.8 64位.