Comparatif VPN » Historique » Version 7
Version 6 (Baptiste Jonglez, 31/05/2014 04:41) → Version 7/15 (Baptiste Jonglez, 31/05/2014 04:41)
{{>toc}}
h1. VPN
Comparaison de différentes solutions de VPN, selon plusieurs critères (facilité de mise en place, performance, sécurité, etc). L'usage considéré est celui de transport d'IP publiques (collecte virtuelle), voir [[Partage ADSL OpenVPN]].
Pour des benchmarks détaillés sur des petits routeurs OpenWRT, voir [[Benchmark VPN]].
Overview OpenWRT : http://wiki.openwrt.org/doc/howto/vpn.overview
h2. OpenVPN
Avantages :
* simple à mettre en place, éprouvé, documenté
* standard de fait, existe pour tous les OS décents
* chiffrement (optionnel)
* authentification forte (certificat SSL, secret partagé, ...)
* transport UDP ou TCP (passe bien le NAT, voire les firewalls restrictifs)
* fragmentation intégrée (mais peut aussi poser problème niveau performances)
Inconvénients :
* faible performance sur des petits routeurs (même sans chiffrement) → raison : tunnel userspace
* maintenabilité : obligé de configurer un nouveau tunnel point-à-point pour chaque connexion VPN (alternative : mode serveur multi-client, mais peu pratique pour faire du routage un peu complexe)
Liens :
* [[OpenVPN]]
* [[Partage_ADSL_OpenVPN]]
h2. GRE
Avantages :
* extrêmement simple à mettre en place, disponible absolument partout
* performance : implémentation kernelspace, encapsulation très simple
Inconvénients :
* pas d'authentification
* pas de chiffrement
* maintenabilité : configurer un nouveau tunnel pour chaque connexion VPN
* ni TCP, ni UDP : certains firewalls n'aiment pas (e.g. Livebox)
* pas de keepalive intégré : pose problème pour la connectivité bidirectionnelle à travers un NAT / firewall stateful
* IPv6 pas super bien intégré (notamment, pas mal de bugs sur le link-local)
h2. PPP/L2TPv2
On parle ici de L2TPv2 (RFC 2661), qui encapsule obligatoirement du PPP et qui est obligatoirement transporté sur UDP.
Liens :
* https://www.kernel.org/doc/Documentation/networking/l2tp.txt
h2. PPP/L2TPv2/IPsec
Liens :
* RFC 3193
h2. L2TPv3
Il existe également L2TPv3 (RFC 3931) qui est censé permettre plus de choses : transport d'autres protocols que PPP (IP, Ethernet, etc), sécurité, tunnels statiques, encapsulation directe dans IP, etc.
Linux supporte L2TPv3 depuis quelques années (2.6.35), et
Liens :
* https://www.kernel.org/doc/Documentation/networking/l2tp.txt
* http://wiki.openwrt.org/doc/uci/network#protocol.l2tp.l2tp.pseudowire.tunnel
* http://wiki.openwrt.org/doc/howto/pseudowire#l2tpv3.with.openwrt
* http://en.wikipedia.org/wiki/L2TPv3
* http://www.openl2tp.org/pipermail/openl2tp-users/2010-April/000836.html
h2. Tinc
h2. Autres
* http://www.dest-unreach.org/socat/doc/socat-tun.html
* http://www.tinc-vpn.org/
h1. VPN
Comparaison de différentes solutions de VPN, selon plusieurs critères (facilité de mise en place, performance, sécurité, etc). L'usage considéré est celui de transport d'IP publiques (collecte virtuelle), voir [[Partage ADSL OpenVPN]].
Pour des benchmarks détaillés sur des petits routeurs OpenWRT, voir [[Benchmark VPN]].
Overview OpenWRT : http://wiki.openwrt.org/doc/howto/vpn.overview
h2. OpenVPN
Avantages :
* simple à mettre en place, éprouvé, documenté
* standard de fait, existe pour tous les OS décents
* chiffrement (optionnel)
* authentification forte (certificat SSL, secret partagé, ...)
* transport UDP ou TCP (passe bien le NAT, voire les firewalls restrictifs)
* fragmentation intégrée (mais peut aussi poser problème niveau performances)
Inconvénients :
* faible performance sur des petits routeurs (même sans chiffrement) → raison : tunnel userspace
* maintenabilité : obligé de configurer un nouveau tunnel point-à-point pour chaque connexion VPN (alternative : mode serveur multi-client, mais peu pratique pour faire du routage un peu complexe)
Liens :
* [[OpenVPN]]
* [[Partage_ADSL_OpenVPN]]
h2. GRE
Avantages :
* extrêmement simple à mettre en place, disponible absolument partout
* performance : implémentation kernelspace, encapsulation très simple
Inconvénients :
* pas d'authentification
* pas de chiffrement
* maintenabilité : configurer un nouveau tunnel pour chaque connexion VPN
* ni TCP, ni UDP : certains firewalls n'aiment pas (e.g. Livebox)
* pas de keepalive intégré : pose problème pour la connectivité bidirectionnelle à travers un NAT / firewall stateful
* IPv6 pas super bien intégré (notamment, pas mal de bugs sur le link-local)
h2. PPP/L2TPv2
On parle ici de L2TPv2 (RFC 2661), qui encapsule obligatoirement du PPP et qui est obligatoirement transporté sur UDP.
Liens :
* https://www.kernel.org/doc/Documentation/networking/l2tp.txt
h2. PPP/L2TPv2/IPsec
Liens :
* RFC 3193
h2. L2TPv3
Il existe également L2TPv3 (RFC 3931) qui est censé permettre plus de choses : transport d'autres protocols que PPP (IP, Ethernet, etc), sécurité, tunnels statiques, encapsulation directe dans IP, etc.
Linux supporte L2TPv3 depuis quelques années (2.6.35), et
Liens :
* https://www.kernel.org/doc/Documentation/networking/l2tp.txt
* http://wiki.openwrt.org/doc/uci/network#protocol.l2tp.l2tp.pseudowire.tunnel
* http://wiki.openwrt.org/doc/howto/pseudowire#l2tpv3.with.openwrt
* http://en.wikipedia.org/wiki/L2TPv3
* http://www.openl2tp.org/pipermail/openl2tp-users/2010-April/000836.html
h2. Tinc
h2. Autres
* http://www.dest-unreach.org/socat/doc/socat-tun.html
* http://www.tinc-vpn.org/