openvpn vs ipsec vs wireguard ikev2


什么是VPN协议?为什么需要了解不同的选择?

由于大多数VPN提供商都提供多种VPN协议供您选择,因此最好了解这些不同选项的优缺点,以便您可以根据自己的独特需求选择最合适的选项.

在本指南中,我们将比较两种最受欢迎​​的VPN协议– OpenVPN与IPSec –以及L2TP / IPSec,IKEv2 / IPSec,WireGuard,PPTP和SSTP。这是为了简要概述每种VPN协议的优缺点。.

因此,让我们深入.

有哪些不同的VPN协议?

什么是VPN协议?

VPN协议是一组指令,用于在设备和VPN服务器之间建立安全且加密的连接以传输数据.

大多数商业VPN提供商都提供可在VPN客户端中使用的各种不同的VPN协议。例如,在下面的屏幕截图中,我正在测试ExpressVPN并可以选择OpenVPN UDP,OpenVPN TCP,SSTP,L2TP / IPSec和PPTP.

openvpn l2tp sstp pptp这些是ExpressVPN客户端中的不同VPN协议.

现在,我们将仔细研究各种VPN协议.

开放VPN

OpenVPN是OpenVPN Technologies开发的一种通用的开源VPN协议。它可以说是当今使用的最安全,最受欢迎的VPN协议,并且已经通过了各种第三方安全审核。.

如果正确实施OpenVPN并使用SSL / TLS进行密钥交换,则通常认为OpenVPN是行业标准。它提供了完全的机密性,身份验证和完整性,并且在各种用例中都非常灵活.

开放VPN

设定注意:OpenVPN需要使用特殊的客户端软件,而不是内置在不同的操作系统中。大多数VPN服务提供自定义的OpenVPN应用程序,可在不同的操作系统和设备上使用。安装通常是快速而简单的。 OpenVPN可以通过第三方客户端在所有主要平台上使用:Windows,Mac OS,Linux,Apple iOS,Android和各种路由器(请检查固件的兼容性).

加密:OpenVPN使用OpenSSL库和TLS协议提供加密。 OpenSSL支持多种不同的算法和密码,包括AES,Blowfish,Camellia和ChaCha20.

安全:只要正确实施,OpenVPN被认为是最安全的VPN协议。它没有任何已知的主要漏洞.

性能注意:OpenVPN提供良好的性能,尤其是在UDP(用户数据报协议)而不是TCP(传输控制协议)上运行时。无论是在无线网络还是蜂窝网络上使用,OpenVPN都是稳定可靠的。如果您遇到连接问题,可以将OpenVPN与TCP配合使用,这将确认所有发送的数据包,但速度较慢.

港口:OpenVPN可以在使用UDP或TCP的任何端口上使用.

判决: 强烈推荐.

IPSec – Internet协议安全

什么是IPSec?

IPSec是一种安全的网络协议套件,可对通过IP网络发送的数据包进行身份验证和加密。它代表Internet协议安全(IPSec),由Internet工程任务组开发。与在应用程序级别上运行的SSL不同,IPSec在网络级别上运行,并且可以在许多操作系统中本地使用。由于大多数操作系统本身都支持IPSec,因此无需第三方应用即可使用它(与OpenVPN不同).

当与L2TP或IKEv2配对时,IPSec已成为VPN上非常流行的协议,我们将在下面讨论更多.

IPSec使用以下方法加密整个IP数据包:

  • 身份验证标头(AH),在每个数据包上放置一个数字签名;和
  • 封装安全协议(ESP),可对传输中的数据包进行机密性,完整性和身份验证.

国家安全局泄漏的演讲 –如果不参考泄漏的NSA演示文稿,而IPSec的讨论是不完整的,NSA演示文稿讨论了损害NSA的IPSec协议(L2TP和IKE)。在这份过时的演讲中,基于模糊的参考很难得出任何具体的结论。但是,如果威胁模型包括来自复杂的州级参与者的有针对性的监视,则您可能需要考虑使用更安全的协议,例如OpenVPN。积极的一点是,如果正确实施IPSec协议,IPSec协议仍然被认为是安全的。.

现在,我们将研究与L2TP和IKEv2配对时如何将IPSec与VPN一起使用.

IKEv2 / IPSec

什么是IKEv2 / IPSec?

IKEv2是在RFC 7296中标准化的隧道协议,它代表Internet密钥交换版本2(IKEv2)。它是Cisco和Microsoft之间的一个联合项目。 IKEv2与IPSec配对,可与VPN结合使用以实现最大安全性.

IKE(Internet密钥交换)的第一个版本于1998年发布,而第二个版本于7年后的2005年12月发布。与其他VPN协议相比,IKEv2在速度,安全性,稳定性,CPU使用率和性能方面都具有优势。重建连接的能力。这使它成为移动用户的理想选择,尤其是对于本机支持IKEv2的iOS(Apple)设备.

设定:安装通常是快速而简单的,需要您从VPN提供商导入要使用的服务器的配置文件。 (请参阅具有Perfect Privacy的示例。)Windows 7 +,Mac OS 10.11 +,Blackberry和iOS(iPhone和iPad)以及某些Android设备本身都支持IKEv2。某些操作系统还支持“始终在线”功能,该功能会强制所有Internet流量通过VPN隧道,从而确保没有数据泄漏.

加密:IKEv2使用多种加密算法,包括AES,Blowfish,山茶和3DES.

安全注意:IKEv2 / IPSec的一个缺点是它是封闭源代码,由Cisco和Microsoft开发(但确实存在开放源代码版本)。从积极的方面来看,IKEv2被广泛认为是可用的最快和最安全的协议之一,使其成为VPN用户的流行选择。.

性能注意:在许多情况下,IKEv2比OpenVPN更快,因为它占用的CPU较少。但是,有许多变量会影响速度,因此这可能不适用于所有用例。从移动用户的性能角度来看,IKEv2可能是最佳选择,因为它可以很好地建立重新连接.

港口:IKEv2使用以下端口:UDP 500用于初始密钥交换和UDP 4500用于NAT遍历.

判决: 推荐的.

L2TP / IPSec

与IPSec配对的第2层隧道协议(L2TP)也是一种流行的VPN协议,许多操作系统本身都支持该协议。 L2TP / IPSec在RFC 3193中进行了标准化,并提供了机密性,身份验证和完整性.

设定:设置L2TP / IPSec通常很容易。许多操作系统(包括Windows 2000 / XP +,Mac OS 10.3+)以及大多数Android操作系统都对它提供本地支持。就像使用IKEv2 / IPSec一样,您只需要从VPN提供商导入配置文件.

加密:L2TP / IPSec通过标准IPSec协议对数据进行两次加密封装.

安全:L2TP / IPSec通常被认为是安全的,并且没有任何重大的已知问题。就像IKEv2 / IPSec一样,L2TP / IPSec也由Cisco和Microsoft开发,这引发了有关信任的问题。.

性能:就性能而言,L2TP / IPSec可能确实有所不同。一方面,加密/解密发生在内核中,并且还支持多线程,这应该提高速度。但是另一方面,由于它双重封装了数据,因此它可能不如其他选项那么快.

港口L2TP / IPSEC使用UDP 500进行初始密钥交换,使用UDP 1701进行初始L2TP配置,使用UDP 4500进行NAT遍历。由于这种对固定协议和端口的依赖,因此比OpenVPN更容易阻止.

判决:L2TP / IPSec并不是一个不错的选择,但您可能希望选择IKEv2 / IPSec或OpenVPN(如果可用).

WireGuard-一种新的实验性VPN协议

WireGuard是一种新型的实验性VPN协议,旨在提供比现有协议更好的性能和更高的安全性.

线卫

正如我们在WireGuard VPN主指南中介绍的那样,该协议在性能方面具有一些有趣的好处,但是它也有一些值得注意的缺点。主要缺点如下:

  • WireGuard仍在大力开发中,尚未经过审核.
  • 许多VPN服务引起了人们对WireGuard不使用日志的能力的担忧(隐私缺陷).
  • VPN行业采用的技术非常有限(至少目前是这样).
  • 不支持TCP.

设定:WireGuard不包含在任何操作系统中。当它包含在Linux,Mac OS以及某些移动操作系统的内核中时,这种情况可能会随着时间而改变。数量非常有限的VPN支持WireGuard –请与提供商联系以获取设置说明.

加密:WireGuard使用Curve25519进行密钥交换,使用ChaCha20和Poly1305进行数据身份验证,使用BLAKE2s进行哈希处理.

安全:WireGuard的主要安全问题是尚未经过审核,并且仍在大量开发中。已经有少数VPN为其用户提供WireGuard来进行“测试”,但是鉴于项目的状态,当隐私和安全至关重要时,不应使用WireGuard。.

性能:WireGuard理论上应在速度,可靠性以及电池消耗方面提供出色的性能。对于移动用户而言,它可能是理想的协议,因为它使您可以在网络接口之间切换而不会丢失连接。还应该比使用OpenVPN和IPSec更快地进行重新连接.

港口:WireGuard使用UDP,可以在任何端口上进行配置。不幸的是,没有对TCP的支持,这使得阻止变得更容易.

判决:(尚未)推荐,但我会密切关注该项目的发展.

PPTP –过时且不安全

PPTP代表点对点隧道协议,并且是当今仍在使用的最古老的VPN协议之一。它运行在TCP端口1723上,最初由Microsoft开发.

由于严重的安全漏洞,PPTP现在实际上已经过时了。我们不会花太多时间讨论PPTP,因为大多数人甚至不再使用它.

Windows的所有版本和大多数操作系统都原生支持PPTP。尽管PPTP相对较快,但它不如OpenVPN可靠,并且无法从断开的连接中像OpenVPN一样快地恢复.

总体而言,PPTP不应在安全和隐私很重要的任何情况下使用。如果您仅使用VPN来取消阻止内容,则PPTP可能不是一个坏选择,但是还有更多值得考虑的安全选项.

判决: 不建议

SSTP – Windows的VPN协议,但不是很常见

与PPTP一样,SSTP在VPN行业中并未广泛使用,但与PPTP不同,它没有重大的已知安全问题.

SSTP代表 安全套接字隧道协议 并且是仅适用于Windows的Microsoft产品。尽管SSTP也被认为是非常安全的,但是它是Microsoft的封闭源产品这一事实是一个明显的缺点。.

SSTP通过SSL(安全套接字层)协议通过TCP端口443传输流量。这使它成为在受限网络情况下(例如,如果您需要中国的VPN)使用的有用协议。除Windows之外,还支持其他操作系统,但并未得到广泛使用.

由于SSTP是封闭源,并且完全由Microsoft拥有和维护,因此您可能需要考虑其他选择。当然,如果网络上所有其他协议都被阻止,SSTP可能仍然是最佳选择.

在性能方面,SSTP表现良好,并且快速,稳定和安全。不幸的是,很少有VPN提供商支持SSTP。多年以来,ExpressVPN在Windows客户端中支持SSTP,但今天不再支持.

判决:如果其他VPN协议被阻止,SSTP可能会有用,但是OpenVPN是一个更好的选择(如果可用)。大多数VPN不提供对SSTP的任何支持.

OpenVPN UDP与OpenVPN TCP

由于OpenVPN是最受欢迎的VPN协议,因此通常可以在两个变体之间进行选择:OpenVPN UDP或OpenVPN TCP。那么该选择哪一个?

下面我正在测试NordVPN,这使我可以选择TCP或UDP协议.

openvpn udp与openvpn tcp

以下是这两种协议的简要概述:

  • TCP协议 (传输控制协议):TCP是两者中更可靠的选项,但它具有一些性能缺陷。使用TCP,仅在确认最后一个数据包到达后才发送数据包,因此速度变慢。如果未收到确认,则将仅重新发送数据包-称为纠错.
  • UDP协议 (用户数据报协议):UDP是两个选项中最快的。数据包的发送没有任何确认,这可以提高速度,但可能不那么可靠.

默认情况下,OpenVPN UDP将是更好的选择,因为它提供了优于OpenVPN TCP的性能。但是,如果遇到连接问题,请切换到TCP以提高可靠性.

TCP通常用于混淆VPN流量,使其看起来像常规HTTPS流量。这可以通过在端口443上使用OpenVPN TCP以及以TLS加密路由的通信来完成。许多VPN提供商提供了多种形式的混淆技术来击败VPN块,并且大多数提供商都使用OpenVPN TCP.

什么是最好的VPN协议?

正如我对最佳VPN服务的概述所指出的那样,没有适合所有人的“一刀切”的所有解决方案。这适用于选择VPN服务以及选择VPN协议。适用于您情况的最佳协议取决于几个不同的因素:

  • 设备 您正在使用–不同的设备支持不同的协议.
  • 您的 网络 –如果您处于受限的网络环境中,例如在中国或有学校和工作网络,则某些协议可能无法通过。一些VPN提供商针对这些情况提供了指定的VPN协议-有关此主题的更多讨论,请参见《 VPN for China》指南.
  • 性能 –某些协议在性能方面提供了很大的优势,尤其是在进出连接的移动设备上.
  • 威胁模型 –某些协议比其他协议弱并且安全性较低。根据威胁模型,为您的安全和隐私需求选择最佳的VPN协议.

作为一般经验法则, 开放VPN 可以说是 最好的全方位VPN协议. 它是非常安全,可靠且在行业中广泛使用的,并且具有良好的速度和可靠性。如果您无法根据需要选择OpenVPN,只需考虑其他方法.

对于大多数VPN服务,尽管L2TP / IPSec和IKEv2 / IPSec在移动VPN客户端中很常见,但OpenVPN通常是其应用程序中使用的默认协议。.

VPN协议结论

该VPN协议指南旨在作为当前使用的主要VPN协议的基本概述:OpenVPN,L2TP / IPSec,IKEv2 / IPSec,WireGuard,PPTP和SSTP.

有关每种协议的更深入信息,您可以检查各自开发人员的参考。.

随着这些不同VPN协议的发展,本指南将不断更新。.

最后更新于八月13,2019.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me