Ipsec Openvpn

xub

Hola amigos, les comento tengo 4 sucursales conectadas por VPN con Ipsec, vi varios comentarios que OpenVpn era muchisimo mas rapido etc. etc…

Quise probar a ver que tan rapido era y mi sorprea fue que es mas lento !!! jaja

tirando un ping con Ipsec supongamos que tira 10ms con Openvpn tira 20ms o 30ms

supuse que algo estaba haciendo mal segui leyendo probe varios trucos confifuraciones magicas y las pruebas siguen dando el mismo resultado ....

me sigo quedando con Ipsec site to site y con Openvpn para Roadwarrior

alguno hizo la misma prueba ??

Saludos

bellera

La velocidad depende esencialmente del modo de encriptación.

Además, en OpenVPN conviene seleccionar UDP y compresión LZO.

Mi experiencia es que la velocidad es +- la misma. La diferencia es que OpenVPN es más flexible.

http://es.wikipedia.org/wiki/OpenVPN#Comparaci.C3.B3n_entre_OpenVPN_e_IPsec_VPN

xub

si eso es lo raro ya te Openvpn el ayudante ya te lo crea por UDP y puse el tilde en LZO ademas tengo AES-128-CBC(128bits)
y en Ipsec tengo:

WAN aggressive DES MD5

y en el tunel

tunnel LAN ESP AES (auto), Blowfish (auto), CAST128, DES MD5, SHA1

No se si sera la misma entcriptacion en ambos casos…..
por lo menos veo que en las dos dice AES 128 .....

Saludos

bellera

Blowfish es más rápido que AES, pero menos seguro que AES.

Para que los resultados sean comparables tienes que emplear el mismo algoritmo de http://es.wikipedia.org/wiki/Cifrado_por_bloques

Además, hay que tener en cuenta si los equipos tiene acelerador por hardware o no para el algoritmo empleado:

https://forum.pfsense.org/index.php?topic=29893.msg155139#msg155139

Algunas comparativas de algoritmos de cifrado por bloques:

http://www.uv.es/~sto/cursos/seguridad.java/html/sjava-12.html

http://www.javamex.com/tutorials/cryptography/ciphers.shtml

http://stackoverflow.com/questions/5554526/comparison-of-des-triple-des-aes-blowfish-encryption-for-data

xub

perdon pero me canse de probar on OpenVpn BF-CBC-128 con y si acelerador
DES-CBC 64 con y sin aceleracion

y no no no el ping da el doble o mas que IPsec …

una lastima por el tema de las ip dinamicas de Openvpn pero mi jefe es un adicto al ping
si ve que el ping da el doble que ipsec obvio que no va a querer OpenVpn por mas que tenga 1000 ventajas

A seguir con Ipsec amigos

saludos

bellera

Debe haber algún motivo.

Insisto en que hace tiempo hice pruebas y el resultado era +- el mismo.

Eso sí, hice pruebas transfiriendo ficheros fuera de horas de trabajo.

Encontré este hilo al respecto, https://forum.pfsense.org/index.php?topic=61575.0

En https://forum.pfsense.org/index.php?topic=47567.0 se discute el uso de net.inet.ip.fastforwarding = 1 para aumentar la velocidad.

Decir que no he necesitado nunca estos ajustes…

xub

pues que no se que estara mal la vpn con Openvpn no tiene mucha historia las arme con al ayudante
el puerto lo puse en 1195
volvi a probar agregando eso que muestran el el link

tun-mtu 1500;
mssfix 1400;

y todo sigue exactamente igual
probando recién desde aca contra mi casa

ping desde el trabajo a mi casa con ipsec

64 bytes from 192.168.x.xxx: icmp_req=2 ttl=63 time=30.8 ms
64 bytes from 192.168.x.xxx: icmp_req=3 ttl=63 time=14.9 ms

ping desde el trabajo a mi casa con OpenVpn

64 bytes from 192.168.x.xxx: icmp_req=1 ttl=63 time=139 ms
64 bytes from 192.168.x.xxx: icmp_req=2 ttl=63 time=155 ms

de terror ajaja

me rindo