Vlákno názorů k článku OpenVPN – VPN jednoduše od Tomáš Šimek - Tunelovat IP přez TCP a ješte přez proxy...

Tunelovat IP přez TCP a ješte přez proxy je zoufalost. Uznávám ale, když to jinak nejde (zdravíme koleje ZČU Plzeň), tonoucí se rád stébla chytne.

Jinak pro ostré nasazení snad jen přez UDP, ale ja bych asi vždy radši zvolil IPSEC.

Je prudce stabilni, konfigurace de taky zvládnout, asi před půlrokem tu vyšli výborné články, nakonfigurujete ho i proti "proprietárním řešením" na proprietárním hardwaru či operačním systému.

Osobně bych za proprietární označil spíš OpenVPN

'Tunelovat IP přez TCP a ješte přez proxy je zoufalost.' - suhlasim, ale kazdopadne je to velka vyhoda... zvlast, ked sa niekto ocitne v desne paranoidnej korporacii, kde je mozny pristup na internet iba cez http proxy.
IPSec ma, ako je zname, problemy s NAT (zmeni sa jedna z adries packetu a potom nesedi checksum). Samozrejme existuju rozne NAT traversal finty, ale to je len zaobalenie AH/ESP protokolu do UDP.

Ku kompresii: IPSec zvycajne pouziva na svojej vrstve podstatne vacsie packety (16384 B aj s hlavickami) co umoznouje lepsi kompresny pomer; OpenVPN ma adaptivnu kompresiu, t.j. to co nevie dobre zbalit, vobec nebali.

TUN/TAP ifc je mozne dat do bridge spolu s vnutornym eth ifc firewallu a pridelovat klientom IP cez DHCP + cez to prelezu vsetky mozne windozove broadcasty, takze klient to tak ako by bol vo vnutornej lan.

Moj rezultat: IPSec na budovanie NET <-> NET VPN; OpenVPN jednoznacne pre roadwarriorov...

Btw neviem ako inde a ako to je teraz, ale na Slovensku napr. cez chello su povolene iba protokoly ICMP, UDP a TCP, takze IPSec no-way... skusal som to dost davno, mozno to je uz inak.

pouzivam uz celkom dlhu dobu ipsec cez chello v bratislave a nikdy som nemal problem