使用 OpenVPN 一段时间后,我发现在每台需要连接的机器上安装客户端很麻烦(Android、Windows、Linux)。我宁愿在操作系统的内置客户端中输入详细信息。目前我的主要想法是使用 IKEv2,因为它兼容性高、开销低,同时保持良好的安全性。
我一直在尝试寻找最佳的设置指南(因为 VPN 设置通常非常复杂,所以有指南就更好了),而我能找到的只是 StrongSWAN 指南,这些指南建议使用我认为不安全的做法(例如 mschapv2 身份验证)。我想找到一个社区认为不仅从安全角度来看很好,而且高度兼容,并且具有每个用户预共享密钥身份验证(不干扰证书)的指南。
所以归根结底是:哪种 VPN 类型最适合我的需求,哪种守护进程最好,以及最安全的配置方法是什么?谢谢!
答案1
这取决于从网络和管理角度来看您需要什么。对我来说,高度兼容的 VPN 解决方案意味着:
- 允许处理 L2 流量,
- 同时处理客户端和服务器端的 NAT,
- 只需通过任意端口转发即可建立站点到站点的连接(!),
- 允许通过 VPN 转发本地 LAN 第 2 层流量 - 广播消息,
- 使用 DHCP 向客户端推送选项(如路由、DNS、WINS、域后缀、NTP),无需管理权限。
- 能够通过 WAN 将客户端加入域,
- 通过 OpenLDAP 和 Active Directory 等目录服务授权用户的能力,
- 能够使用高级加密、完整性机制和一次性令牌。
- 与 Windows、Unix、Linux、OSX、ROS 兼容。(当然存在一些不兼容性)
这让 OpenVPN 独一无二。没有其他 VPN 解决方案能够做到这一点*。
*全部同时发生。
正如您所注意到的,其中一个缺点是缺乏本机支持,尽管您可以为 Windows 准备一键安装程序,为 Linux 和 OSX 准备一体化配置文件。