我知道站点到站点正在使用 IPSec(第 3 层),但客户正在使用 TLS(应用层)。看起来两者实际上站点到站点阅读文章后使用 vpn/文档在线的。
我猜协议(IPSec 与 TLS)是它们唯一的区别,这对您何时使用哪一种协议有影响。我猜两者都同样好,而且无论如何您都应该始终在应用层上使用 TLS,即使在客户端 VPN 之上也是如此。
您如何决定使用哪一个,以及为什么?
答案1
一般来说,协议与此关系不大。你可以IPSec隧道站点到站点或者客户(又名勇士之路)配置,就像你可以有OpenVPN(TLS)隧道站点到站点或者客户设置。这是配置和目的的问题,而不是使用的协议的问题。
站点到站点 VPN
- 通常1 对 1配置
- 双方总体配置类似
- 双方都有固定IP地址
- 任何一方都可以发起或重启连接
- 两者通常背后都有一个网络(例如,两个办公网络连接在一起)
- 您可以在隧道上运行路由协议(BGP、OSPF 等)
- 网络可以双向通信
客户端到站点 VPN
- 通常多对一配置,否客户端连接到1服务器
- 服务器和客户端配置不同
- 客户端不需要固定 IP 地址
- 只有客户端发起连接(因为服务器不知道客户端当前的 IP)
- 客户端通常只是一台笔记本电脑,没有网络
- 路由仅允许每个客户端一个 IP,不支持 BGP 或 OSPF
- 只允许客户端与服务器后面的站点建立连接,一般来说站点无法发起与客户端的连接
这大致就是站点到站点和客户端到站点 VPN 之间的区别。
在 AWS 中VPN 网关用途IPsec 协议和客户端 VPN用途OpenVPN 协议但这只是 AWS 实现服务的方式。不过一般来说,在任一设置中使用任一协议都是完全可行的。
希望有帮助:)
答案2
无论如何,你应该始终在应用层使用 TLS,即使在客户端 VPN 之上
TLS 是一种用途广泛的协议。最常见的是 HTTPS,但许多其他协议也使用它,因为它是加密网络流量的标准方式。这是应用程序级别。
在 AWS Client VPN 中,它被用在更低的一层 - 加密实际的网络层流量(第 3 层),无论通过隧道传输的是什么。他们选择使用 TLS,因为它是一种众所周知的标准协议。
亚马逊本可以使用 IPsec 实现客户端 VPN,甚至可以发明自己的协议,但他们选择了 TLS,因为它是一项成熟的技术。
是的,您确实可以通过此 VPN 使用 HTTPS,从技术上讲,它是 TLS 上的 TLS,但具有不同的端点和证书。
答案3
我知道站点到站点正在使用 IPSec(第 3 层),
看起来确实如此。
但客户端正在使用 TLS(应用程序层)。
不确定你在哪里读到的?文档似乎表明 AWS 客户端 VPN 是基于 openvpn 的
OpenVPN 使用 TLS 进行协商,但不将其用于实际数据。
阅读网上的文章/文档后,似乎两者实际上都是站点到站点的 vpn。
Openvpn 能够执行客户端和站点到站点的 VPN 任务,但 AWS 似乎将其用作客户端 VPN,我在文档中没有看到任何允许您将整个网络块分配给单个 VPN 客户端的内容。
当然,您可以在 VPN 客户端上运行 NAT,以允许其后面的所有设备使用 VPN,但这并不是按预期使用该服务。
我猜协议(IPSec 与 TLS)是它们唯一的区别
站点到站点和客户端 VPN 具有不同的优先级,从而驱动不同的典型协议选择。
ipsec 的问题在于它是在普及 NAT 之前的时代设计的。结果是它直接在 IP 上运行,并且没有任何类似于 TCP/UDP 端口号的东西可供 NAT 用来区分多个客户端会话。
因此,在 NAT 后面使用 IPsec VPN 是一个冒险的提议。它可能根本不起作用,或者更危险的是,它可能有效,但每次只能对一个客户端起作用。
对于站点到站点的 VPN,这通常不是什么大问题,您的边缘设备很可能具有来自一致 ISP 的公共 IPv4。
对于忙碌的客户来说,这是一个大问题。因此,使用在 UDP 甚至 TCP 上运行的 VPN 解决方案(openvpn 可以做到,我不确定亚马逊使用哪种配置)可能是一个好主意。即使效率较低。