单纯的L2TP VPN是不加密、不安全的,除了本文这三种常见VPN协议外也有不少VPN服务商提供SSTP VPN和Cisco IPsec VPN类型,还有IKEv2 VPN等其他VPN类型,请期待VPNTop10的介绍文章。
PPTP | L2TP / IPSEC | OpenVPN | |
---|---|---|---|
介绍 | 基于PPP的非常基本的VPN协议。PPTP规范实际上并不描述加密或认证功能,并且依赖于PPP协议被隧道化以实现安全功能。 | 在IETF RFC 3193中正式标准化的高级协议,现在需要安全数据加密的Microsoft平台上推荐的PPTP替代方案。 | 一种由“OpenVPN技术”支持的高级开源VPN解决方案,现在是开源网络空间中的事实标准。使用成熟的SSL / TLS加密协议。 |
加密 | 使用Microsoft的点对点加密协议(MPPE)对PPP有效载荷进行加密。MPPE实现最大128位会话密钥的RSA RC4加密算法。 | L2TP有效载荷使用标准化的IPSec协议进行加密。RFC 4835规定了3DES或AES加密算法的机密性。IVPN使用256位密钥的AES算法。(AES-256是国家安全局首次公开访问和开放的密码,以获取最佳秘密信息)。 | OpenVPN使用OpenSSL库提供加密。OpenSSL支持多种不同的加密算法,如3DES,AES,RC5,Blowfish。与IPSec一样,IVPN实现了具有256位密钥的极其安全的AES算法。 |
安全漏洞 | PPTP的Microsoft实施具有严重的安全漏洞。MSCHAP-v2容易受到字典攻击,RC4算法受到一些翻转攻击。Microsoft强烈建议升级到IPSec,其中保密是关注的。 | IPSec没有已知的主要漏洞,当与AES等安全加密算法一起使用时,通常被认为是安全的。然而,泄漏的NSA演示文稿 表示IKE以未知的方式被利用来解密IPSec流量。还应该注意的是,当IPSec配置为使用公共(与公共VPN服务相同)的预共享密钥时,它将容易受到活动的MITM攻击。这不是IPSec协议的一个漏洞,而是以它的实现方式。 | OpenVPN没有主要的漏洞,当与AES等安全加密算法一起使用时,被认为是非常安全的。 |
速度 | 使用RC4和128位密钥,加密开销是所有三种协议中最少的,使PPTP成为最快的。 | 由于双重封装,L2TP / IPSEC的开销略高于对手。在大多数情况下与OpenVPN相当。 | 当在可靠的网络中使用默认UDP模式时,OpenVPN应该比L2TP / IPSec更好。 |
端口 | PPTP使用TCP端口1723和GRE(协议47)。PPTP可以通过限制GRE协议来轻松阻止。 | L2TP / IPSEC使用UDP 500作为初始密钥交换,IPSEC加密数据(ESP)的协议50,初始L2TP配置的UDP 1701和NAT穿越的UDP 4500。由于L2TP / IPSec依赖于固定的协议和端口,所以L2TP / IPSec比OpenVPN更容易阻止。 | OpenVPN可以轻松地配置为使用UDP或TCP在任何端口上运行。为了绕过限制性防火墙,OpenVPN可以配置为在端口443上使用TCP。 |
设置/配置 | 所有版本的Windows和大多数其他操作系统(包括移动版)都具有对PPTP的本机支持。PPTP只需要用户名,密码和服务器地址,使其设置和配置变得非常简单。 | 自2000 / XP和Mac OSX 10.3+以来,所有版本的Windows和大多数移动操作系统都具有对L2TP / IPSec的本机支持。 | OpenVPN不包含在任何操作系统版本中,需要安装客户端软件。软件安装程序非常用户友好,安装通常需要不到5分钟。 |
稳定性/兼容性 | PPTP不是可靠的,也不会像OpenVPN通过不稳定的网络连接一样快速恢复。与GRE协议和一些路由器的次要兼容性问题。 | L2TP / IPSec比OpenVPN更复杂,可以更容易配置为在NAT路由器之后的设备之间可靠地工作。但是,只要服务器和客户端都支持NAT穿越,应该是很少的问题。实际上,L2TP / IPSec已经显示出与IVPN客户OpenVPN一样可靠稳定。 | 无论是无线网络、蜂窝网络,还是丢包和拥塞经常发生的不可靠网络,OpenVPN 都非常稳定、快速。对于那些相当不可以的连接,OpenVPN 有一个 TCP 模式可以使用,但是要牺牲一点速度,因为将 TCP 封装在 TCP 时效率不高。 |
支持平台 | Windows MacOS Linux Apple iOS Android DD-WRT | Windows MacOS Linux Apple iOS Android | Windows MacOS Linux Apple iOS Android DD-WRT (with the correct build) |
推荐指数 | ★ 由于主要的安全漏洞,除了设备兼容性之外,没有什么好的选择PPTP的理由。如果您有一个不支持L2TP / IPsec或OpenVPN的设备,那么这可能是一个合理的选择。如果需要快速设置和轻松配置,则应考虑L2TP / IPsec。 | ★★★★ L2TP / IPSec是一个很好的选择,但由于最近的泄漏,其安全性可能会受到影响(参见上面的安全部分)。如果您使用的是运行iOS(iPhone)或Android的移动设备,那么在本机支持下,它是最快的设置和配置。然而,L2TP / IPSec不应与安全性很重要的预共享密钥一起使用。 | ★★★★★ OpenVPN是所有平台的最佳选择。它非常快速,安全可靠。此外,IVPN Multihop网络仅在通过OpenVPN连接时可用。唯一的缺点是要安装软件客户端,但在大多数平台上,这只需要几分钟。 |