Inte direkt en fråga, vill bara bekräfta mina antaganden och se om någon annan har experimenterat med GP-protokollen.
IPsec är standard och misslyckas bara med SSL om IPsec inte kan ansluta alls, jag har inte aktiverat “failover till SSL vid instabilitet” men jag har aktiverat möjligheten att tvinga SSL i inställningarna på klienten för att experimentera med detta.
IPsecPrestanda > Stabilitet
-UDP
-Snabbare genomströmning på länkar av god kvalitet
-Minskar vissa TCP-Problem inbäddade i TCP
-Om paketet tappas är det borta, kan leda till andra problem, men TCP inuti tunneln kan omförsändas vid behov
SSLStabilitet > Prestanda
-TCP
-Långsammare genomströmning på lika länkar
-Kanske är det mer stabilt på hemska förbindelser med mycket förlust? Eftersom paketen omförsänds på tunnel-nivå så att den inbäddade TCP:n inte behöver? Men om det är riktigt dåligt, kommer timeout att börja hända… Dessa är bara tankar, inte bevisade.
Har någon lekt med SSL-stabilitet på usla länkar? Jag vet att det enda riktiga svaret är att få en bättre förbindelse, tro mig jag ägnar varje vaknatt åt att be folk göra detta. Men för de regioner där det bara inte är möjligt, testade jag SSL för att se om det kunde ge någon litet förbättring i stabilitet.
På förlorande länkar ger IPSEC vanligtvis bättre resultat för användaren, helt enkelt för att du inte har TCP-återhämtningen av SSL-tunneln i sig OCH TCP-återhämtningen (eller applikationsspecifik återhämtning) av trafiken inuti SSL-tunneln som båda sker.
Speciellt, SSL (TCP) tunnlingsåterhämtning från paketförlust gör mycket obehagliga saker för realtidskommunikation som röst och video, där det är bättre att helt enkelt skippa trafiken snarare än att försöka skicka om den.
Min erfarenhet är att prestandan alltid har varit bättre på IPSEC. Inga problem förutom med SSL VPN, även på bra förbindelser. Många oförklarade prestandaproblem med streaming av video och ljud (riktigt under COVID när allt är virtuellt).
Det är en bra poäng, jag tänkte att bevara paketet i tunneln, men egentligen tar trafiken inne i tunneln hand om det bättre, så det är bättre att inte ha själva tunneln göra det, särskilt om det är UDP där (dvs realtids röst/video).
Så finns det något annat scenario/annat användningsfall jag inte tänker på för SSL, eller är det verkligen bara fail-over om klientens IPsec blockeras?
Vi har faktiskt folk vars enda internet är en mobilt hotspot. De försökte klaga till mig om VPN:en, vi använder SSL och jag måste förklara att det fungerar helt perfekt på min Comcast-länk och vilken annan hårdansi internetuppkoppling jag har tillgång till. Jag kan visa exempel på folk som är anslutna hela dagen tills vår anslutningstimer kickar ut dem. Jag kan inte göra mycket mer för din usla internetuppkoppling. Jag har lekt med IPsec på några av mina testtunnlar, speciellt den som Help Desk-gänget använder så de kan svara på Help Desk-linjen via sina softphones. Vi verkar inte ha problem med någon av konfigurationerna.