7 款适用于企业的开源 VPN 工具

最近几个月，许多流行的在线安全和 VPN 供应商因其产品中未解决的漏洞使用户面临严重威胁而受到抨击。

2 月初，卡内基梅隆大学软件工程研究所发布咨询警告，指出 Pulse Secure VPN 图形用户界面在连接到网站时未能验证 SSL 证书。这使得企业级客户端容易受到中间人（和其他）攻击。虽然 Pulse 5.3R4.2 和 Pulse 5.2R9 已经解决了 SSL 验证问题，但卡内基梅隆大学的研究人员仍然警告不要在不受信任的网络上使用它。

Cisco 自适应安全设备软件在遭受类似漏洞后，解决了其 SSL 验证问题，但未解决是否应在不受信任的网络上避免使用它。这些披露让许多组织怀疑他们是否可以信任这些行业巨头来处理他们的敏感信息，或者他们是否应该完全放弃 VPN。

幸运的是，有许多企业级开源 VPN 解决方案可以满足任何大型或小型企业的需求。

OpenVPN 解决方案的优势

OpenVPN 是在线隐私领域的强大参与者之一。它是一种开源 VPN 技术，为 Windows 用户配备了 256-AES-CBC 和 2048 位 Diffie-Hellman 密钥。对于 Linux、iOS 和 MacOS 用户，OpenVPN 通过 IKEv2/IPsec 协议和 AES-256-CGM 以及 3072 位 DH 密钥加密信息。

根据我的经验，Diffie-Hellman 密钥比 RSA（Rivest、Shamir 和 Adelman）更强大，因为它启用了完美前向保密，即使长期密钥泄露，也能确保过去的通信和传输在未来不会被解密。

这意味着 OpenVPN 是目前最安全的开源 VPN 软件选项之一。

此外，OpenVPN 开发者社区是在线安全领域最活跃和最积极发声的社区之一。成员们不断改进和更新软件，以跟上快速变化的互联网安全形势。

考虑到其令人印象深刻的安全规范和软件背后的热情团队，我鼓励企业尽可能随时随地使用 OpenVPN 驱动的安全解决方案，包括此列表上的一些选项。

7 款最佳开源 VPN 替代方案

以下是七款可能适合您企业的最佳开源 VPN 解决方案。

Openswan | Linux

Openswan 是 Linux 的 IPsec 实现，支持大多数 IPsec 相关扩展（包括 IKEv2）。自 2005 年初以来，它一直被认为是 Linux 用户的“首选”VPN 软件。根据您运行的 Linux 版本，Openswan 可能已在您的发行版中，如果您无法轻松找到该软件，您可以直接从其站点下载源代码。

Tcpcrypt | Windows 和 MacOS

Tcpcrypt 协议是一种独特的 VPN 解决方案，因为它不需要配置、更改应用程序或网络连接的明显变化。Tcpcrypt 使用一种称为“机会加密”的技术运行。这意味着如果连接的另一端与 Tcpcrypt 通信，则流量将被加密，否则，它可以被视为明文。

虽然这远非理想，但该协议经历了多次强大的更新，使其更能抵御被动和主动攻击。虽然我不建议将 Tpcrypt 作为公司范围内的解决方案，但对于处理不太敏感信息的员工和分支机构来说，它可以作为一个出色且易于实施的解决方案。

Tinc | Linux、MacOS 和 Windows

Tinc 是根据 GNU 通用公共许可证 获得许可的免费软件。使 tinc 与此列表中的其他 VPN（包括 OpenVPN 协议）区分开来的是它包含的各种独特功能，包括加密、可选压缩、自动网状路由和易于扩展。这些功能使 tinc 成为希望从众多分散的小型网络创建 VPN 的企业的理想解决方案。

SoftEther VPN | Linux、Windows、MacOS 和其他

SoftEther（软件以太网的缩写）VPN 是迄今为止市场上功能最强大且用户友好的多协议 VPN 软件选项之一。SoftEther VPN 被定位为 OpenVPN 的理想替代品，它具有 OpenVPN 服务器的克隆功能，允许您从 OpenVPN 无缝迁移到 SoftEther VPN。SoftEther 令人印象深刻的安全标准和功能被认为与 NordVPN 等市场领导者相当，使其成为开源领域的强大力量。

SoftEther 还兼容 L2TP 和 IPsec 协议，从而实现额外的自定义。此外，SoftEther VPN 已被证明甚至比 OpenVPN 更快，从而改善了浏览体验。SoftEther 的主要缺点是它在兼容性方面落后于同类产品。但是，造成此问题的主要原因是 SoftEther 协议的相对新颖性，并且随着时间的推移，您可能会看到越来越多的平台支持 SoftEther。

OpenConnect | Linux

考虑到 OpenConnect 是一个为支持 Cisco 的 AnyConnect SSL VPN 而创建的 VPN 客户端，您可能会惊讶地在此列表中看到此软件（毕竟这是一篇详细介绍 Cisco 和 Pulse 替代方案的文章）。但是，重要的是要注意 OpenConnect 未与 Cisco 或 Pulse Secure 官方关联。它只是与他们的设备兼容。

事实上，在 Cisco 客户端的试用版发现它存在许多安全漏洞后，OpenConnect 的重新开发就开始了，OpenConnect 着手纠正这些漏洞。如今，OpenConnect 已经解决了 Cisco 客户端的所有缺陷（甚至更多），使其成为任何 Linux 用户的领先 Cisco 替代方案之一。

Libreswan | Linux、 FreeBSD 和 MacOS

经过 15 年以上的积极开发，Libreswan 创造了现代市场上最好的开源 VPN 替代方案之一。Libreswan 目前支持最常见的 VPN 协议、IPsec、IKEv1 和 IKEv2。与 Tcpcrypt 一样，Libreswan 基于机会加密运行，这使其容易受到主动攻击。但是，大量的安全功能和活跃的开发者社区使 Libreswan 成为中低等级加密要求的绝佳选择。

StrongSwan | Linux、Android 和 路由器

strongSwan 由 Andreas Steffen 维护，他是通信安全教授，也是瑞士拉珀斯维尔应用科技大学互联网技术与应用研究所的负责人，strongSwan 以其卓越的加密标准、简单的配置以及支持大型复杂 VPN 网络的 IPsec 策略在 VPN 社区中声名鹊起。

结论

虽然最近在 Cisco 和 Pulse Secure 网络中暴露的漏洞令人担忧（至少可以这么说），但仍有许多适用于企业级的开源替代方案。虽然实施这些解决方案需要大量的技术知识和高度的公司范围内的合作，但您可以在晚上睡得更安稳，因为您知道公司的敏感信息受到可用的最佳协议的保护。