Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 13590 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN | UDP or TCP

Alvin
Hi

Which protocal is better?
Default is TCP.

From theory (if I recall correctly), it seems TCP is a more reliable protocol due to that handshake and will resend packet etc if lost etc.

In Reality, it seems UDP performs better.
I get this conclusion when I VPN and then I stream from my LAN TV, UDP Throughtput is better than TCP.

Another reason I choose UDP is because TCP shows port open on GRC.Com scan.
Well they only scan TCP, so not really that great but better I hope.

Thus I am curious in Real world, which is better.

Once concern I have is some places simply block some ports and it is terrible when travel to realise that certain port and traffic does not work, so TCP or UDP is a safer bet?

[:S]


This thread was automatically locked due to age.
Parents
  • 0
    My $0.02 is below.  I don't live in this stuff, but I am sticking with TCP.  

    You may be aware of the recent brouhaha around DNS (google DNS cache poisoning).  One of the roots of the problem is that DNS queries and updates are done over UDP rather TCP, and UDP does not have the handshake so it is readily spoofed.  

    I realize that with the certificates and encryption the VPN traffic is secure, but having the firewall listen for a UDP port is (IMHO) a bit less secure, even if grc.com doesn't see the UDP port as open.  The VPN traffic may not be compromised, but the firewall itself will be a bit less secure.
    --> You could ask Mr. Gibson yourself .. he does a podcast! 
    --> http://www.grc.com/securitynow.htm

    Streaming video may not be a good application for SSL VPN.  Perhaps you could use SNAT and secure the traffic without encryption.  Perhaps the device doing the streaming can use SSL itself so that the Astaro does not have to do the math.

    Take care ...
Reply
  • 0
    My $0.02 is below.  I don't live in this stuff, but I am sticking with TCP.  

    You may be aware of the recent brouhaha around DNS (google DNS cache poisoning).  One of the roots of the problem is that DNS queries and updates are done over UDP rather TCP, and UDP does not have the handshake so it is readily spoofed.  

    I realize that with the certificates and encryption the VPN traffic is secure, but having the firewall listen for a UDP port is (IMHO) a bit less secure, even if grc.com doesn't see the UDP port as open.  The VPN traffic may not be compromised, but the firewall itself will be a bit less secure.
    --> You could ask Mr. Gibson yourself .. he does a podcast! 
    --> http://www.grc.com/securitynow.htm

    Streaming video may not be a good application for SSL VPN.  Perhaps you could use SNAT and secure the traffic without encryption.  Perhaps the device doing the streaming can use SSL itself so that the Astaro does not have to do the math.

    Take care ...
Children
  • 0 in reply to tomjedrz
    Tom, the UDP spoofability problem with DNS does not apply here. Astaro distributes the certs in the client installer package, so the cert is not transmitted over UDP. It can't be spoofed. This also makes man-in-the-middle attacks impossible. If you can decrypt the received traffic, then you know that you are communicating with the Astaro you intended to connect to. 

    Alvin, The reason to use TCP is purely for invisibility. Generally speaking, a TCP SSL vpn on port 443 looks just like standard HTTPS traffic. This means that your tunnel will be much harder for hotels/ISPs/restrictive governments to block, should they choose to try. 

    But being a TCP based tunnel, it will suffer from potentially much poorer throughput. The performance difference between TCP and UDP tunnels is easily measurable with a simple ping test.

    Real-time traffic like voip/ video streaming may suffer due to increased lag. The only downside to UDP SSL is that it is much easier for someone to detect and block.
  • 0 in reply to crashtestdummy
    Thank You Tom and Crashtestdummy,

    - I think i would stick to TCP since it is overall a more reliable protocol and generally more places would allow such traffic maybe because HTTPS uses TCP I believe, really forgetting all my therory stuff.

    - Thank You crashtestdummy to confirm that somehow UDP does perform better, I was puzzled by it initially thus it is good for someone else to confirm it is what I see is right.

    - For the video streaming, I am using a device from www..myhava.com which is similiar to slingbox but somehow slingbox is not in my country.

    The problem is this www.myhava.com uses P2P technology for initial authentication for the application before it uses UDP connection to stream the actual TV Traffic from my box.

    I noticed on several trips to different hotels, they started to block P2P thus render this device useless, I came up with this idea to use SSL VPN which basically means my laptop gots to my home -> vendor website to authenticate follow by steaming the video and test shows the UDP really stream much smoother than the TCP.

    Thank You all, learn a lot from you all.
Cookie Information Banner