Home » VPN Technologies: IPsec, SSL VPN, WireGuard เปรียบเทียบครบ
VPN Technologies: IPsec, SSL VPN, WireGuard เปรียบเทียบครบ
VPN Technologies: IPsec, SSL VPN, WireGuard เปรียบเทียบครบ
VPN (Virtual Private Network) สร้าง encrypted tunnel ข้าม untrusted network (internet) เพื่อให้ remote users หรือ branch offices เชื่อมต่อกับ corporate network อย่างปลอดภัย 3 technologies หลักคือ IPsec (site-to-site + remote access), SSL VPN (clientless + client-based) และ WireGuard (modern, lightweight)
การเลือก VPN technology ผิด ส่งผลต่อทั้ง security, performance และ user experience IPsec เหมาะสำหรับ site-to-site แต่ complex สำหรับ remote access SSL VPN ง่ายสำหรับ users แต่ performance ไม่ดีเท่า WireGuard เร็วและง่ายแต่ยังใหม่สำหรับ enterprise การเข้าใจ trade-offs ช่วยเลือกได้ถูกต้อง
VPN Types
| Type |
Use Case |
Technology |
| Site-to-Site |
เชื่อม 2 networks (HQ ↔ Branch) |
IPsec (IKEv2), GRE over IPsec, DMVPN |
| Remote Access |
User เชื่อมจากภายนอก → corporate |
SSL VPN, IPsec (IKEv2), WireGuard |
| Client-to-Site |
Software client บน device → VPN gateway |
AnyConnect, GlobalProtect, OpenVPN, WireGuard |
| Clientless |
Web browser → VPN portal (no software install) |
SSL VPN (HTTPS portal) |
IPsec VPN
| Feature |
รายละเอียด |
| Layer |
Layer 3 (IP packet encryption) |
| Protocols |
IKE (key exchange) + ESP (encryption) + AH (authentication only) |
| IKE Versions |
IKEv1 (legacy, complex) vs IKEv2 (modern, faster, MOBIKE support) |
| Phase 1 (IKE SA) |
Authenticate peers + establish secure channel สำหรับ Phase 2 |
| Phase 2 (IPsec SA) |
Negotiate encryption + create IPsec tunnel สำหรับ data traffic |
| Modes |
Tunnel mode (entire packet encrypted) vs Transport mode (payload only) |
| Encryption |
AES-256-GCM (recommended), AES-256-CBC, ChaCha20 |
| Authentication |
Pre-shared key (PSK) หรือ certificates (PKI) |
IPsec Site-to-Site Variants
| Variant |
วิธีทำงาน |
Use Case |
| Policy-based |
Crypto ACL define traffic → tunnel |
Simple site-to-site (2 sites) |
| Route-based (VTI) |
Virtual Tunnel Interface + routing |
Dynamic routing over VPN, multiple tunnels |
| GRE over IPsec |
GRE tunnel (multicast/routing) + IPsec encryption |
Multicast, routing protocols over VPN |
| DMVPN |
Hub-and-spoke → dynamic spoke-to-spoke tunnels |
Large-scale multi-site (100+ branches) |
| FlexVPN |
IKEv2-based VPN framework (Cisco) |
Modern replacement for DMVPN |
SSL VPN
| Feature |
รายละเอียด |
| Layer |
Layer 4-7 (TLS/SSL) |
| Transport |
TCP 443 (HTTPS) — ผ่าน firewall ได้ง่าย |
| Clientless |
Web portal access (browser only, no software) |
| Full Tunnel |
Client software → full network access (เหมือน IPsec) |
| Split Tunnel |
เฉพาะ corporate traffic ผ่าน VPN, internet traffic ไปตรง |
| ข้อดี |
Firewall-friendly (443), easy deployment, granular access control |
| ข้อเสีย |
TCP overhead (TCP-over-TCP), slower than IPsec/WireGuard |
SSL VPN Products
| Product |
Vendor |
จุดเด่น |
| AnyConnect / Secure Client |
Cisco |
Enterprise leader, posture assessment, MFA |
| GlobalProtect |
Palo Alto |
NGFW integration, HIP checks, always-on |
| FortiClient |
Fortinet |
FortiGate integration, free basic client |
| Pulse Secure / Ivanti |
Ivanti |
Granular access control, SSO |
| OpenVPN |
Open-source |
Free, cross-platform, community |
WireGuard
| Feature |
รายละเอียด |
| Layer |
Layer 3 (kernel-level, UDP-based) |
| Codebase |
~4,000 lines (vs OpenVPN ~100,000, IPsec ~400,000) |
| Encryption |
ChaCha20 + Poly1305 + Curve25519 + BLAKE2s (fixed, no negotiation) |
| Performance |
Fastest VPN (kernel-level, minimal overhead) |
| Handshake |
1-RTT (vs IKE 4-6 messages) |
| Roaming |
Native (IP changes ไม่ disconnect) |
| Config |
Simple text file (public key + endpoint + allowed IPs) |
| ข้อจำกัด |
No dynamic IP assignment built-in, limited enterprise features |
Comparison
| Feature |
IPsec (IKEv2) |
SSL VPN (OpenVPN) |
WireGuard |
| Speed |
Fast (ESP, hardware offload) |
Slower (TLS overhead, userspace) |
Fastest (kernel, minimal crypto) |
| Firewall Traversal |
ยาก (UDP 500/4500, ESP protocol 50) |
ง่าย (TCP/UDP 443) |
ปานกลาง (UDP custom port) |
| Complexity |
สูง (IKE phases, proposals, transforms) |
ปานกลาง |
ต่ำ (simple config) |
| Enterprise Features |
สูง (PKI, RADIUS, split tunnel, HA) |
ปานกลาง |
ต่ำ (basic) |
| Site-to-Site |
ดีมาก (standard) |
ได้ (แต่ไม่ common) |
ได้ (growing) |
| Remote Access |
ดี (IKEv2 + EAP) |
ดีมาก (easy for users) |
ดี (simple) |
| Codebase |
Large (~400K lines) |
Large (~100K lines) |
Tiny (~4K lines) |
| Audit |
ยาก (complex code) |
ปานกลาง |
ง่าย (small codebase) |
When to Use What
| Scenario |
Recommended |
เหตุผล |
| Site-to-Site (enterprise) |
IPsec IKEv2 |
Industry standard, hardware offload, proven |
| Remote Access (enterprise) |
SSL VPN (AnyConnect/GlobalProtect) |
Easy deploy, posture check, MFA, firewall-friendly |
| Multi-site (100+ branches) |
DMVPN / SD-WAN |
Dynamic tunnels, scalable |
| Personal / Small team |
WireGuard |
Simple, fast, free |
| Restrictive firewall |
SSL VPN (TCP 443) |
Disguised as HTTPS traffic |
| Maximum performance |
WireGuard |
Kernel-level, minimal overhead |
Best Practices
| Practice |
รายละเอียด |
| IKEv2 over IKEv1 |
IKEv2 faster, simpler, MOBIKE (roaming), EAP support |
| AES-256-GCM |
ใช้ AES-256-GCM (AEAD) — faster + more secure than CBC |
| Certificate auth |
Certificates > PSK สำหรับ enterprise (scalable, more secure) |
| MFA |
Always enable MFA สำหรับ remote access VPN |
| Split tunnel carefully |
Split tunnel ลด load แต่เพิ่ม risk (user’s internet traffic ไม่ผ่าน security) |
| Always-on VPN |
Auto-connect VPN เมื่ออยู่นอก corporate (enforce security) |
| Monitor + log |
Log VPN sessions, monitor for anomalies |
ทิ้งท้าย: VPN = Encrypted Tunnel for Secure Access
VPN Technologies IPsec = enterprise standard (site-to-site + IKEv2 remote access) SSL VPN = easy remote access (firewall-friendly, TCP 443) WireGuard = fastest + simplest (kernel-level, 4K lines code) Site-to-site: IPsec, Remote access: SSL VPN/WireGuard IKEv2 + AES-256-GCM + certificates + MFA = best practice
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust ZTNA และ SD-WAN Architecture ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
