Glosario
OpenVPN vs SSTP
SSTP es solo para Windows y propietario de Microsoft. OpenVPN es multiplataforma y de código abierto. OpenVPN gana en cualquier caso de uso moderno.
SSTP (Secure Socket Tunneling Protocol) es un protocolo VPN desarrollado por Microsoft introducido con Windows Server 2008. Tuneliza tráfico PPP sobre SSL/TLS. OpenVPN es la alternativa multiplataforma de código abierto. La comparación es mayormente directa: OpenVPN gana en portabilidad y apertura; la principal ventaja de SSTP es la integración nativa con Windows.
De un vistazo
| OpenVPN | SSTP | |
|---|---|---|
| Lanzamiento | 2001 | 2007 (con Windows Server 2008) |
| Origen | Código abierto | Propietario de Microsoft |
| Multiplataforma | Sí (todos los SO mayores) | Nativo Windows; limitado en otros |
| Auditoría de código | Múltiples auditorías públicas | Cerrado, sin auditoría pública |
| Transporte | UDP o TCP | TCP (TLS sobre puerto 443) |
| Velocidad | Comparable | Comparable |
| Configurabilidad | Extensa | Limitada |
| Soporte nativo iOS/Android | Vía app OpenVPN Connect | Soporte limitado de terceros |
Por qué existe SSTP
Microsoft construyó SSTP para proveer un protocolo VPN que:
- Corre sobre TCP puerto 443 (parece HTTPS para los firewalls)
- Se integra de forma nativa con la autenticación de Windows
- Usa TLS para el cifrado (familiar para los administradores Windows)
- Funciona en entornos donde IPsec está bloqueado
La integración nativa con Windows es genuinamente útil en entornos Microsoft-céntricos. Autenticación de dominio, group policies, despliegue de VPN con Windows Server — todo se integra limpiamente con SSTP. Para entornos corporativos solo Windows, SSTP puede ser el camino de menor resistencia.
Por qué OpenVPN gana para la mayoría
OpenVPN hace todo lo que hace SSTP y más:
- Multiplataforma. Linux, macOS, iOS, Android, FreeBSD, sistemas embebidos todos tienen clientes OpenVPN. SSTP fuera de Windows tiene soporte limitado; existen algunos clientes de terceros pero no son mainstream.
- Código abierto. El código es auditable. Múltiples auditorías públicas a lo largo de los años. SSTP es cerrado; la revisión de seguridad depende de los procesos internos de Microsoft que no son públicos.
- Evasión de firewall por TCP-443. OpenVPN-TCP-443 es el protocolo de elección para evasión de firewall en redes sin DPI activo de protocolos VPN. Tanto OpenVPN-TCP-443 como SSTP parecen HTTPS en la capa de red; OpenVPN es más configurable.
- Comunidad y herramientas más amplias. Vastamente más documentación, más recursos de troubleshooting, más matrices de compatibilidad.
Problemas específicos de SSTP
Algunas peculiaridades:
- Protocolo cerrado. Algunos detalles del comportamiento de SSTP están documentados solo en las especificaciones de protocolo de Microsoft, que son públicas pero no fáciles de consumir para una implementación independiente. Un cliente SSTP de terceros requiere ingeniería inversa o lectura cuidadosa de las especificaciones de Microsoft.
- Debilidad histórica de MS-CHAP-v2. Las configuraciones SSTP más antiguas que usaban MS-CHAP-v2 para autenticación tenían debilidades criptográficas significativas (rotas en 2012). Las configuraciones SSTP modernas usan autenticación más fuerte; los despliegues legados pueden no hacerlo.
- Soporte móvil limitado. iOS y macOS nativos no incluyen SSTP. Android tiene clientes SSTP de terceros de calidad variable. La historia móvil es significativamente peor que la de OpenVPN.
Cuándo SSTP tiene sentido
Situaciones específicas:
- Entornos corporativos solo Windows. Autenticación con Active Directory, VPN basada en Windows Server, entornos donde el equipo de TI es fluido en Windows pero no en OpenVPN. SSTP se integra limpiamente.
- Firewalls que permiten HTTPS pero bloquean todos los protocolos VPN conocidos. SSTP corre sobre TCP 443 con TLS; algunos firewalls no pueden distinguirlo de HTTPS. OpenVPN-TCP-443 tiene la misma propiedad; la ventaja de SSTP es marginal.
Para usuarios de VPN de consumo, ninguno aplica. SSTP rara vez aparece en las listas de características de proveedores de VPN de consumo; cuando aparece, normalmente es un remanente legado.
Qué entrega Fexyn
Fexyn Secure es OpenVPN. No entregamos SSTP. Ningún proveedor de VPN de consumo moderno gana algo ofreciendo SSTP que no obtenga de OpenVPN-TCP-443.
Prueba Fexyn gratis por 7 días — Bolt (WireGuard) por defecto, Secure (OpenVPN) para compatibilidad, Stealth (Reality) para redes con DPI fuerte.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios