it-swarm.asia

Openvpn için tap veya tun kullanmalı mıyım?

Openvpn için dev tap ve dev tun kullanma arasındaki farklar nelerdir? Farklı modların etkileşime giremeyeceğini biliyorum. Teknik farklar nedir, diğeri sadece katman 2'ye karşı 3 işlem. Farklı performans özellikleri veya farklı ek yük seviyeleri var mı? Hangi mod daha iyi. Her modda yalnızca hangi işlevler kullanılabilir.

87
Thomaschaaf

3. katmanda (alt ağlar arasında bir kez daha atlama) vpn oluşturmak uygunsa - tun için gidin.

iki farklı yerde iki ethernet segmentini köprülemeniz gerekiyorsa, o zaman musluğu kullanın. bu tür kurulumlarda vpn'nin her iki ucunda da aynı ip alt ağında (ör. 10.0.0.0/24) bilgisayarlara sahip olabilirsiniz ve yönlendirme tablolarında herhangi bir değişiklik yapmadan doğrudan birbirleriyle konuşabilirler. vpn ethernet anahtarı gibi davranacaktır. Bu kulağa hoş gelebilir ve bazı durumlarda yararlıdır, ancak gerçekten ihtiyacınız olmadığı sürece bunun için gitmemenizi tavsiye ederim. böyle bir katman 2 köprüleme kurulumu seçerseniz - vpn'nizde bir miktar 'çöp' (yayın paketleri) olacak.

musluk kullanarak biraz daha fazla yükünüz olacak - ip başlıklarının yanı sıra 8B veya daha fazla ethernet başlıklarının tünelden gönderileceği (trafiğinizin türüne bağlı olarak - muhtemelen daha fazla tanıtacaktır) parçalanması).

76
pQd

Ofisinde bir Windows makinesi, ticari yazıcı ve bir Samba dosya sunucusu kullandığı için küçük bir işletmeye sahip olan bir arkadaşım için bir VPN kurarken "dokun" u seçtim. Bazıları saf TCP/IP kullanıyor, bazıları iletişim kurmak için sadece NetBIOS kullanıyor (ve dolayısıyla Ethernet yayın paketlerine ihtiyaç duyuyor) ve bazıları emin değilim.

Eğer "tun" i seçmiş olsaydım, muhtemelen çok sayıda kırık servisle karşılaşırdım - ofiste fiziksel olarak çalışırken çok şey vardı, ama sonra saha dışına çıktığınızda ve dizüstü bilgisayarınız "göremedi" Ethernet alt ağındaki cihazlar artık.

Ancak "hafifçe vurma" yı seçerek VPN'e uzak makinelerin LAN'da olduğu gibi hissetmelerini, yazıcılar ve dosya sunucularıyla iletişim kurmak ve Ağ Komşu ekranlarına güç vermek için kullanılabilen yayın Ethernet paketleri ve ham Ethernet protokolleri sunmasını söylüyorum. Harika çalışıyor ve hiçbir zaman tesis dışında çalışmayan şeyler hakkında rapor almıyorum!

24
Brandon Rhodes

Her zaman tun ayarladım. Tap, OpenVPN'de ethernet köprüleme tarafından kullanılır ve rahatsız edilmeye değer olmayan benzersiz bir karmaşıklık seviyesi sunar. Genellikle bir VPN'nin yüklenmesi gerektiğinde, gerekli şimdi ve karmaşık dağıtımlar hızlı gelmez.

OpenVPN SSS ve Ethernet Köprüleme NASIL bu konuda mükemmel kaynaklardır.

16
jtimberman

Mobil (iOS veya Android) cihazları OpenVPN kullanarak bağlamayı planlıyorsanız, TUN'u şu anda TAP OpenVPN tarafından desteklenmemektedir olarak kullanmalısınız:

TAP dezavantajları: ..... Android veya iOS cihazları ile kullanılamaz)

8

Tun kullanmaya başladım, ancak her PC için/30 alt ağ kullanımını sevmediğim için dokunmaya geçtim (Windows'u desteklemem gerekiyor). Bunu savurgan ve kafa karıştırıcı buldum.

Sonra sunucuda "topoloji alt ağı" seçeneğini keşfettim. 2.1 RC'lerle (2.0 değil) çalışır, ancak bana (Windows) makine başına bir (sıralı) IP adresi rahatlığıyla tun'un (köprüleme, performans, yönlendirme vb.) Tüm avantajlarını verir.

5
Mikeage

Çünkü basit tavsiyelerin gelmesini zor buluyorum:

internet adresine bağlanmak için VPN kullanıyorsanız yalnızca TUN'u kullanabilirsiniz.

gerçek uzak ağ (yazıcılar, uzak masaüstü bilgisayarlar vb.) 'E bağlanmak için TAP kullanmanız gerekir.

5
user541686

"Temel kurallar"
TUN - SADECE doğrudan OpenVPN sunucu makinesine bağlı kaynaklara erişmeniz gerekiyorsa ve Windows sorunları yoktur. Buradaki biraz yaratıcılık, kaynakları OpenVPN sunucusunda yerel olarak "görünür" hale getirerek yardımcı olabilir. (örnekler bir ağ yazıcısına CUPS bağlantısı veya OpenVPN sunucusunda MONTE EDİLEN başka bir makinede Samba paylaşımı olabilir.)

TAP - diğer uçta ağ üzerinden bağlı birden fazla kaynağa (makine, depolama, yazıcı, aygıt) erişmeniz gerekiyorsa. TAP ayrıca bazı Windows uygulamaları için de gerekli olabilir.







hangi





5
oldbaritone

Aynı soruyu yıllar önce sordum ve blogumda (kişisel olarak eksik bulduğum) açık bir şekilde açıklamaya çalıştım: Bir OpenVPN Astar

Umarım birine yardımcı olur

4
Steve

TAP'ın ayarlanması, onu ayarlayan kişiden neredeyse hiçbir ek çalışma gerektirmez.

Elbette TUN'u nasıl kuracağınızı biliyorsanız, ancak ne yaptığınızı anlamıyorsanız ve sadece bir tun eğitimini takip ediyorsanız, TAP'ı kurmak için mücadele edeceksiniz, ancak daha zor olduğu için değil, ne yaptığınızı bilmediğiniz için yapıyor. Hangi kolayca bir TAP ortamında ağ çatışmalarına yol açabilir ve daha sonra daha karmaşık gibi görünüyor.

gerçek şu ki, ne yaptığınızı bildiğiniz için bir eğiticiye ihtiyacınız yoksa, dokunmayı ayarlamak tun ayarlamak kadar zaman alır.

musluk ile alt ağ hakkında birçok çözüm vardır, kendimi en kolay yolu B sınıfı alt ağ kullanmak olduğunu buldum. 172.22.1.0/16 kullanarak site1 (Network1) 172.22.2.0/16 kullanarak 172.22.1.0/16 site2 (network2).

site1'i oVPN sunucusuyla kurar ve istemcilere 172.22.254.2 - 172.22.254.255/16 ip aralığını verirsiniz, böylece her alt ağın kendi içinde 200'den fazla istemcisi olabilir. Ele alabileceğiniz toplam 40.000 müşteri yapar (oVPN'in bunu kaldırabileceğinden şüphe duyarsınız, ancak gördüğünüz gibi, uygun alt ağ oluşturmak, ihtiyacınız olandan yeterince daha fazlasını verecektir)

bir musluk kullanırsınız ve tüm müşteriler büyük bir şirket ağında olduğu gibi bir aradadır.

Ancak, her sitenin kendi DHCP'si varsa ve sahip olması gerekiyorsa, dhcp dağıtımını çılgına çevirmek için ebtables veya iptables veya dnsmasq kullandığınızdan emin olmanız gerekir. Ancak ebtables performansı yavaşlatacaktır. dnsmasq dhcp-Host = 20: a9: 9b: 22: 33: 44 kullanıldığında, örneğin yoksay, tüm dhcp sunucularında kurulacak büyük bir görev olacaktır. ancak, modern donanımda ebbilerin etkisi o kadar büyük değil. sadece% 1 veya 2

musluğun tepesi, kabaca 32, o kadar da sorun değil (şifrelenmemiş ağlarda olabilir), ancak şifreli ağlarda genellikle yavaşlamaya neden olacak AES'dir.

Örneğin şifrelenmemiş wrt3200acm'de 360Mbps alıyorum. Şifrelemeyi kullanarak, ne tür bir şifreleme seçtiğime bağlı olarak 54-100Mbps'ye iner), ancak openvpn 1500'de şifreleme ve 32 ek yükte 2. şifreleme yapmaz. Bunun yerine 1500 + 32 başlığında 1 kez şifreleme yapar.

Yani buradaki etki çok az.

Eski donanımlarda, etkiyi daha fazla fark edebilirsiniz, ancak modern donanımda gerçekten minimum seviyeye inmiştir.

AES destekli 2 sanal makine arasındaki şifreleme bana TAP ile yumurtayı 120-150Mbps'ye getiriyor.

Bazıları 400Mbps'ye kadar yükselen AES donanım şifreleme desteğine sahip özel yönlendiriciler bildiriyor! 3 kat daha hızlı bir i5-3570k yapabilir (test sistemimde 1 çekirdek kullanımının% 100'ünde 150Mbps'den daha yüksek olamazdı) Diğer sonum: E3-1231 v3, yaklaşık% 7 CPU kullanımında, etrafında Kullandığı openvpn'nin% 25'i kullanıldı. Böylece E3 büyük olasılıkla bağlantıyı 3 ila 4 kat artırabilir.

360Mbps ve 600Mbps arasında bir şey olurdu, E3-1231 v3 cpu arasında AES265 şifreleme, auth SHA256 ve ta.key, sertifikalar tls-cipher ile bağlantı kurarken en yüksek TLS-DHE-RSA-İLE-AES- 256 SHA 256

Bunu belirtmek için, tap ile: wrt3200acm şifreleme ile 70-80mbps'ye kadar çıkar. i5-3570k şifreleme ile 120-150'ye ulaşır. E3-1231 v3 şifreleme ile en az 360Mbps alır (bu, test edilecek 2 E3-1231 v3'üm olmadığı için vaka 1 ve 2 ile bulgularımdan enterpolasyonludur.)

Bunlar, openvpn TAP ile bağlanan 2 farklı alt ağda 2 istemci arasında pencereden kopyalamaya dayalı bulgularım.

2
Vincent