Soru Openvpn için musluk veya tun kullanmalı mıyım?


Openvpn için dev tap ve dev tun kullanımı arasındaki farklar nelerdir? Farklı modların çalışamadığını biliyorum. Teknik farklar nedir, diğer sadece katman 2 vs 3 operasyon. Farklı performans özellikleri veya farklı seviyeler var mı? Hangi mod daha iyidir. Her modda yalnızca hangi işlevler kullanılabilir.


79
2018-06-06 15:12


Menşei


Lütfen farkı açıkla? Ethernet ağı köprüler ve neden kötü? - Thomaschaaf


Cevaplar:


3. katman üzerinde vpn oluşturmak tamamsa (alt ağlar arasında bir daha hop) - tun'a gidin.

Eğer iki ethernet segmentini iki farklı yerde birleştirmeniz gerekiyorsa - o zaman musluğu kullanın. Böyle bir kurulumda, vpn'nin her iki ucunda da aynı ip alt ağında (örn. 10.0.0.0/24) bilgisayar olabilir ve yönlendirme tablolarında herhangi bir değişiklik yapmadan doğrudan birbirleriyle konuşabileceklerdir. vpn, ethernet anahtarı gibi davranacaktır. Bu, kulağa hoş gelebilir ve bazı durumlarda yararlı olabilir, ancak gerçekten ihtiyacınız olmadıkça bunun için gitmemenizi tavsiye ederim. Eğer böyle bir katman 2 köprüleme kurulumunu seçerseniz - vpn'nizden geçen bir miktar 'çöp' (yani yayın paketleri) olacaktır.

musluk kullanarak biraz daha fazla yük olacak - ip başlıkları yanı sıra 38B veya daha fazla Ethernet başlıklarının tünelden gönderilmesi (trafiğinizin türüne bağlı olarak - muhtemelen daha fazla parçalanma getirecektir).


70
2018-06-06 15:34





Küçük işletmelere sahip bir arkadaş için VPN kurarken "dokunma" yı seçtim çünkü ofisinde Windows makineleri, ticari yazıcılar ve bir Samba dosya sunucusu arandı. Bazıları saf TCP / IP kullanır, bazıları sadece NetBIOS'u (ve dolayısıyla Ethernet yayın paketlerine ihtiyaç duyar) kullanır ve bazıları bundan emin değilim.

Eğer "tun" seçmiş olsaydım, muhtemelen çok fazla kırık servisle karşılaşırdım - ofisinizde çalışırken fiziksel olarak çalıştığınız birçok şey vardı, ama sonra sahaya çıktığınızda ve dizüstü bilgisayarınız "göremedim" Ethernet alt ağındaki cihazlar artık.

Fakat “tap” ı seçerek, VPN'e, uzak makinelerin LAN'larda olduğu gibi hissetmelerini, yazıcılar ve dosya sunucuları ile iletişim kurmak ve Ağ Komşuları ekranını güçlendirmek için kullanılabilen yayın Ethernet paketleri ve ham Ethernet protokolleri ile anlatıyorum. Harika çalışıyor ve hiçbir zaman çalışmayan şeylerden haber alamıyorum!


22
2018-03-22 21:30





Ben her zaman tüner kurdum. Tap, OpenVPN'de ethernet köprüleme tarafından kullanılır ve rahatsız edilmeye değmeyecek benzersiz bir karmaşıklık seviyesi sunar. Genellikle bir VPN'nin kurulması gerektiğinde, gerekli şimdive karmaşık dağıtımlar hızlı gelmez.

OpenVPN SSS ve Ethernet Köprüleme NASIL Hangi mükemmel bu konudaki kaynaklar.


14
2018-06-07 06:52



Tecrübemde, kurulumun daha kolay olduğu, ancak çok sayıda ağ yapılandırmasının üstesinden gelmediği için çok daha garip ağ sorunları yaşayacaksınız. Bunun aksine, dokunun kurulumu biraz daha karmaşıktır, ancak bir kez yaptığınızda, genellikle herkes için "sadece çalışır". - Cerin


OpenVPN kullanarak mobil (iOS veya Android) cihazlarını bağlamayı planlıyorsanız, şu anda TUN'ı şu anda TAP kullanmalısınız OpenVPN tarafından desteklenmiyor onlar üzerinde:

TAP dezavantajları: ..... Android veya iOS cihazlarla kullanılamaz


7
2017-09-24 15:35



TAP, bir üçüncü taraf uygulaması aracılığıyla Android'de desteklenir: OpenVPN İstemcisi (Geliştirici: colucci-web.it) - Boo


Tun kullanarak başladım, ancak bir / 30 alt ağ kullanımını sevmediğim için musluğa geçtim her PC (Windows'u desteklemem gerekir). Bunu savurgan ve kafa karıştırıcı buldum.

Sonra sunucudaki "topoloji alt ağı" seçeneğini keşfettim. 2.1 RC'lerle (2.0 değil) çalışır, ancak bana (windows) makine başına bir (sıralı) IP adresinin rahatlığıyla tunun tüm avantajlarını (köprüleme, performans, yönlendirme vb.) Sağlar.


5
2018-06-07 08:20





Benim "başparmak kurallarım"
TUN - diğer tarafa doğrudan OpenVPN sunucu makinesine doğrudan bağlı kaynaklara erişmeniz gerekiyorsa ve Windows sorunu yoksa. Burada biraz yaratıcılık, kaynakların OpenVPN sunucusuna yerel görünmesini sağlayarak yardımcı olabilir. (örnekler bir ağ yazıcısına CUPS bağlantısı veya OpenVPN sunucusunda başka bir makinede bir Samba paylaşımı olabilir.)

TAP - diğer uçta ağ üzerinden bağlanan birden fazla kaynağa (makineler, depolama, yazıcılar, cihazlar) erişmeniz gerekiyorsa. Bazı Windows uygulamaları için TAP da gerekli olabilir.


Avantajları:
TUN normalde, uzak taraftaki ağa sınırlı bağlantıyla VPN erişimini tek bir makineye (IP adresi) ve dolayısıyla (muhtemelen) daha iyi bir güvenlikle sınırlar. TUN bağlantısı VPN tünelinde daha az yük oluşturacak ve uzak ağa bağlanacak çünkü sadece tek bir IP adresine / VPN'den diğer tarafa VPN geçecek. Alt ağdaki diğer istasyonlara IP Yolları dahil edilmemiştir, bu yüzden VPN tünelinde trafik gönderilmez ve OpenVPN sunucusunun ötesinde çok az veya hiç iletişim mümkün değildir.

TAP - genellikle paketlerin uç noktalar arasında serbestçe akmasına izin verir. Bu, eski Microsoft yazılımı tarafından kullanılan bazı yöntemler de dahil olmak üzere, uzak ağdaki diğer istasyonlarla iletişim esnekliği sağlar. TAP, "güvenlik duvarının arkasında" dış erişim izni verme ile ilgili güvenlik risklerine sahiptir. Daha fazla trafik paketinin VPN tünelinden geçmesine izin verecektir. Bu aynı zamanda uç noktaları arasındaki çatışmaları ele alma olasılığını da açar.

Orada Hangi yığın katmanından kaynaklanan gecikmelerdeki farklılıklar, ancak çoğu kullanıcı senaryolarında uç noktaların bağlantı hızı, iletimin belirli yığın katmanından daha büyük bir gecikmeye neden olabilir. Gecikme söz konusu ise, diğer alternatifleri düşünmek iyi bir fikir olabilir. Mevcut GHz seviyesi çok işlemciler normal olarak internet üzerinden iletim darboğazını aşmaktadır.

"Daha iyi" ve "Daha kötü" bir bağlam olmadan tanımlanamaz.
(Bu danışmanın en sevdiği cevap, "Peki bu bağlıdır ...")
Ferrari bir damperli kamyondan daha mı iyi? Hızlı gitmeye çalışıyorsanız, olabilir; ama ağır yükleri taşımaya çalışıyorsanız, muhtemelen değil.

TUN veya TAP'ın ihtiyaçlarınıza daha uygun olup olmadığına karar verilebilmesi için, "erişim gereksinimi" ve "güvenlik gereksinimleri" gibi kısıtlamalar tanımlanmalı, ayrıca ağ geçidi ve ekipman sınırlamaları gibi kısıtlamalar tanımlanmalıdır.


4
2018-02-22 21:15





Aynı soruyu yıllar önce aldım ve blogumda bunu (başka kaynaklarda bulunmayan şahsen bulduğum) basit bir şekilde açıklamaya çalıştım: Bir OpenVPN Primer

Umarım birisine yardım eder.


3
2018-04-08 18:13



Bu teorik olarak soruyu cevaplayabilirken, tercih edilirdi Burada cevabın önemli kısımlarını dahil etmek ve referans için bağlantıyı sağlamak. - Mark Henderson♦
Harika mesaj! Çok nadiren böyle bir yazı okudum ama bunu yaptım. Mark Henderson ile aynı fikirdeyim, küçük bir özet yazmalı ve sonra bağlantıyı koymalısın. - Pierre-Luc Bertrand
Gönderi mükemmeldi. Teşekkür ederim! - Compeek


TAP'yi kurmak, onu ayarlayan kişiden neredeyse hiç ek çalışma gerektirmez.

Tabii ki TUN nasıl kurulacağını biliyorsunuz ama ne yaptığınızı anlamıyorsunuz ve sadece bir tun eğiticisini takip ediyorsanız, TAP'yi ayarlamak için mücadele ediyor olacaksınız, ancak daha zor olduğu için değil, çünkü ne yaptığınızı bilmiyorsunuz. yapıyor. Bir TAP ortamında ağ çakışmalarına kolayca yol açabilir ve daha karmaşık bir hal alır.

Gerçek şu ki, ne yaptığınızı bildiğiniz için bir eğiticiye ihtiyacınız yoksa, hafifçe ayarlama ayarı, ayarlama işlemini yapmak kadar zaman alır.

musluk ile alt ağ hakkında birçok çözüm vardır, kendimi en kolay yol B sınıfı bir alt ağ kullanmaktır. site1 (Ağ1) 172.22.1.0/16 kullanarak site2 (network2) 172.22.2.0/16 kullanarak site3 172.22.3.0/16 kullanıyor vb.

site1'i oVPN sunucusuyla kurup istemcilere ip aralığını verirsiniz 172.22.254.2 - 172.22.254.255/16 böylece 200'den fazla ovpn istemcisine sahip olabilirsiniz (alt ağlar) Her alt ağın kendi başına 200'den fazla istemcisi olabilir. İşleyebileceğiniz toplam 40.000 müşteri kazanır (oVPN'in bunu üstesinden geleceğinden şüphe duyuyorsunuz, ancak gördüğünüz gibi, uygun alt ağın ayarlanması size en çok ihtiyaç duyduğunuz ölçüde daha fazlasını verecektir)

Bir musluk kullanın ve tüm istemciler büyük bir şirket ağında olduğu gibi birlikte.

Ancak, her site kendi DHCP'sine sahipse ve sahip olmanız gerekir, dhcp dağıtımını engellemek için ebtables veya iptables veya dnsmasq'ı kullanmanız gerekir. Ebtables, ancak performansı yavaşlatacaktır. dnsmasq dhcp-host = 20: a9: 9b: 22: 33: 44 kullanarak, örneğin, tüm dhcp sunucularında kurulum yapmak için çok büyük bir görev olacaktır. Ancak, modern donanım üzerinde ebtables etkisi o kadar büyük değil. sadece 1 veya 2%

musluğun tepe noktası, kabaca 32'ye kadar, o kadar da problem değil (şifrelenmemiş ağlarda olabilir), ancak şifrelenmiş ağlarda genellikle yavaşlamaya neden olan AES'dir.

Örneğin, wrt3200acm'de şifrelenmemiş olarak 360Mbps elde ediyorum. Şifreleme kullanarak, hangi tür şifrelemeye bağlı olarak 54-100Mbps'ye iner) Ancak openvpn 1500'de şifreleme yapmaz ve 32'nin üzerinde ikinci bir şifreleme yapmaz. Bunun yerine 1500 + 32overhead'de 1 kez şifreleme yapar.

Yani buradaki etki minimaldir.

Eski donanımlarda bu etkinin daha fazla olduğunu fark edebilirsiniz, ancak modern donanımlarda bu minimum değere düşmektedir.

AES desteğiyle 2 sanal makine arasında şifreleme, 120-150Mbps TAP ile benim ovpn'imi elde etmemi sağlıyor.

Bazıları, AES donanım şifreleme desteğiyle 400Mbps'ye kadar çıkan özel yönlendiricileri rapor ediyor! 3 kez daha hızlı bir i5-3570k yapabiliyor (ki bu benim test sistemimde 1 çekirdeğin% 100'ünde 150Mbps daha yüksek olamazdı) Diğer ucum: E3-1231 v3, daha sonra kabaca% 7 CPU kullanımında idi, çekirdek openvpn'in yaklaşık% 25'i kullanıldı. Dolayısıyla E3 büyük olasılıkla bağlantıyı 3 ila 4 kat artırabilir.

böylece E3-1231 v3 cpu arasında AES265 şifresi, auth SHA256 ve ta.key, bağlantı tls-cipher I sertifikaları arasında bir bağlantı ile 360Mbps ile 600Mbps arasında bir şeyiniz olur. Ayrıca en yüksek TLS-DHE-RSA-WITH-AES- 256 SHA 256

Bunu belirtmek için, hafifçe vurun: wrt3200acm şifreleme ile 70-80mbps'ye çıkar. i5-3570k şifreleme ile 120-150'ye ulaşır. E3-1231 v3 şifreleme ile en az 360Mbps alır (bu, 1 ve 2 durumları ile bulgularımdan elde edilir, çünkü test etmek için 2 E3-1231 v3 kullanmamıştım.)

Bunlar, windows'a dayalı pencerelere dayalı, openvpn TAP ile bağlanan 2 farklı alt ağda 2 istemci arasında kopyalama yapıyor.


2
2017-11-28 08:37





Çünkü gelmesi zor bir tavsiye buluyorum:

Bağlanmak için sadece VPN kullanıyorsanız, TUN kullanabilirsiniz. Internet.

Bağlanmak istediğinizde TAP kullanmanız gerekir. gerçek uzak ağ (yazıcılar, uzak masaüstü bilgisayarlar vb.)


2
2018-04-06 23:07





Eğer öyleyse neden, ne kadar var? Paketlerin katmanlarının daha az gecikme ve bu yöntemle yok edilen aktarım kaybına yol açması nedeniyle açıkça TAP kullanacağım. Bununla birlikte, sadece 3. katman ile bu, VPN'nin çalışması, özellikle tünelleme yönü ve hangi IP'lere izin verilebildiği ve atanabilir adresler üzerinde herhangi bir belirgin etkiyi etkiler. UDP kullanımı muhtemelen sizin için en iyi yolun hangisi olduğuna karar vermeniz gereken başka bir durum ortaya çıkarır. Her ağ farklıdır ve benzersiz bir parametre kümesi gerektirir. Bu yardımcı olur umarım.


-1
2018-06-25 19:03



Oldukça kafa karıştırıcı. Lütfen dikkatlice ayırın, önemli olan farklılıkları açıklayın ve onları kapatın. - vonbrand