Вопрос: Должен ли я использовать tap или tun для openvpn?


В чем разница между использованием dev tap и dev tun для openvpn? Я знаю, что разные режимы не могут взаимодействовать. Каковы технические отличия, другие, а не только операции 2-го и 3-го уровней. Существуют ли разные характеристики производительности или разные уровни накладных расходов. Какой режим лучше. Какая функциональность доступна исключительно в каждом режиме.


78
2018-06-06 15:12


Источник


Пожалуйста, объясните разницу? Что такое Ethernet-мост и почему это плохо? - Thomaschaaf


Ответы:


если нормально создавать vpn на уровне 3 (еще один прыжок между подсетями) - перейдите к tun.

если вам нужно соединить два сегмента Ethernet в двух разных местах, а затем использовать кран. в такой настройке вы можете иметь компьютеры в одной и той же подсети (например, 10.0.0.0/24) на обоих концах vpn, и они смогут «разговаривать» друг с другом напрямую, без каких-либо изменений в их таблицах маршрутизации. vpn будет действовать как коммутатор ethernet. это может показаться классным и полезным в некоторых случаях, но я бы советовал не идти на это, если вам это действительно не нужно. если вы выберете такую ​​настройку моста слоя 2 - будет немного «мусора» (это широковещательные пакеты), проходящего через ваш vpn.

используя кран, у вас будет немного больше накладных расходов - помимо заголовков ip также 38B или более заголовки Ethernet будут отправляться через туннель (в зависимости от типа вашего трафика - это может привести к большей фрагментации).


70
2018-06-06 15:34





Я выбрал «tap» при настройке VPN для друга, которому принадлежит небольшой бизнес, потому что его офис использует путаницу машин Windows, коммерческих принтеров и файлового сервера Samba. Некоторые из них используют чистый TCP / IP, некоторые, похоже, используют NetBIOS (и, следовательно, для передачи Ethernet-пакетов), и некоторые из них я даже не уверен.

Если бы я выбрал «tun», я бы, вероятно, столкнулся с множеством сломанных сервисов - много вещей, которые работали, когда вы находились в офисе физически, но потом ломались, когда вы уходили с сайта, и ваш ноутбук не мог «видеть», устройств в подсети Ethernet больше.

Но, выбрав «tap», я говорю VPN, чтобы удаленные машины чувствовали себя точно так же, как в локальной сети, с широковещательными Ethernet-пакетами и необработанными протоколами Ethernet, доступными для обмена данными с принтерами и файловыми серверами и для включения их отображения сетевого окружения. Он отлично работает, и я никогда не получаю сообщений о вещах, которые не работают вне компании!


21
2018-03-22 21:30





Я всегда настраивал тун. Tap используется мостом Ethernet в OpenVPN и представляет собой беспрецедентный уровень сложности, которого просто не стоит беспокоиться. Обычно, когда необходимо установить VPN, необходимо Теперь, а сложное развертывание происходит не быстро.

Часто задаваемые вопросы по OpenVPN и Ethernet-соединение HOWTO находятся отлично ресурсов по этой теме.


14
2018-06-07 06:52



По моему опыту, tun проще настраивать, но не обрабатывает столько сетевых конфигураций, что вы столкнетесь с гораздо более странными сетевыми проблемами. Напротив, нажмите немного сложнее для настройки, но как только вы это сделаете, он обычно «просто работает» для всех. - Cerin


Если вы планируете подключать мобильные устройства (iOS или Android) с использованием OpenVPN, тогда вы должны использовать TUN, как в настоящее время TAP не поддерживается OpenVPN на них:

Недостатки TAP: ..... не могут использоваться с устройствами Android или iOS


6
2017-09-24 15:35



TAP поддерживается на Android через стороннее приложение: OpenVPN Client (разработчик: colucci-web.it) - Boo


Я начал использовать tun, но переключился на космос, так как мне не понравилось использование / 30 подсети для каждый ПК (мне нужно поддерживать Windows). Я нашел это расточительным и запутанным.

Затем я обнаружил опцию «подсеть топологии» на сервере. Работает с 2.1 RC (не 2.0), но дает мне все преимущества tun (без моста, производительности, маршрутизации и т. Д.) С удобством одного (последовательного) IP-адреса на (Windows) машину.


5
2018-06-07 08:20





Мои «эмпирические правила»
TUN - если вам нужен только доступ к ресурсам, подключенным непосредственно к серверу OpenVPN на другом конце, и нет проблем с Windows. Небольшое творчество здесь может помочь, заставив ресурсы «появляться» локально на сервере OpenVPN. (примерами могут быть подключение CUPS к сетевому принтеру или общий ресурс Samba на другой машине, установленной на сервере OpenVPN).

TAP - если вам нужен доступ к нескольким ресурсам (компьютеры, хранилища, принтеры, устройства), подключенные через сеть на другом конце. TAP также может потребоваться для некоторых приложений Windows.


Преимущества:
TUN обычно ограничивает доступ VPN к одному компьютеру (IP-адрес) и, следовательно, (предположительно) лучшую защиту за счет ограниченного подключения к сети дальней сети. Соединение TUN создаст меньшую нагрузку на туннель VPN и, в свою очередь, на дальнюю сеть, поскольку только трафик на / из одного IP-адреса будет пересекать VPN с другой стороны. IP-маршруты к другим станциям в подсети не включены, поэтому трафик не отправляется через туннель VPN, и связь с сервером OpenVPN практически невозможна или отсутствует.

TAP - обычно позволяет пакетам свободно течь между конечными точками. Это дает гибкость в общении с другими станциями в дальней сети, включая некоторые методы, используемые старым программным обеспечением Microsoft. TAP имеет неотъемлемые риски безопасности, связанные с предоставлением внешнего доступа «за брандмауэром». Это позволит увеличить количество пакетов трафика через туннель VPN. Это также открывает возможность конфликтов адресов между конечными точками.

Там находятся различия в латентности из-за уровня стека, но в большинстве сценариев конечных пользователей скорость соединения конечных точек, вероятно, является более значительным фактором задержки, чем конкретный уровень стека передачи. Если возникает латентность, может быть хорошей идеей рассмотреть другие альтернативы. Современные многопроцессоры на частоте ГГц обычно обгоняют узкое место передачи через Интернет.

«Лучше» и «Хуже» не определены без контекста.
(Это любимый ответ консультанта: «Ну, это зависит ...»)
Феррари «лучше», чем самосвал? Если вы пытаетесь идти быстро, это может быть; но если вы пытаетесь вытащить тяжелые грузы, возможно, нет.

Должны быть определены ограничения, такие как «необходимость доступа» и «требования безопасности», а также определение ограничений, таких как пропускная способность сети и ограничения оборудования, прежде чем можно будет решить, подходит ли TUN или TAP для ваших нужд.


4
2018-02-22 21:15





У меня был такой же вопрос много лет назад, и я попытался объяснить это в простых выражениях (которых я лично нашел в других ресурсах) в своем блоге: Праймер OpenVPN

Надеюсь, это поможет кому-то


3
2018-04-08 18:13



Хотя это теоретически может ответить на вопрос, было бы предпочтительнее чтобы включить здесь основные части ответа и предоставить ссылку для справки. - Mark Henderson♦
Отличный пост! Я редко читал целую запись вроде этого, но это я сделал. Я согласен с Марком Хендерсоном, но вы должны написать небольшое резюме и поместить ссылку после. - Pierre-Luc Bertrand
Сообщение было превосходным. Спасибо! - Compeek