שאלה האם עלי להשתמש ב- tap או בטון עבור openvpn?


מה הם ההבדלים בין השימוש ב- dev tap ו- dev tun for openvpn? אני יודע שהמצבים השונים אינם יכולים לפעול. מה ההבדלים הטכניים, אחר כך רק שכבה 2 לעומת 3 המבצע. האם יש מאפייני ביצועים שונים, או רמות שונות של תקורה. איזה מצב טוב יותר. מה הפונקציונליות זמינה באופן בלעדי בכל מצב.


79
2018-06-06 15:12




בבקשה להסביר את ההבדל? מה Ethernet גישור ומדוע זה רע? - Thomaschaaf


תשובות:


אם זה בסדר ליצור VPN על שכבה 3 (עוד אחד לקפוץ בין רשתות משנה) - ללכת על טון.

אם אתה צריך לגשר שני קטעי Ethernet בשני מיקומים שונים - ואז להשתמש ברז. ב ההתקנה כזה אתה יכול לקבל מחשבים באותה רשת IP (למשל 10.0.0.0/24) בשני הקצוות של VPN, והם יוכלו "לדבר" זה לזה ישירות ללא כל שינוי טבלאות הניתוב שלהם. vpn יפעל כמו מתג Ethernet. זה אולי נשמע מגניב והוא שימושי במקרים מסוימים, אבל הייתי עצה לא ללכת על זה אלא אם כן אתה באמת צריך את זה. אם תבחר שכבה שכזאת 2 גישור ההתקנה - יהיה קצת "זבל" (כלומר מנות שידור) הולך על פני הרשת שלך.

באמצעות ברז יהיה לך קצת יותר תקורה - מלבד כותרות IP גם 38B או יותר של כותרות אתרנט יישלחו דרך המנהרה (בהתאם לסוג התנועה שלך - היא תציג יותר פיצול).


70
2018-06-06 15:34





בחרתי "ברז" בעת הגדרת VPN לחבר שהיה בעל עסק קטן, כי משרדו משתמש בסבך של מכונות Windows, מדפסות מסחריות, ושרת קבצים Samba. חלק מהם משתמשים ב- TCP / IP טהור, נראה כי רק משתמשים ב- NetBIOS (ולכן זקוקים למנות שידור של Ethernet) כדי לתקשר, וכמה אני אפילו לא בטוח.

אם הייתי בוחר "טון", הייתי כנראה מתמודד עם הרבה שירותים שבורים - הרבה דברים שעבדו בזמן שאתה במשרד פיזית, אבל אז היה להישבר כאשר אתה הלכו מחוץ לאתר ואת המחשב הנייד שלך לא יכול "לראות" ההתקנים ברשת המשנה Ethernet יותר.

אבל על ידי בחירת "ברז", אני אומר VPN לעשות מכונות מרוחקות להרגיש בדיוק כמו שהם על LAN, עם שידור חבילות Ethernet ופרוטוקולים Ethernet גלם זמין לתקשורת עם מדפסות שרתי קבצים להפעלת התצוגה שכונה ברשת שלהם. זה עובד נהדר, ואני אף פעם לא מקבל דוחות של דברים שאינם פועלים מחוץ לאתר!


22
2018-03-22 21:30





תמיד הקמתי. הקש משמש על ידי גישור Ethernet ב OpenVPN ומציג רמה unrecendented של המורכבות כי הוא פשוט לא שווה להתעסק עם. בדרך כלל כאשר VPN צריך להיות מותקן, שלה הצורך עכשיו, ופריסות מורכבות לא מגיעים מהר.

ה שאלות נפוצות בנושא OpenVPN וה גישור HOWTO הם מעולה משאבים בנושא זה.


14
2018-06-07 06:52



מניסיוני, טון קל יותר להתקנה אבל לא מטפל בתצורות רשת רבות, כך שאתה נתקל הרבה יותר מוזר בעיות ברשת. לעומת זאת, הקש הוא קצת יותר מסובך ההתקנה, אבל ברגע שאתה עושה, זה בדרך כלל "פשוט עובד" עבור כולם. - Cerin


אם בכוונתך לחבר מכשירים ניידים (iOS או Android) באמצעות OpenVPN, עליך להשתמש ב- TUN כמו TAP כרגע אינו נתמך על ידי OpenVPN עליהם:

חסרונות TAP: ..... לא ניתן להשתמש עם מכשירי אנדרואיד או iOS


7
2017-09-24 15:35



TAP נתמך ב- Android באמצעות אפליקציית צד שלישי: לקוח OpenVPN (מפתח: colucci-web.it) - Boo


התחלתי להשתמש Tun, אבל עבר הברז מאז אני לא אוהב את השימוש של / 30 המשנה עבור כל אחד (אני צריך לתמוך ב - Windows). מצאתי את זה כדי להיות מבזבז ומבלבל.

ואז גיליתי את האפשרות "טופולוגיה המשנה" בשרת. עובד עם 2.1 RCs (לא 2.0), אבל זה נותן לי את כל היתרונות של Tun (ללא גישור, ביצועים, ניתוב, וכו ') עם הנוחות של כתובת IP אחת (רציף) לכל מחשב (Windows).


5
2018-06-07 08:20





שלי "כללי אצבע"
TUN - אם אתה רק צריך גישה למשאבים מחובר ישירות אל שרת שרת OpenVPN בקצה השני, ואין בעיות של Windows. קצת יצירתיות כאן יכול לעזור, על ידי הפיכת משאבים "להופיע" להיות מקומי לשרת OpenVPN. (דוגמאות עשויות להיות חיבור CUPS למדפסת רשת, או נתח Samba במחשב אחר שמוצב בשרת OpenVPN.)

TAP - אם אתה צריך גישה למשאבים מרובים (מכונות, אחסון, מדפסות, התקנים) המחוברים דרך הרשת בקצה השני. ייתכן שתידרש גם TAP ליישומי Windows מסוימים.


יתרונות:
TUN בדרך כלל מגביל את הגישה VPN למכונה אחת (כתובת IP) ולכן (ככל הנראה) אבטחה טובה יותר באמצעות קישוריות מוגבלת לרשת הצד הרחוק. חיבור TUN ייצור פחות עומס על מנהרה VPN, ובתורה את הצד הרחוק כי הרשת רק תנועה אל / מכתובת ה- IP אחת יעבור את ה- VPN לצד השני. נתיבי IP לתחנות אחרות ברשת המשנה אינם נכללים, ולכן התנועה לא נשלחת על פני המנהרה VPN, או מעט תקשורת או לא אפשרי מעבר לשרת OpenVPN.

TAP - בדרך כלל מאפשר למנות לזרום בחופשיות בין נקודות הקצה. זה נותן את הגמישות של תקשורת עם תחנות אחרות ברשת בצד הרחוק, כולל כמה שיטות המשמשות את התוכנה הישנה של מיקרוסופט. ל- TAP יש את החשיפות הביטחוניות המובנות המעניקות הענקת גישה חיצונית "מאחורי חומת האש". זה יאפשר יותר מנות תנועה לזרום דרך מנהרה VPN. זה גם פותח את האפשרות של התנגשויות כתובת בין נקודות הקצה.

שם הם הבדלים חביון בגלל שכבת מחסנית, אבל ברוב תרחישי משתמש הקצה את מהירות החיבור של endpoints הוא כנראה תורם משמעותי יותר חביון מאשר שכבת מחסנית מסוימת של השידור. אם חביון הוא על הפרק, זה יכול להיות רעיון טוב לשקול חלופות אחרות. המעבדים הנוכחיים ברמת GHz בדרך כלל מוציאים את צוואר הבקבוק של השידור דרך האינטרנט.

"טוב" ו "גרוע" אינם ניתנים להגדרה ללא הקשר.
(זו התשובה המועדפת של היועץ, "ובכן זה תלוי ...")
האם פרארי "טוב יותר" מאשר משאית dump? אם אתה מנסה ללכת מהר, זה יכול להיות; אבל אם אתה מנסה לגרור המון כבד, כנראה לא.

יש להגדיר מגבלות כמו "צורך בגישה" ו"דרישות אבטחה ", כמו גם הגדרת אילוצים כמו מגבלות התפוקה של הרשת והציוד, לפני שניתן להחליט האם TUN או TAP מתאימים יותר לצרכיך.


4
2018-02-22 21:15





היה לי את אותה שאלה לפני שנים וניסו להסביר את זה במונחים פשוטים (אשר אני אישית נמצא חסר משאבים אחרים) בבלוג שלי: פריימר OpenVPN

מקווה שזה עוזר למישהו


3
2018-04-08 18:13



אמנם זה עשוי באופן תיאורטי לענות על השאלה, זה יהיה עדיף כדי לכלול את החלקים החיוניים של התשובה כאן, ולספק את הקישור עבור הפניה. - Mark Henderson♦
פוסט נהדר! רק לעתים רחוקות קראתי עמדה שלמה כזאת, אבל זו אחת שעשיתי. אני מסכים עם מארק הנדרסון אם כי, אתה צריך לכתוב סיכום קטן לשים את הקישור לאחר. - Pierre-Luc Bertrand
ההודעה היתה מצוינת. תודה! - Compeek


הגדרת TAP דורשת כמעט שום עבודה נוספת מהאדם הגדרת אותו.

כמובן אם אתה יודע איך ההתקנה TUN אבל לא מבין מה אתה עושה ופשוט בעקבות הדרכה טון, אתה תהיה נלחם כדי להגדיר את תוכנית TAP אבל לא בגלל זה קשה יותר, כי אתה לא יודע מה אתה עושה. אשר בקלות יכול להוביל התנגשויות רשת בסביבה TAP ואז זה נראה כאילו זה יותר מסובך.

העובדה היא, אם אתה לא צריך הדרכה כי אתה יודע מה אתה עושה, הגדרת ברז לוקח זמן רב כמו הגדרת Tun.

עם ברז יש פתרונות רבים על subnetting, מצאתי את עצמי הדרך הקלה ביותר היא להשתמש המשנה ב בכיתה. site1 (Network1) באמצעות 172.22.1.0/16 site2 (network2) באמצעות 172.22.2.0/16 site 3 באמצעות 172.22.3.0/16 וכו '

אתה setup1 עם שרת OVPN ולתת ללקוחות את טווח ה- IP 172.22.254.2 - 172.22.254.255/16 כך שתוכל לקבל מעל 200 לקוחות ovpn (רשתות משנה) כל תת רשת יכול להיות מעל 200 לקוחות בפני עצמה. עושה סך של 40.000 לקוחות אתה יכול לטפל (ספק OVPN יכול להתמודד עם זה אבל כפי שאתה רואה, הגדרת subnetting הנכון ייתן לך יותר אז מספיק כפי שאתה כנראה צריך אי פעם)

אתה משתמש ברז וכל הלקוחות הם יחד כמו ברשת ענקית של החברה.

אם, בכל אתר יש את זה DHCP עצמו, וזה צריך להיות, אתה צריך לוודא באמצעות ebtables או iptables או dnsmasq לחסום הפצה dhcp ללכת פרוע. ebtables עם זאת יהיה להאט את הביצועים. באמצעות dnsmasq dhcp-host = 20: a9: 9b: 22: 33: 44, להתעלם למשל תהיה משימה ענקית ההתקנה על כל שרתי dhcp. עם זאת, על החומרה המודרנית ההשפעה של ebtables הוא לא כל כך גדול. רק 1 או 2%

את התקרה של הברז, בערך 32 כדי טון, זה לא כל כך הרבה בעיה (אולי על רשתות לא מוצפנות), אבל על רשתות מוצפן זה בדרך כלל AES כי יגרום ההאטה.

על wrt3200acm שלי לא מוצפן למשל אני מקבל 360Mbps. באמצעות הצפנה זה יורד ל 54-100Mbps תלוי איזה סוג של הצפנה אני בוחר) אבל openvpn לא עושה הצפנה ב 1500 ו 2 הצפנה על 32 תקורה. במקום זאת הוא עושה 1 זמן הצפנה על 1500 + 32overhead.

אז ההשפעה כאן היא מינימלית.

על חומרה ישנים אתה עשוי להבחין את ההשפעה יותר, אבל על חומרה מודרנית זה באמת עד למינימום.

הצפנה בין 2 מכונות וירטואליות עם תמיכה AES מקבל לי ovpn שלי עם TAP 120-150Mbps.

חלק הדו"ח ייעודי נתבים עם AES חומרה ההצפנה תמיכה להגיע גבוה ככל 400Mbps! 3 פעמים מהר יותר ואז i5-3570k יכול לעשות (אשר על מערכת הבדיקה שלי לא יכול להגיע גבוה יותר אז 150Mbps ב 100% של ניצול 1 הליבה) הקצה השני שלי: E3-1231 v3, אז היה בערך ב 7% ניצול CPU, כ 25% של הליבה openvpn היה בשימוש היה מנוצל. אז E3 סביר להניח להגדיל את החיבור על ידי 3 עד 4 פעמים.

אז היה לך משהו בין 360Mbps ו 600Mbps עם חיבור בין מעבד E3-1231 v3 עושה ברז AES265 ברז, auth SHA256 ו ta.key, אישורים tls-cipher אני גם בשימוש הגבוה ביותר TLS-DHE-RSA-WITH-AES- 256-SHA256

כדי להצביע על כך, עם ברז: wrt3200acm מקבל עד 70-80mbps עם הצפנה. i5-3570k מקבל 120-150 עם הצפנה. E3-1231 v3 מקבל לפחות 360Mbps עם הצפנה (זה אינטרפולציה מהממצאים שלי עם מקרה 1 ו 2 כי לא היה לי 2 E3-1231 v3 כדי לבדוק עם.)

אלה הם הממצאים שלי מבוסס על Windows כדי להעתיק חלונות בין 2 לקוחות ב 2 רשתות משנה שונות מחוברת על ידי OpenVPN TAP


2
2017-11-28 08:37





כי אני מוצא עצה פשוטה קשה לבוא על ידי:

באפשרותך להשתמש ב- TUN אם אתה פשוט משתמש ב- VPN כדי להתחבר אל אינטרנט.

אתה צריך להשתמש TAP אם אתה רוצה להתחבר רשת מרחוק בפועל (מדפסות, שולחנות עבודה מרוחקים וכו ')


2
2018-04-06 23:07





אם כן, למה מה, כמה יש לך? הייתי לנצל את TAP, במפורש מהסיבה כי שכבות של מנות ממשיך עם הרבה פחות חביון ואובדן שידור אשר שככה עם שיטה זו. עם זאת רק עם שכבה 3 זה משפיע על כל השפעה נראית לעין על הפעולה של VPN, בעיקר את היבט מנהור ואילו כתובות IP מותר דרך כתובות להקצות. השימוש UDP אולי מציג מצב נוסף שבו היית צריך להחליט איזה הוא המסלול הטוב ביותר לקחת בשבילך. כל רשת שונה ודורשת מערכת ייחודית של פרמטרים. מקווה שזה עוזר.


-1
2018-06-25 19:03



מבלבל למדי. אנא שקול cleaing אותו, להסביר את ההבדלים שחשוב מפתח אותם. - vonbrand