Pertanyaan Haruskah saya menggunakan tap atau tun untuk openvpn?


Apa perbedaan antara menggunakan dev tap dan dev tun untuk openvpn? Saya tahu mode yang berbeda tidak dapat saling beroperasi. Apa perbedaan teknis, yang lain kemudian hanya operasi layer 2 vs 3. Apakah ada karakteristik kinerja yang berbeda, atau tingkat overhead yang berbeda. Mode mana yang lebih baik. Fungsionalitas apa saja yang tersedia secara eksklusif di setiap mode.


79
2018-06-06 15:12




Tolong jelaskan bedanya? whats ethernet bridging dan mengapa itu buruk? - Thomaschaaf


Jawaban:


jika itu ok untuk membuat vpn pada layer 3 (satu lagi hop antara subnet) - pergi untuk tuning.

jika Anda perlu menjembatani dua segmen ethernet di dua lokasi berbeda - kemudian gunakan ketuk. dalam pengaturan seperti itu Anda dapat memiliki komputer di subnet ip yang sama (misalnya 10.0.0.0/24) pada kedua ujung vpn, dan mereka akan dapat 'berbicara' satu sama lain secara langsung tanpa perubahan dalam tabel routing mereka. vpn akan bertindak seperti switch ethernet. ini mungkin terdengar keren dan berguna dalam beberapa kasus tetapi saya akan menyarankan untuk tidak mencarinya kecuali Anda benar-benar membutuhkannya. jika Anda memilih pengaturan bridging lapisan 2 - akan ada sedikit 'sampah' (yang disiarkan paket) akan melintasi vpn Anda.

menggunakan tap, Anda akan memiliki sedikit lebih banyak overhead - selain itu juga ada header ip 38B atau lebih header ethernet akan dikirim melalui terowongan (tergantung pada jenis lalu lintas Anda - mungkin akan memperkenalkan lebih banyak fragmentasi).


70
2018-06-06 15:34





Saya memilih "ketuk" saat menyiapkan VPN untuk seorang teman yang memiliki bisnis kecil karena kantornya menggunakan jalinan mesin Windows, printer komersial, dan server file Samba. Beberapa dari mereka menggunakan TCP / IP murni, beberapa tampaknya hanya menggunakan NetBIOS (dan karenanya perlu paket broadcast Ethernet) untuk berkomunikasi, dan beberapa saya bahkan tidak yakin.

Jika saya memilih "tun", saya mungkin akan menghadapi banyak layanan rusak - banyak hal yang bekerja saat Anda berada di kantor secara fisik, tetapi kemudian akan rusak ketika Anda pergi ke luar situs dan laptop Anda tidak bisa "melihat" perangkat di ethernet Ethernet lagi.

Tetapi dengan memilih "ketuk", saya memberi tahu VPN untuk membuat mesin jarak jauh merasa persis seperti mereka berada di LAN, dengan paket Ethernet broadcast dan protokol Ethernet mentah tersedia untuk berkomunikasi dengan printer dan server file dan untuk menyalakan layar Network Neighborhood mereka. Ini bekerja hebat, dan saya tidak pernah mendapatkan laporan tentang hal-hal yang tidak bekerja di luar kantor!


22
2018-03-22 21:30





Saya selalu mengatur tuning. Ketuk digunakan dengan menjembatani ethernet di OpenVPN dan memperkenalkan tingkat kerumitan yang tidak dapat diprediksi yang sama sekali tidak perlu diganggu. Biasanya ketika VPN perlu diinstal, diperlukan sekarang, dan penyebaran yang rumit tidak datang dengan cepat.

Itu FAQ OpenVPN dan Ethernet Bridging HOWTO adalah luar biasa sumber daya untuk topik ini.


14
2018-06-07 06:52



Menurut pengalaman saya, tun lebih mudah diatur tetapi tidak menangani banyak konfigurasi jaringan, sehingga Anda mengalami masalah jaringan yang lebih aneh. Sebaliknya, ketuk sedikit lebih rumit untuk disiapkan, tetapi begitu Anda melakukannya, biasanya "berfungsi" untuk semua orang. - Cerin


Jika Anda berencana untuk menghubungkan perangkat seluler (iOS atau Android) menggunakan OpenVPN, maka Anda harus menggunakan TUN sebagai TAP saat ini tidak didukung oleh OpenVPN pada mereka:

Kerugian TAP: ..... tidak dapat digunakan dengan perangkat Android atau iOS


7
2017-09-24 15:35



TAP didukung di Android melalui aplikasi pihak ketiga: OpenVPN Client (Pengembang: colucci-web.it) - Boo


Saya mulai menggunakan tun, tetapi beralih ke keran karena saya tidak suka penggunaan / 30 subnet untuk setiap PC (saya perlu mendukung Windows). Saya menemukan itu menjadi sia-sia dan membingungkan.

Kemudian saya menemukan opsi "topologi subnet" di server. Bekerja dengan 2.1 RC (bukan 2.0), tetapi memberi saya semua keuntungan dari tun (tidak ada bridging, kinerja, routing, dll) dengan kenyamanan satu (sekuensial) alamat IP per (windows) mesin.


5
2018-06-07 08:20





"Aturan praktis" saya
TUN - jika Anda HANYA membutuhkan akses ke sumber daya yang terhubung langsung ke mesin server OpenVPN di ujung yang lain, dan tidak ada masalah Windows. Sedikit kreativitas di sini dapat membantu, dengan membuat sumber daya "muncul" menjadi lokal ke server OpenVPN. (contohnya mungkin koneksi CUPS ke printer jaringan, atau share Samba di komputer lain, MOUNTed pada server OpenVPN.)

TAP - jika Anda memerlukan akses ke beberapa sumber daya (mesin, penyimpanan, printer, perangkat) yang terhubung melalui jaringan di ujung yang lain. TAP mungkin juga diperlukan untuk aplikasi Windows tertentu.


Keuntungan:
TUN biasanya membatasi akses VPN ke satu mesin (alamat IP) dan karena itu (mungkin) keamanan yang lebih baik melalui konektivitas terbatas ke jaringan sisi-jauh. Sambungan TUN akan membuat lebih sedikit muatan di terowongan VPN, dan pada gilirannya jaringan jauh karena hanya lalu lintas ke / dari alamat IP tunggal yang akan menyeberangi VPN ke sisi lain. Rute IP ke stasiun lain di subnet tidak termasuk, sehingga lalu lintas tidak dikirim melalui terowongan VPN dan komunikasi sedikit atau tidak ada di luar server OpenVPN.

TAP - biasanya memungkinkan paket mengalir bebas di antara titik akhir. Ini memberikan fleksibilitas komunikasi dengan stasiun lain di jaringan sisi-jauh, termasuk beberapa metode yang digunakan oleh perangkat lunak Microsoft yang lebih lama. TAP memiliki keterpaparan keamanan yang melekat terlibat dengan pemberian akses luar "di belakang firewall". Ini akan memungkinkan lebih banyak paket lalu lintas mengalir melalui terowongan VPN. Ini juga membuka kemungkinan konflik alamat antara titik akhir.

Sana adalah perbedaan latensi karena lapisan stack, tetapi dalam kebanyakan skenario pengguna akhir, kecepatan koneksi titik akhir mungkin merupakan penyumbang latensi yang lebih signifikan daripada lapisan tumpukan transmisi tertentu. Jika latensi menjadi masalah, mungkin ada baiknya mempertimbangkan alternatif lain. Saat ini multiprosesor GHz tingkat biasanya berlari lebih cepat dari hambatan transmisi melalui internet.

"Lebih baik" dan "Lebih buruk" tidak dapat ditentukan tanpa konteks.
(Ini adalah jawaban favorit konsultan, "Itu tergantung ...")
Apakah Ferrari "lebih baik" daripada truk sampah? Jika Anda mencoba untuk pergi dengan cepat, itu mungkin; tetapi jika Anda mencoba untuk mengangkut muatan berat, mungkin tidak.

Batasan seperti "kebutuhan untuk akses" dan "persyaratan keamanan" harus didefinisikan, serta batasan yang mendefinisikan seperti throughput jaringan dan keterbatasan peralatan, sebelum seseorang dapat memutuskan apakah TUN atau TAP lebih sesuai dengan kebutuhan Anda.


4
2018-02-22 21:15





Saya memiliki pertanyaan yang sama bertahun-tahun yang lalu dan berusaha untuk menjelaskannya secara langsung (yang secara pribadi saya temukan kurang dalam sumber lain) di blog saya: Primer OpenVPN

Semoga itu membantu seseorang


3
2018-04-08 18:13



Sementara ini secara teoritis dapat menjawab pertanyaan itu, itu akan lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini, dan berikan tautan sebagai referensi. - Mark Henderson♦
Posting yang bagus! Saya jarang membaca keseluruhan posting seperti ini, tetapi yang ini saya lakukan. Saya setuju dengan Mark Henderson, Anda harus menulis ringkasan kecil dan meletakkan tautan setelahnya. - Pierre-Luc Bertrand
Pos sangat bagus. Terima kasih! - Compeek