Vraag Moet ik tap of tun gebruiken voor openvpn?


Wat zijn de verschillen tussen het gebruik van dev tap en dev tun voor openvpn? Ik weet dat de verschillende modi niet kunnen samenwerken. Wat zijn de technische verschillen, anders dan alleen laag 2 vs 3 operatie. Zijn er verschillende prestatiekenmerken of verschillende niveaus van overhead. Welke modus is beter. Welke functionaliteit is exclusief beschikbaar in elke modus.


79
2018-06-06 15:12


oorsprong


Verklaar alstublieft het verschil? Wat is ethernet overbruggend en waarom is het slecht? - Thomaschaaf


antwoorden:


als het goed is om vpn te maken op laag 3 (nog een hop tussen subnetten) - ga voor tun.

als je twee ethernet-segmenten op twee verschillende locaties moet overbruggen - gebruik dan tik. in zo'n opstelling kun je computers hebben in hetzelfde ip-subnet (bijv. 10.0.0.0/24) aan beide uiteinden van vpn, en ze kunnen direct met elkaar 'praten' zonder enige verandering in hun routeringstabellen. VPN zal fungeren als Ethernet-switch. dit klinkt misschien leuk en nuttig in sommige gevallen, maar ik zou adviseren om er niet voor te gaan tenzij je het echt nodig hebt. als je kiest voor een dergelijke layer 2 bridging setup - er zal een beetje 'garbage' (dat zijn broadcast-packs) over je vpn gaan.

met behulp van tik heb je iets meer overhead - naast ip-headers ook 38B of meer van ethernet headers worden verzonden via de tunnel (afhankelijk van het type verkeer - mogelijk wordt meer fragmentatie geïntroduceerd).


70
2018-06-06 15:34





Ik koos 'tikken' bij het opzetten van een VPN voor een vriend die eigenaar was van een klein bedrijf omdat zijn kantoor een wirwar van Windows-machines, commerciële printers en een Samba-bestandsserver gebruikt. Sommigen van hen gebruiken pure TCP / IP, sommigen lijken alleen NetBIOS te gebruiken (en hebben dus ethernet-uitzendingspakketten nodig) om te communiceren, en sommigen ben ik zelfs niet zeker van.

Als ik "tun" had gekozen, zou ik waarschijnlijk veel gebroken services hebben gezien - veel dingen die werkten terwijl je fysiek op kantoor was, maar dan kapot gingen als je off-site ging en je laptop niet kon "zien" de apparaten op het Ethernet-subnet meer.

Maar door "tikken" te kiezen, vertel ik de VPN dat externe machines zich precies zo voelen als op het LAN, met uitgezonden Ethernet-pakketten en onbewerkte Ethernet-protocollen die beschikbaar zijn voor communicatie met printers en bestandsservers en voor het voeden van hun Network Neighborhood-weergave. Het werkt geweldig en ik krijg nooit meldingen van dingen die niet offsite werken!


22
2018-03-22 21:30





Ik heb altijd tun ingesteld. Tap wordt gebruikt door ethernet-bridging in OpenVPN en introduceert een ongekende complexiteit die niet de moeite waard is. Meestal wanneer een VPN moet worden geïnstalleerd, is dit nodig nuen complexe implementaties komen niet snel.

De Veelgestelde vragen over OpenVPN en de Ethernet Bridging HOWTO zijn uitstekend middelen over dit onderwerp.


14
2018-06-07 06:52



In mijn ervaring is tun eenvoudiger in te stellen, maar het verwerkt niet zoveel netwerkconfiguraties, dus je loopt veel meer rare netwerkproblemen tegen. Tikken daarentegen is wat ingewikkelder om in te stellen, maar als je dat eenmaal doet, werkt het meestal voor iedereen. - Cerin


Als u mobiele apparaten (iOS- of Android-apparaten) wilt verbinden met OpenVPN, moet u TUN gebruiken als momenteel TAP wordt niet ondersteund door OpenVPN op hen:

TAP-nadelen: ..... kunnen niet worden gebruikt met Android- of iOS-apparaten


7
2017-09-24 15:35



TAP wordt ondersteund op Android via een app van derden: OpenVPN Client (Ontwikkelaar: colucci-web.it) - Boo


Ik ben begonnen met tun, maar schakelde om te tikken omdat ik het gebruik van a / 30 subnet niet leuk vond elk PC (ik moet Windows ondersteunen). Ik vond dat verspillend en verwarrend.

Toen ontdekte ik de optie "topologie subnet" op de server. Werkt met de 2.1 RC's (niet 2.0), maar het geeft me alle voordelen van tun (geen overbrugging, prestaties, routing, enz.) Met het gemak van één (sequentieel) IP-adres per (Windows) machine.


5
2018-06-07 08:20





Mijn "vuistregels"
TUN - als u ALLEEN toegang nodig hebt tot bronnen die direct zijn verbonden met de OpenVPN-server aan de andere kant en er geen Windows-problemen zijn. Een beetje creativiteit hier kan helpen, door ervoor te zorgen dat bronnen "verschijnen" als lokaal voor de OpenVPN-server. (voorbeelden kunnen een CUPS-verbinding zijn met een netwerkprinter of een Samba-share op een andere machine MOUNTed op de OpenVPN-server.)

TAP - als u toegang nodig hebt tot meerdere bronnen (machines, opslag, printers, apparaten) die via het netwerk aan het andere eind zijn verbonden. TAP is mogelijk ook vereist voor bepaalde Windows-toepassingen.


voordelen:
TUN beperkt normaal VPN-toegang tot een enkele machine (IP-adres) en daarom (vermoedelijk) betere beveiliging door beperkte connectiviteit met het verre netwerk. TUN-verbinding zorgt voor minder belasting van de VPN-tunnel en op zijn beurt voor het netwerk aan de andere kant omdat alleen verkeer van / naar het ene IP-adres de VPN naar de andere kant zal doorkruisen. IP-routes naar andere stations in het subnet zijn niet inbegrepen, dus verkeer wordt niet over de VPN-tunnel verzonden en er is weinig of geen communicatie mogelijk buiten de OpenVPN-server.

TAP - laat meestal pakketten vrij tussen de eindpunten stromen. Dit biedt de flexibiliteit van communicatie met andere stations in het verre netwerk, waaronder enkele methoden die worden gebruikt door oudere Microsoft-software. TAP heeft de inherente beveiligingsrisico's die gepaard gaan met het verlenen van externe toegang "achter de firewall". Hiermee kunnen meer verkeerspakketten door de VPN-tunnel vloeien. Dit opent ook de mogelijkheid van adresconflicten tussen de eindpunten.

Er zijn verschillen in latency vanwege de stack-laag, maar in de meeste eindgebruikersscenario's is de verbindingssnelheid van de eindpunten waarschijnlijk een grotere bijdrage aan latentie dan de specifieke stacklaag van de transmissie. Als latentie in het geding is, is het misschien een goed idee om andere alternatieven te overwegen. Huidige multiprocessors met GHz-niveau lopen normaal gesproken het bottleneck van de transmissie via internet te boven.

"Beter" en "Erger" kunnen niet worden gedefinieerd zonder een context.
(Dit is het favoriete antwoord van de consultant, "Nou dat hangt ervan af ...")
Is een Ferrari "beter" dan een kiepwagen? Als je probeert om snel te gaan, kan het zijn; maar als je zware ladingen probeert te vervoeren, waarschijnlijk niet.

Beperkingen zoals 'behoefte aan toegang' en 'beveiligingseisen' moeten worden gedefinieerd, evenals het definiëren van beperkingen zoals netwerkdoorvoer en apparatuurbeperkingen, voordat u kunt beslissen of TUN of TAP beter is afgestemd op uw behoeften.


4
2018-02-22 21:15





Ik had dezelfde vraag jaren geleden en probeerde het in duidelijke bewoordingen uit te leggen (wat ik persoonlijk niet had gevonden in andere bronnen) op mijn blog: Een OpenVPN-primer

Ik hoop dat het iemand helpt


3
2018-04-08 18:13



Hoewel dit theoretisch de vraag kan beantwoorden, het zou de voorkeur hebben om de essentiële delen van het antwoord hier op te nemen, en geef de link voor referentie. - Mark Henderson♦
Goede post! Ik lees zelden een hele post als deze maar deze heb ik gedaan. Ik ben het echter eens met Mark Henderson, je moet een kleine samenvatting schrijven en de link erachter zetten. - Pierre-Luc Bertrand
De post was uitstekend. Dank je! - Compeek