سؤال هل يجب علي استخدام النقر أو اللحن لـ openvpn؟


ما هي الاختلافات بين استخدام dev dev و dev tun for openvpn؟ أعلم أن الأوضاع المختلفة لا يمكن أن تتداخل. ما هي الاختلافات الفنية ، وغيرها من مجرد عملية طبقة 2 مقابل 3. هل هناك خصائص أداء مختلفة ، أو مستويات مختلفة من النفقات العامة. الوضع الذي هو أفضل. ما هي الوظائف المتوفرة حصريًا في كل وضع.


79
2018-06-06 15:12


الأصل


يرجى توضيح الفرق؟ ما الجسر إيثرنت ولماذا هو سيئ؟ - Thomaschaaf


الأجوبة:


إذا كان لا بأس إنشاء vpn على طبقة 3 (واحد أكثر قفزة بين الشبكات الفرعية) - اذهب إلى تون.

إذا كنت تحتاج إلى جسر اثنين من شرائح إيثرنت في موقعين مختلفين - ثم استخدم الصنبور. في مثل هذا الإعداد ، يمكن أن يكون لديك أجهزة كمبيوتر في نفس الشبكة الفرعية للملكية الفكرية (على سبيل المثال 10.0.0.0/24) على طرفي vpn ، وستكون قادرة على "التحدث" مع بعضها مباشرة دون أي تغييرات في جداول التوجيه الخاصة بها. سوف VPN تعمل مثل التبديل إيثرنت. قد يبدو هذا رائعًا ومفيدًا في بعض الحالات ، لكنني أنصح بعدم الذهاب إليه إلا إذا كنت بحاجة إليه حقًا. إذا اخترت إعداد سد الثغرة من الطبقة الثانية - فسيكون هناك القليل من "القمامة" (وهي حزم البث) التي تمر عبر شبكة ظاهرية خاصة بك.

باستخدام الصنبور سيكون لديك المزيد من النفقات العامة - بالإضافة إلى رؤوس IP أيضًا 38 ب أو أكثر سيتم إرسال رؤوس إيثرنت عبر النفق (اعتمادًا على نوع حركة المرور الخاصة بك - من المحتمل أن تؤدي إلى المزيد من التجزئة).


70
2018-06-06 15:34





اخترت "tap" عند إعداد VPN لصديق يملك شركة صغيرة لأن مكتبه يستخدم تشابكًا في أجهزة Windows ، والطابعات التجارية ، وخادم ملفات Samba. بعض منهم يستخدم TCP / IP نقية ، يبدو أن البعض يستخدمون NetBIOS فقط (وبالتالي يحتاجون إلى حزم بث Ethernet) للتواصل ، وبعضهم لست متأكداً حتى من ذلك.

إذا كنت قد اخترت "tun" ، ربما كنت قد واجهت الكثير من الخدمات المكسورة - الكثير من الأشياء التي عملت أثناء وجودك في المكتب جسديًا ، ولكن بعد ذلك ستنقطع عندما تذهب خارج الموقع ولن يتمكن الكمبيوتر المحمول من "رؤية" الأجهزة الموجودة على الشبكة الفرعية Ethernet بعد الآن.

ولكن باختيار "tap" ، أخبر VPN أن تجعل الماكينات البعيدة تشعر تمامًا كما لو كانت على الشبكة المحلية ، مع حزم البث Ethernet وبروتوكولات Ethernet الخام المتوفرة للتواصل مع الطابعات وخوادم الملفات ولتزويد شاشة Network Neighborhood على الشاشة. إنه يعمل بشكل رائع ، ولم أحصل أبدًا على تقارير عن أشياء لا تعمل خارج الموقع!


22
2018-03-22 21:30





أنا دائما بإعداد تون. يستخدم الصنبور من خلال سد إيثرنت في OpenVPN ويقدم مستوى غير معقد من التعقيد الذي لا يستحق العناء ببساطة. عادة عندما تحتاج VPN إلى تركيبها ، تحتاجها الآن، وعمليات النشر المعقدة لا تأتي بسرعة.

ال الأسئلة الشائعة حول OpenVPN و ال إيثرنت سد HOWTO هي ممتاز الموارد حول هذا الموضوع.


14
2018-06-07 06:52



من واقع خبرتي ، يعد الإعداد أسهل في الإعداد ، لكنه لا يتعامل مع العديد من تكوينات الشبكة ، بحيث تواجه مشكلات في الشبكة أكثر غرابة. على النقيض من ذلك ، يكون النقر أكثر تعقيدًا على الإعداد ، ولكن بمجرد القيام بذلك ، عادة ما يكون "يعمل فقط" للجميع. - Cerin


إذا كنت تخطط لتوصيل أجهزة الجوال (iOS أو Android) باستخدام OpenVPN ، فيجب عليك استخدام TUN على أنه TAP حاليًا غير مدعوم بواسطة OpenVPN عليهم:

عيوب TAP: ..... لا يمكن استخدامها مع أجهزة Android أو iOS


7
2017-09-24 15:35



يتم دعم TAP على Android من خلال تطبيق جهة خارجية: OpenVPN Client (المطور: colucci-web.it) - Boo


بدأت باستخدام تون ، ولكن تحولت إلى الاستفادة منذ لم يعجبني استخدام شبكة فرعية / 30 ل كل جهاز الكمبيوتر (أحتاج لدعم ويندوز). لقد وجدت أن يكون الإسراف ومربكة.

ثم اكتشفت الخيار "الشبكة الفرعية الطبولوجيا" على الخادم. يعمل مع 2.1 RC (وليس 2.0) ، لكنه يعطيني جميع مزايا tun (لا الجسر ، والأداء ، والتوجيه ، الخ) مع راحة عنوان IP واحد (متسلسل) لكل جهاز (windows).


5
2018-06-07 08:20





بلدي "قواعد الإبهام"
TUN - إذا كنت تحتاج فقط إلى الوصول إلى الموارد المتصلة مباشرةً بجهاز خادم OpenVPN في الطرف الآخر ، ولا توجد مشكلات في نظام التشغيل Windows. يمكن أن يساعد القليل من الإبداع هنا ، من خلال جعل الموارد "تظهر" لتكون محلية لخادم OpenVPN. (قد تكون الأمثلة اتصال CUPS بطابعة شبكة ، أو مشاركة Samba على جهاز آخر MOUNTed على خادم OpenVPN.)

TAP - إذا كنت بحاجة إلى الوصول إلى موارد متعددة (الآلات ، التخزين ، الطابعات ، الأجهزة) المتصلة عبر الشبكة في الطرف الآخر. قد يكون TAP مطلوبًا أيضًا لبعض تطبيقات Windows.


مزايا:
عادةً ما يقوم TUN بحصر وصول VPN إلى جهاز واحد (عنوان IP) ، وبالتالي (بشكل افتراضي) أمان أفضل من خلال اتصال محدود بالشبكة البعيدة. سيعمل اتصال TUN على إنشاء حمل أقل على نفق VPN ، وبدورها الشبكة الجانبية نظرًا لأن المرور فقط إلى / من عنوان IP واحد سيعبر VPN إلى الجانب الآخر. لا يتم تضمين مسارات IP إلى المحطات الأخرى في الشبكة الفرعية ، لذلك لا يتم إرسال حركة المرور عبر نفق VPN ويكون التواصل قليلًا أو معدومًا خارج خادم OpenVPN.

TAP - يسمح عادةً للحزم بالتدفق بحرية بين نقاط النهاية. وهذا يمنح مرونة الاتصال مع المحطات الأخرى على الشبكة البعيدة ، بما في ذلك بعض الطرق التي تستخدمها برامج Microsoft القديمة. يحتوي TAP على التعرضات الأمنية المتأصلة مع منح الوصول الخارجي "خلف جدار الحماية". سيسمح بتدفق المزيد من الحزم المرورية عبر نفق VPN. هذا يفتح أيضا إمكانية تضارب العناوين بين نقاط النهاية.

هناك هي الاختلافات في زمن الانتقال بسبب طبقة الكدسة ، ولكن في معظم سيناريوهات المستخدم النهائي ، قد تكون سرعة الاتصال لنقاط النهاية مساهماً أكثر أهمية في الكمون أكثر من طبقة المكدس الخاصة للإرسال. إذا كان وقت الاستجابة موضوعًا ، فقد يكون من الأفضل التفكير في بدائل أخرى. وعادة ما تفوق المعالجات المتعددة المعالجات على مستوى GHz الحالية اختناق الإرسال عبر الإنترنت.

"أفضل" و "أسوأ" لا يمكن تحديدهما بدون سياق.
(هذه هي الإجابة المفضلة للمستشار ، "حسناً ، هذا يعتمد ...")
هل سيارة فيراري "أفضل" من شاحنة قلابة؟ إذا كنت تحاول الذهاب بسرعة ، فقد يكون ذلك ؛ ولكن إذا كنت تحاول سحب حمولات ثقيلة ، ربما لا.

يجب تحديد قيود مثل "الحاجة إلى الوصول" و "متطلبات الأمان" ، بالإضافة إلى تحديد القيود مثل سرعة نقل الشبكة وحدود المعدات ، قبل أن يقرر المرء ما إذا كان TUN أو TAP مناسبًا لاحتياجاتك.


4
2018-02-22 21:15





كان لدي هذا السؤال نفسه منذ سنوات وحاولت شرحه بعبارات مباشرة (التي وجدتها شخصياً تفتقر إلى موارد أخرى) على مدونتي: OpenVPN Primer

آمل أن يساعد شخص ما


3
2018-04-08 18:13



في حين أن هذا قد يكون من الناحية النظرية الإجابة على السؤال ، سيكون من الأفضل لتشمل الأجزاء الأساسية من الإجابة هنا ، وتوفير الرابط كمرجع. - Mark Henderson♦
ملصق ممتاز! نادراً ما قرأت مشاركة كاملة كهذه لكنني فعلت هذا. أنا أتفق مع مارك هندرسون على الرغم من ذلك ، يجب عليك كتابة ملخص صغير ووضع الرابط بعد. - Pierre-Luc Bertrand
الوظيفة كانت ممتازة. شكرا لكم! - Compeek


يتطلب إعداد TAP أي عمل إضافي تقريبًا من الشخص الذي يقوم بإعداده.

بالطبع إذا كنت تعرف كيفية إعداد TUN ولكنك لا تفهم ما تفعله وبمجرد اتباع برنامج تعليمي ، فستتصارع لإعداد برنامج TAP ولكن ليس لأنه أكثر صعوبة ولكن لأنك لا تعرف ما الذي تفعله به. والتي يمكن أن تؤدي بسهولة إلى تعارض الشبكات في بيئة TAP ، ومن ثم يبدو الأمر أكثر تعقيدًا.

في الواقع ، إذا لم تكن بحاجة إلى برنامج تعليمي لأنك تعرف ما تفعله ، فإن إعداد الصنبور يستغرق وقتًا طويلاً مثل إعداد tun.

مع الاستفادة من العديد من الحلول حول الشبكات الفرعية ، وجدت نفسي أسهل طريقة لاستخدام شبكة فرعية فئة B. site1 (Network1) باستخدام 172.22.1.0/16 site2 (network2) باستخدام 172.22.2.0/16 site3 باستخدام 172.22.3.0/16 إلخ

قمت بإعداد site1 مع خادم oVPN وإعطاء العملاء مجموعة IP 172.22.254.2 - 172.22.254.255/16 بحيث يمكنك الحصول على أكثر من 200 عميل ovpn (الشبكات الفرعية) كل شبكة فرعية يمكن أن يكون لها أكثر من 200 عميل في حد ذاته. يجعل ما مجموعه 40.000 عميل يمكنك التعامل معه (لا شك في أن oVPN يمكنه التعامل مع ذلك ، ولكن كما ترى ، فإن إعداد الشبكات الفرعية المناسبة سيعطيك أكثر من كافية كما تحتاج على الأرجح)

كنت تستخدم الصنبور وجميع العملاء معا كما هو الحال في شبكة شركة ضخمة.

إذا كان كل موقع يحتوي على DHCP الخاص به ، ويجب أن يكون كذلك ، فعليك التأكد من استخدام ebtables أو iptables أو dnsmasq لمنع توزيع dhcp للانتقال إلى الحياة البرية. ومع ذلك سوف تبطئ ابطأ الأداء. باستخدام dnsmasq dhcp-host = 20: a9: 9b: 22: 33: 44 ، فإن التجاهل على سبيل المثال سيكون مهمة ضخمة للإعداد على جميع خوادم DHCP. ومع ذلك ، على الأجهزة الحديثة تأثير ebtables ليست كبيرة. فقط 1 أو 2٪

لا يمثل الحمل العلوي للصنبور ، الذي يبلغ 32 بتة تقريبًا ، مشكلة كبيرة أيضًا (قد تكون على شبكات غير مشفرة) ولكن على الشبكات المشفرة ، عادةً ما تكون AES هي التي تسبب التباطؤ.

على بلدي wrt3200acm على سبيل المثال غير مشفرة أحصل على 360Mbps. باستخدام التشفير فإنه يتحول إلى 54-100Mbps حسب نوع التشفير الذي أختاره) لكن openvpn لا تفعل التشفير على 1500 و 2 التشفير على 32 النفقات العامة. بدلا من ذلك يفعل تشفير مرة واحدة على 1500 + 32overhead.

لذلك التأثير هنا هو الحد الأدنى.

على الأجهزة القديمة ، قد تلاحظ تأثيرًا أكبر ، ولكن على الأجهزة الحديثة ، يكون انخفاضها إلى الحد الأدنى.

التشفير بين جهازين افتراضيين بدعم AES يحصل على بي بي من خلال TAP إلى 120-150Mbps.

بعض تقارير أجهزة التوجيه المخصصة مع دعم التشفير AES الأجهزة تصل إلى 400Mbps! 3 مرات أسرع بعد ذلك يمكن لـ i5-3570k القيام بذلك (والتي لا يمكن على نظام الاختبار الخاص بي الحصول على أعلى ثم 150Mbps في 100٪ من الاستخدام الأساسي 1) بلدي آخر نهاية: E3-1231 v3 ، ثم كان تقريبا في الاستفادة من وحدة المعالجة المركزية بنسبة 7 ٪ ، تم استخدام حوالي 25 ٪ من openvpn الأساسية كان يستخدم. لذلك فإن E3 على الأرجح يمكن أن تزيد من الاتصال بنسبة 3 إلى 4 مرات.

لذلك سيكون لديك شيء بين 360Mbps و 600Mbps مع اتصال بين وحدة المعالجة المركزية E3-1231 v3 القيام به اضغط على AES265 cipher و auth SHA256 و ta.key والشهادات tls-cipher كما أنني استخدمت أعلى TLS-DHE-RSA-WITH-AES- 256 SHA256

للإشارة إلى ذلك ، بنقرة: يحصل wrt3200acm تصل إلى 70-80mbps مع التشفير. i5-3570k يحصل على 120-150 مع التشفير. يحصل E3-1231 v3 على 360Mbps على الأقل مع تشفير (هذا هو مقتبس من النتائج التي توصلت إليها مع الحالة 1 و 2 لأنني لم يكن لديك 2 E3-1231 v3 لاختبار مع.)

هذه هي النتائج التي توصلت إليها على أساس ويندوز لنسخ ويندوز بين 2 عملاء في 2 شبكات فرعية مختلفة متصلة بواسطة openvpn TAP


2
2017-11-28 08:37





لأنني أجد نصيحة بسيطة يصعب الحصول عليها:

يمكنك استخدام TUN إذا كنت تستخدم VPN للاتصال بـ الإنترنت.

تحتاج إلى استخدام TAP إذا كنت تريد الاتصال بـ الشبكة عن بعد الفعلي (الطابعات ، سطح المكتب البعيد ، إلخ.)


2
2018-04-06 23:07