Quelles sont les différences entre l'utilisation de dev tap et dev tun pour openvpn ? Je sais que les différents modes ne peuvent pas inter-opérer. Quelles sont les différences techniques, autres que le fonctionnement en couche 2 ou 3 ? Y a-t-il des caractéristiques de performance différentes, ou des niveaux différents de surcharge. Quel mode est le meilleur ? Quelle fonctionnalité est exclusivement disponible dans chaque mode.
Réponses
Trop de publicités?
Si vous êtes d'accord pour créer un vpn sur la couche 3 (un saut de plus entre les sous-réseaux) - allez-y pour le tun.
si vous avez besoin d'établir un pont entre deux segments ethernet situés à deux endroits différents, utilisez le vpn. dans une telle configuration, vous pouvez avoir des ordinateurs dans le même sous-réseau ip (par exemple 10.0.0.0/24) aux deux extrémités du vpn, et ils pourront "se parler" directement sans que leurs tables de routage ne soient modifiées. Le vpn agira comme un commutateur Ethernet. Cela peut sembler cool et utile dans certains cas mais je vous conseille de ne pas le faire si vous n'en avez pas vraiment besoin. Si vous choisissez une telle configuration de pontage de couche 2, il y aura un peu de "déchets" (c'est-à-dire des paquets de diffusion) qui traverseront votre vpn.
en utilisant tap, vous aurez un peu plus de frais généraux - en plus des en-têtes d'ip aussi 38B ou plus d'en-têtes ethernet vont être envoyés via le tunnel (en fonction du type de votre trafic - cela va peut-être introduire plus de fragmentation).
JWhitewolfS
Points
376
J'ai choisi "tap" lors de la configuration d'un VPN pour un ami propriétaire d'une petite entreprise, car son bureau utilise un enchevêtrement de machines Windows, d'imprimantes commerciales et un serveur de fichiers Samba. Certaines d'entre elles utilisent purement TCP/IP, d'autres semblent n'utiliser que NetBIOS (et ont donc besoin de paquets de diffusion Ethernet) pour communiquer, et d'autres encore dont je ne suis même pas sûr.
Si j'avais choisi "tun", j'aurais probablement été confronté à de nombreux services cassés - beaucoup de choses qui fonctionnaient lorsque vous étiez physiquement au bureau, mais qui tombaient en panne lorsque vous alliez hors site et que votre ordinateur portable ne pouvait plus "voir" les périphériques du sous-réseau Ethernet.
Mais en choisissant "tap", je demande au VPN de faire en sorte que les machines distantes se sentent exactement comme si elles étaient sur le réseau local, avec des paquets Ethernet diffusés et des protocoles Ethernet bruts disponibles pour communiquer avec les imprimantes et les serveurs de fichiers et pour alimenter leur écran Network Neighborhood. Cela fonctionne parfaitement, et je ne reçois jamais de rapports sur des choses qui ne fonctionnent pas à l'extérieur du site !
BrewinBombers
Points
1122
Je configure toujours tun. Tap est utilisé par le pontage Ethernet dans OpenVPN et introduit un niveau de complexité sans précédent qui ne vaut tout simplement pas la peine de s'en préoccuper. Habituellement, lorsqu'un VPN doit être installé, il faut maintenant et les déploiements complexes ne sont pas rapides.
El FAQ OpenVPN et le HOWTO sur le pontage Ethernet son excellent ressources sur ce sujet.
Matěj Zábský
Points
441
Parce que je trouve les conseils simples difficiles à trouver :
Vous pouvez utiliser le TUN si vous n'utilisez le VPN que pour vous connecter à l'Internet. internet .
Vous devez utiliser le TAP si vous voulez vous connecter à l'ordinateur de l'entreprise. réseau distant réel (imprimantes, bureaux à distance, etc.)
Siegfried Löffler
Points
111
Si vous prévoyez de connecter des appareils mobiles (iOS ou Android) en utilisant OpenVPN, vous devez utiliser TUN comme TAP actuel. n'est pas supporté par OpenVPN sur eux :
Inconvénients du TAP : ..... ne peut pas être utilisé avec les appareils Android ou iOS
- Réponses précédentes
- Plus de réponses
