回答:
レイヤー3(サブネット間のもう1つのホップ)でvpnを作成しても問題ない場合-調整に進みます。
2つの異なる場所で2つのイーサネットセグメントをブリッジする必要がある場合は、タップを使用します。このようなセットアップでは、VPNの両端で同じIPサブネット(10.0.0.0/24など)にコンピューターを置くことができ、ルーティングテーブルを変更せずに直接「対話」することができます。vpnはイーサネットスイッチのように機能します。これはクールに聞こえるかもしれませんが、場合によっては便利ですが、本当に必要な場合を除いて、この方法にしないことをお勧めします。このようなレイヤー2ブリッジのセットアップを選択した場合、VPN全体に「ガベージ」(ブロードキャストパケット)が少し発生します。
タップを使用すると、わずかにオーバーヘッドが増えます-IPヘッダーに加えて、トンネル経由で38B以上のイーサネットヘッダーも送信されます(トラフィックのタイプに応じて-より多くのフラグメンテーションが発生する可能性があります)。
彼のオフィスはWindowsマシン、商用プリンター、およびSambaファイルサーバーのもつれを使用しているため、中小企業を所有する友人にVPNをセットアップするときに「タップ」を選択しました。それらの一部は純粋なTCP / IPを使用し、一部は通信にNetBIOSのみを使用しているため(したがって、イーサネットブロードキャストパケットが必要)、一部は確信さえありません。
「tun」を選択した場合、おそらく多くの壊れたサービスに直面したでしょう。物理的にはオフィスにいる間は機能していましたが、オフサイトに行ってラップトップが「見る」ことができなかったときに壊れます。イーサネットサブネット上のデバイス。
しかし、「タップ」を選択することで、リモートマシンがLAN上にあるかのように感じられるようにVPNに指示します。ブロードキャストイーサネットパケットと生のイーサネットプロトコルを使用して、プリンタやファイルサーバーと通信し、ネットワークコンピュータのディスプレイに電力を供給します。それは素晴らしく機能し、オフサイトで機能しないものの報告は決して受けません!
私はいつもtunをセットアップしました。タップは、OpenVPNのイーサネットブリッジングで使用され、単純に面倒なものではない、前例のないレベルの複雑さをもたらします。通常、VPNをインストールする必要がある場合、今すぐ VPNを使用する必要がありますが、複雑な展開は迅速に行われません。
OpenVPNのよくある質問とイーサネットブリッジングのHOWTOがある優れたこのトピックに関するリソース。
OpenVPNを使用してモバイル(iOSまたはAndroid)デバイスを接続する予定の場合、現在のTAP はOpenVPNでサポートされていないため、TUNを使用する必要があります。
TAPの欠点:..... AndroidまたはiOSデバイスでは使用できません
何年も前にこれと同じ質問をして、ブログで簡単な言葉で説明しようとしました(個人的に他のリソースに欠けていることがわかりました): OpenVPN Primer
それが誰かを助けることを願っています
私の「経験則」
TUN-相手側のOpenVPNサーバーマシンに直接接続されたリソースへのアクセスのみが必要で、Windowsの問題がない場合。ここに少しの創造性があれば、リソースをOpenVPNサーバーのローカルに「表示」することで役立ちます。(例は、ネットワークプリンターへのCUPS接続、またはOpenVPNサーバーにマウントされた別のマシン上のSamba共有です。)
TAP-ネットワーク経由で接続された複数のリソース(マシン、ストレージ、プリンター、デバイス)へのアクセスが必要な場合違った終わり方。TAPは特定のWindowsアプリケーションにも必要な場合があります。
TAPのセットアップには、セットアップする人の追加作業はほとんど必要ありません。
もちろん、TUNのセットアップ方法は知っているが、何をしているのか理解しておらず、単にtunチュートリアルに従うだけの場合、TAPをセットアップするために戦うことになりますが、それは難しいことではありませんが、やっています。これは、TAP環境でネットワークの競合を簡単に引き起こす可能性があり、その後、より複雑に見えます。
実際、何をしているのかを知っているためにチュートリアルが必要ない場合、タップの設定にはtunの設定と同じくらい時間がかかります。
タップでは、サブネット化に関する多くのソリューションがありますが、最も簡単な方法はクラスBサブネットを使用することです。172.22.1.0/16を使用するsite1(Network1)172.22.2.0/16を使用するsite2(network2)172.22.3.0/16を使用するsite3など
site1をoVPNサーバーでセットアップし、クライアントにIP範囲172.22.254.2-172.22.254.255/16を与えることにより、各サブネットが200個を超えるovpnクライアント(サブネット)を持つことができます。合計40.000のクライアントを処理できます(疑わしいoVPNはそれを処理できますが、ご覧のとおり、適切なサブネット化を設定することで、必要になる可能性が十分にあります)
あなたはタップを使用し、すべてのクライアントは巨大な企業ネットワークのように一緒です。
ただし、各サイトに独自のDHCPがあり、必要がある場合は、ebtablesまたはiptablesまたはdnsmasqを使用して、dhcp配布がブロックされるようにブロックする必要があります。ただし、ebtablesはパフォーマンスを低下させます。dnsmasq dhcp-host = 20:a9:9b:22:33:44を使用すると、たとえば無視はすべてのdhcpサーバーでセットアップするのに大きなタスクになります。ただし、最新のハードウェアでは、ebtablesの影響はそれほど大きくありません。わずか1または2%
タップのオーバーヘッド(およそ32トン)もそれほど問題ではありません(暗号化されていないネットワークで発生する可能性があります)が、暗号化されたネットワークでは通常、AESが速度低下の原因となります。
たとえば、暗号化されていない私のwrt3200acmでは、360Mbpsになります。暗号化を使用すると、選択した暗号化の種類に応じて54〜100 Mbpsまで低下しますが、openvpnは1500での暗号化と32のオーバーヘッドでの2番目の暗号化を行いません。代わりに、1500 + 32オーバーヘッドで1回暗号化を行います。
したがって、ここでの影響は最小限です。
古いハードウェアでは、より大きな影響に気付くかもしれませんが、最新のハードウェアでは実際には最小限に抑えられています。
AESをサポートする2つの仮想マシン間の暗号化により、TAPを使用するovpnが120-150Mbpsになります。
AESハードウェア暗号化サポートを備えた専用ルーターが400 Mbpsもの高速化を達成したと報告する人もいます。i5-3570kの3倍の速さ(テストシステムでは、1コア使用率の100%で150Mbpsを超えることはできませんでした)使用していたopenvpnコアの25%が利用されました。そのため、E3は接続を3〜4倍増やす可能性があります。
E3-1231 v3 CPUとタップAES265暗号化、認証SHA256とta.key、証明書tls-cipherを接続し、最高のTLS-DHE-RSA-WITH-AES- 256-SHA256
これを指摘するには、タップで:wrt3200acmは暗号化で最大70-80mbpsになります。i5-3570kは暗号化により120-150に達します。E3-1231 v3は暗号化で少なくとも360Mbpsを取得します(これは、テストするE3-1231 v3が2つなかったため、ケース1および2での調査結果から補間されます)。
これらは、openvpn TAPで接続された2つの異なるサブネットにある2つのクライアント間でのウィンドウ間コピーに基づいた私の発見です
もしそうなら、なぜ、あなたはどれくらい持っていますか?パケットの階層化が、この方法で軽減されるレイテンシーと伝送損失をはるかに少なくして進行するという理由で、明示的にTAPを利用します。ただし、これはVPNの動作に対する明らかな影響、特にトンネリングの側面、どのIPが許可され、割り当て可能なアドレスに影響するかは、レイヤー3のみです。UDPを使用すると、最適なルートを決定する必要がある別の状況が発生する可能性があります。各ネットワークは異なり、一意のパラメーターセットが必要です。お役に立てれば。