L'installation de TAP ne nécessite presque aucun travail supplémentaire de la part de la personne qui l'installe.
Bien sûr, si vous savez comment configurer TUN mais ne comprenez pas ce que vous faites et si vous suivez simplement un tutoriel, vous vous battrez pour configurer TAP, mais pas parce que c'est plus difficile, mais parce que vous ne savez pas ce que vous êtes. Faire. Ce qui peut facilement conduire à des conflits de réseau dans un environnement TAP, ce qui semble alors plus compliqué.
En fait, si vous n'avez pas besoin d'un tutoriel parce que vous savez ce que vous faites, la configuration de tap prend autant de temps que la configuration de tun.
avec robinet il y a beaucoup de solutions sur les sous-réseaux, je me suis trouvé le moyen le plus simple est d'utiliser un sous-réseau de classe B. site1 (Réseau1) utilisant 172.22.1.0/16 site2 (réseau2) utilisant 172.22.2.0/16 site3 utilisant 172.22.3.0/16, etc.
vous configurez site1 avec le serveur oVPN et donnez aux clients la plage d'adresses ip 172.22.254.2 - 172.22.254.255/16 de sorte que vous puissiez avoir plus de 200 clients ovpn (sous-réseaux), chaque sous-réseau pouvant contenir plus de 200 clients. Donne un total de 40 000 clients que vous pouvez gérer (doutons qu'OVPN puisse gérer cela, mais comme vous le voyez, la configuration d'un sous-réseau approprié vous en donnera plus que suffisamment pour répondre à vos besoins)
vous utilisez un robinet et tous les clients sont réunis comme dans un vaste réseau d'entreprise.
SI, cependant, chaque site a son propre DHCP, comme il se doit, vous devez vous assurer que vous utilisez ebtables, iptables ou dnsmasq pour bloquer la distribution DHCP au hasard. ebtables va toutefois ralentir la performance. en utilisant dnsmasq dhcp-host = 20: a9: 9b: 22: 33: 44, ignorer par exemple sera une tâche énorme à configurer sur tous les serveurs DHCP. Cependant, sur le matériel moderne, l’impact d’ebbtables n’est pas si important. seulement 1 ou 2%
la surcharge du tap, environ 32 par tun, ne pose pas non plus de problème (peut-être sur des réseaux non cryptés), mais sur les réseaux cryptés, c'est généralement l'AES qui provoque le ralentissement.
Sur mon wrt3200acm par exemple non crypté, je reçois 360 Mbps. En utilisant le cryptage, il descend à 54-100Mbps en fonction du type de cryptage que je choisis) mais openvpn ne fait pas de cryptage sur 1500 et un deuxième cryptage sur la surcharge 32. Au lieu de cela, il effectue un chiffrement 1 fois sur 1500 + 32 overhead.
Donc, l'impact ici est minime.
Vous constaterez peut-être davantage l’impact sur les matériels plus anciens, mais sur les matériels modernes, c’est au minimum.
Le chiffrement entre 2 machines virtuelles prenant en charge AES me permet d’obtenir mon ovpn avec TAP à 120-150 Mbit / s.
Certains rapportent que les routeurs dédiés avec le cryptage matériel AES atteignent 400 Mbps! 3 fois plus rapide qu'un i5-3570k peut faire (ce qui sur mon système de test ne pouvait pas dépasser 150Mbps à 100% d'une utilisation de base) 25% du noyau openvpn utilisé a été utilisé. Donc, le E3 pourrait très probablement augmenter la connexion de 3 à 4 fois.
de sorte que vous auriez quelque chose entre 360 Mbps et 600 Mbps avec une connexion entre le processeur E3-1231 v3 faisant tapotement chiffrement AES265, authentification SHA256 et ta.key, certificats tls-cipher 256-SHA256
Pour signaler ceci, avec tap: wrt3200acm obtient jusqu'à 70-80mbps avec le cryptage. i5-3570k obtient à 120-150 avec le cryptage. E3-1231 v3 obtient au moins 360 Mbit / s avec le chiffrement (ceci est interpolé de mes conclusions avec les cas 1 et 2 car je n'avais pas 2 E3-1231 v3 pour tester.)
Ce sont mes conclusions basées sur la copie de Windows à Windows entre 2 clients de 2 sous-réseaux différents connectés par openvpn TAP