Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN Site2Site TUN oder TAP?

    Deutsch
    2
    6
    1.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tpf
      last edited by

      Servus,
      bisher habe ich immer TUN gewählt und hatte keine Probleme. Zumindest keine, die ich auf TUN hätte zurückführen und nicht lösen können. Ich kenne den Unterschied zwischen TUN und TAP natürlich (Layer 3 bzw. 2), habe aber kein praktisches Beispiel für eine Nutzung von TAP - bisher. Eine Netzwerkbrücke mal ausgenommen, die muss man doch aber nicht unbedingt haben?

      Nun muss ich statisch zwischen zwei Standorten eine höchst stabile Verbindung aufbauen. Die Verbindung darf nur bei Ausfall des Internets ausfallen, sonst muss das einfach laufen.

      Kann mir jemand auf die Sprünge helfen?

      Danke!

      Grüße

      10 years pfSense! 2006 - 2016

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ahoi,

        die einfachste Erklärung dürfte von OpenVPN selbst kommen:
        -> http://openvpn.net/index.php/open-source/faq/75-general/305-what-is-the-difference-between-a-tun-device-and-a-tap-device.html

        TAP ist ein tatsächlich virtuelles Device, TUN ein Point2(Multi)Point Link. Für einen "normalen" Tunnel macht das eigentlich wenig Unterschied. Kritisch wirds eher dann, wenn wirklich Layer2 Funktionalität gebraucht wird/wurde (bspw. altes Windows Networking, Autokonfiguration via Broadcasts oder Subnet Detection etc.). Oder aber wenn an beiden Enden auch noch das gleiche Netzwerk anliegt, was bei Tunneln ein Albtraum ist. (Und man will das auch aus anderen Gründen nicht).

        Solide sollte beides laufen, ich habe allerdings selten einen Grund gehabt einen TAP-Tunnel auf Layer 2 zu bauen. Wenn nicht gerade die Netzplanung völlig versagt hat ;) sollte das kein Thema sein :)

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • T
          tpf
          last edited by

          Servus,
          danke für den Link - den Inhalt kannte ich aber schon. Mir gings eben speziell um die Geschichte der praktischen Anwendung. Da fiel mir einfach keine brauchbare ein  ;D

          Betrieben werden soll eine Windows-Domäne (DC im HQ) und eine Client-Server-Anwendung.

          Ich hätte das nun mit TUN gemacht, auch wenn mir dasselbe Subnetz auf beiden Seiten natürlich auch gefallen könnte…

          10 years pfSense! 2006 - 2016

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            auch wenn mir dasselbe Subnetz auf beiden Seiten natürlich auch gefallen könnte

            Glaub mir, du willst das nicht. Niemand will das. Gerade wenn die Standorte verbunden werden sollen, ergibt das nur einen ganzen Haufen Mist beim Netzwerkdesign. Saubere Trennung der IP Spaces auf beiden Seiten erspart einem da unglaublich viel Ärger.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • T
              tpf
              last edited by

              Auch wieder wahr… Hast Du rein zufällig längere Erfahrung beim Betrieb einer Windows-Domäne, also einem ActiveDirectory, über TUN oder TAP? Der eigentliche Knackpunkt ist ja der DNS mit seinen SRV-Records.

              10 years pfSense! 2006 - 2016

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Die Windows Domain hat da eigentlich wenig Streß damit, da dort inzwischen der meiste Kram via UDP/TCP abgewickelt wird, was wiederum alles sauber über den Tunnel läuft. Es bietet sich aber schon aus Latenzgründen an, dass man auf der anderen Seite des Tunnels einen replizierten DC hinstellt, dann können die beiden DCs sich da abgleichen und die Clients authentifizieren sich lokal.

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.