OpenVPN Site2Site TUN oder TAP?



  • Servus,
    bisher habe ich immer TUN gewählt und hatte keine Probleme. Zumindest keine, die ich auf TUN hätte zurückführen und nicht lösen können. Ich kenne den Unterschied zwischen TUN und TAP natürlich (Layer 3 bzw. 2), habe aber kein praktisches Beispiel für eine Nutzung von TAP - bisher. Eine Netzwerkbrücke mal ausgenommen, die muss man doch aber nicht unbedingt haben?

    Nun muss ich statisch zwischen zwei Standorten eine höchst stabile Verbindung aufbauen. Die Verbindung darf nur bei Ausfall des Internets ausfallen, sonst muss das einfach laufen.

    Kann mir jemand auf die Sprünge helfen?

    Danke!

    Grüße


  • Moderator

    Ahoi,

    die einfachste Erklärung dürfte von OpenVPN selbst kommen:
    -> http://openvpn.net/index.php/open-source/faq/75-general/305-what-is-the-difference-between-a-tun-device-and-a-tap-device.html

    TAP ist ein tatsächlich virtuelles Device, TUN ein Point2(Multi)Point Link. Für einen "normalen" Tunnel macht das eigentlich wenig Unterschied. Kritisch wirds eher dann, wenn wirklich Layer2 Funktionalität gebraucht wird/wurde (bspw. altes Windows Networking, Autokonfiguration via Broadcasts oder Subnet Detection etc.). Oder aber wenn an beiden Enden auch noch das gleiche Netzwerk anliegt, was bei Tunneln ein Albtraum ist. (Und man will das auch aus anderen Gründen nicht).

    Solide sollte beides laufen, ich habe allerdings selten einen Grund gehabt einen TAP-Tunnel auf Layer 2 zu bauen. Wenn nicht gerade die Netzplanung völlig versagt hat ;) sollte das kein Thema sein :)

    Grüße



  • Servus,
    danke für den Link - den Inhalt kannte ich aber schon. Mir gings eben speziell um die Geschichte der praktischen Anwendung. Da fiel mir einfach keine brauchbare ein  ;D

    Betrieben werden soll eine Windows-Domäne (DC im HQ) und eine Client-Server-Anwendung.

    Ich hätte das nun mit TUN gemacht, auch wenn mir dasselbe Subnetz auf beiden Seiten natürlich auch gefallen könnte…


  • Moderator

    auch wenn mir dasselbe Subnetz auf beiden Seiten natürlich auch gefallen könnte

    Glaub mir, du willst das nicht. Niemand will das. Gerade wenn die Standorte verbunden werden sollen, ergibt das nur einen ganzen Haufen Mist beim Netzwerkdesign. Saubere Trennung der IP Spaces auf beiden Seiten erspart einem da unglaublich viel Ärger.



  • Auch wieder wahr… Hast Du rein zufällig längere Erfahrung beim Betrieb einer Windows-Domäne, also einem ActiveDirectory, über TUN oder TAP? Der eigentliche Knackpunkt ist ja der DNS mit seinen SRV-Records.


  • Moderator

    Die Windows Domain hat da eigentlich wenig Streß damit, da dort inzwischen der meiste Kram via UDP/TCP abgewickelt wird, was wiederum alles sauber über den Tunnel läuft. Es bietet sich aber schon aus Latenzgründen an, dass man auf der anderen Seite des Tunnels einen replizierten DC hinstellt, dann können die beiden DCs sich da abgleichen und die Clients authentifizieren sich lokal.