L'impostazione di TAP non richiede quasi alcun lavoro aggiuntivo da parte della persona che lo configura.
Ovviamente se sai come impostare TUN ma non capisci cosa stai facendo e semplicemente seguendo un tutorial di tun, dovrai combattere per configurare TAP ma non perché è più difficile ma perché non sai cosa stai facendo. Il che può facilmente portare a conflitti di rete in un ambiente TAP e quindi sembra più complicato.
il fatto è che se non hai bisogno di un tutorial perché sai cosa stai facendo, la configurazione del tap richiede tanto tempo quanto la configurazione di tun.
con tap ci sono molte soluzioni sulla sottorete, mi sono trovato il modo più semplice è usare una sottorete di classe B. site1 (Network1) utilizzando 172.22.1.0/16 site2 (network2) utilizzando 172.22.2.0/16 site3 utilizzando 172.22.3.0/16 ecc.
si configura site1 con il server oVPN e si fornisce ai client l'intervallo ip 172.22.254.2 - 172.22.254.255/16 in modo da poter avere oltre 200 client ovpn (sottoreti) ogni sottorete può avere oltre 200 client in sé. Compone un totale di 40.000 clienti che puoi gestire (dubbio che oVPN può gestirlo, ma come vedi, impostare una subnet corretta ti darà più di quanto tu abbia bisogno)
usi un tocco e tutti i clienti stanno insieme come in un'enorme rete aziendale.
SE, tuttavia, ogni sito ha il proprio DHCP e dovrebbe esserlo, è necessario assicurarsi di utilizzare ebtables o iptables o dnsmasq per bloccare la distribuzione di dhcp in modo selvaggio. ebtables tuttavia rallenterà le prestazioni. usando dnsmasq dhcp-host = 20: a9: 9b: 22: 33: 44, ignorare per esempio sarà un compito enorme da configurare su tutti i server dhcp. tuttavia, sull'hardware moderno l'impatto di ebtables non è così grande. solo 1 o 2%
il sovraccarico del rubinetto, circa 32 al tun, non è nemmeno un problema (potrebbe essere su reti non crittografate) ma su reti crittografate è di solito l'AES che causerà il rallentamento.
Sul mio wrt3200acm per esempio non crittografato ottengo 360 Mbps. L'uso della crittografia scende a 54-100 Mbps a seconda del tipo di crittografia che scelgo), ma openvpn non esegue la crittografia su 1500 e una seconda crittografia su 32 overhead. Invece esegue una crittografia 1 volta su 1500 + 32 overhead.
Quindi l'impatto qui è minimo.
Sull'hardware più vecchio potresti notare l'impatto maggiore, ma sull'hardware moderno è davvero al minimo.
La crittografia tra 2 macchine virtuali con supporto AES mi porta il mio ovpn con TAP a 120-150 Mbps.
Alcuni riportano router dedicati CON supporto per la crittografia hardware AES che arriva fino a 400 Mbps! 3 volte più veloce di quanto possa fare un i5-3570k (che sul mio sistema di test non potrebbe essere superiore a 150 Mbps al 100% di 1 utilizzo di base) L'altra mia estremità: E3-1231 v3, quindi era all'incirca al 7% di utilizzo della CPU, circa È stato utilizzato il 25% del core openvpn utilizzato. Quindi l'E3 molto probabilmente potrebbe aumentare la connessione da 3 a 4 volte.
quindi avresti qualcosa tra 360 Mbps e 600 Mbps con una connessione tra E3-1231 v3 cpu facendo toccare la cifra AES265, autenticazione SHA256 e ta.key, certificati tls-cipher ho anche usato il più alto TLS-DHE-RSA-WITH-AES- 256-SHA256
Per evidenziarlo, con tap: wrt3200acm arriva fino a 70-80 Mbps con crittografia. i5-3570k arriva a 120-150 con la crittografia. E3-1231 v3 ottiene almeno 360 Mbps con crittografia (questo è interpolato dai miei risultati con i casi 1 e 2 perché non avevo 2 E3-1231 v3 con cui testare.)
Questi sono i miei risultati basati sulla copia da Windows a Windows tra 2 client in 2 sottoreti diverse collegate da TAP openvpn