OpenVPN TAP vs TUN em paralelo

Navegue suas respostas
2

Tenho algumas perguntas sobre nossa configuração existente do servidor OpenVPN e um requisito para expandir nosso acesso.

Nossa configuração atual é a seguinte:

  • 1 servidor OpenVPN (no modo TAP)
  • Vários servidores da VM com máquina host fisicamente conectados à mesma sub-rede que o servidor OpenVPN
  • Vários servidores de VM conectados ao servidor OpenVPN como clientes para acessar a sub-rede acima
  • Vários usuários finais conectados ao servidor OpenVPN como clientes para acessar a sub-rede acima

Para uso atual, essa configuração funciona sem problemas. Cada dispositivo / usuário conectado obtém um IP e tudo está bem. No entanto, temos um requisito para poder se conectar a dispositivos iOS / Android, e eu entendo por meio da documentação e do link que isso requer a configuração do OpenVPN para o TUN. Além disso, parece que cada instância do servidor OpenVPN só pode ser executada em um modo, você não pode ter TAP e TUN na mesma configuração do OpenVPN.

Estas são as perguntas:

  • Se configurarmos outra instância do OpenVPN no servidor OVPN atual e configurá-la para o modo TUN: um dispositivo cliente conectando a esse OpenVPN poderá ver APENAS o que é local no servidor OVPN? Ou será capaz de ver todos os dispositivos na sub-rede por causa da configuração do TAP OVPN que já existe?

  • Se a resposta acima é que esse dispositivo cliente só conseguirá ver o que está no servidor OVPN e nada mais, existem alternativas a essa configuração que as pessoas usaram para facilitar o acesso ao dispositivo móvel? Poderíamos configurar um servidor OVPN em uma das VMs que está se conectando via TAP como um cliente e usar o TUN para permitir acesso a essa máquina?

Infelizmente, devido a limitações no ambiente, não podemos mudar o TAP OVPN para TUN e deixá-lo (a menos que eu esteja interpretando mal a configuração do TUN e que funcione como uma alternativa à nossa configuração atual e permita que todas as VMs e dispositivos cliente para se conectar, bem como Android / iOS para se conectar?).

Obrigado por qualquer informação que você possa fornecer sobre este assunto.

    
por Adam Blalock 28.08.2017 / 19:28

1 resposta

1

No modo TUN, a sub-rede que fornece IPs para os clientes VPN é "virtual" no servidor VPN. O modo TUN funciona na camada 3 e não há camada 2 para essa sub-rede. O OpenVPN usa mecanismos próprios para colocar o tráfego direcionado ao ip da VPN de um cliente para o túnel correto (para que ele atinja o cliente). Por causa disso, não há possibilidade de misturar clientes vpn e máquinas locais nesta mesma sub-rede (cliente vpn). Eles precisam estar sempre em sub-redes diferentes e precisam ser alcançados em ambas as direções pelo roteamento.

Portanto, a menos que você tenha regras locais de firewall, seus clientes vpn conectados via tun devem ser capazes de alcançar todos os destinos para os quais a configuração de roteamento no servidor openvpn tem um caminho e há um caminho de volta. O último ponto é mais importante. Em cada máquina local à qual você deseja se conectar, deve existir um caminho para a sub-rede do cliente vpn. O servidor VPN deve ser conhecido como o gateway para esta sub-rede na configuração de roteamento local.

are there alternatives to this setup that people have used to facilitate mobile device access?

Não há bons. Existe um cliente OpenVPN na Play Store, que emula a camada 2 não disponível na API da VPN, que funciona em alguns (a maioria?) Casos. Mas isso é meio que um hack e os desenvolvedores do cliente oficial decidiram contra .

Could we setup a OVPN server on one of the VMs that is now connecting via TAP as a client, and use TUN there to allow access in to that one machine?

Sim. Você precisaria ser capaz de se conectar a este servidor OpenVPN de qualquer lugar onde queira usar o túnel TUN-VPN. Então, provavelmente você precisaria de um ip público roteado. Se esse for o caso, o roteamento local na máquina não deve causar problemas.

    
por 29.08.2017 / 00:52

Tags

Capacidade insuficiente do dispositivo de backup de cache no controlador no IBM DS3524 DNS server na RBL