Налаштування TAP майже не потребує додаткових робіт від людини, яка його налаштовує.
Звичайно, якщо ви знаєте, як налаштувати TUN, але не розумієте, що ви робите, і просто слідуючи навчальному посібнику, ви будете боротися за налаштування TAP, але не тому, що це складніше, а тому, що ви не знаєте, що ви робити. Що легко може призвести до мережевих конфліктів у середовищі TAP, і тоді це виглядає як складніше.
насправді, якщо вам не потрібен підручник, тому що ви знаєте, що ви робите, налаштування крана займає стільки ж часу, як і налаштування тюнінгу.
при натисканні існує багато рішень щодо підмережі, і я вважав, що найпростішим способом є використання підмережі класу B. site1 (Network1), використовуючи 172.22.1.0/16 site2 (network2), використовуючи 172.22.2.0/16 site3, використовуючи 172.22.3.0/16 і т.д.
ви налаштовуєте site1 за допомогою сервера oVPN і надаєте клієнтам діапазон ip 172.22.254.2 - 172.22.254.255/16, щоб у вас було понад 200 ovpn-клієнтів (підмереж), кожна підмережа може мати понад 200 клієнтів. Загалом складає 40 000 клієнтів (сумнівайтеся, що oVPN може це впоратися, але, як бачите, налаштування правильної підмережі дасть вам більше, ніж вам, швидше за все, потрібно)
ви користуєтесь краном, і всі клієнти разом, як у величезній корпоративній мережі.
Якщо, однак, на кожному сайті є свій власний DHCP, і він повинен бути, вам потрібно переконатися, що використовуючи ebtables або iptables або dnsmasq, щоб заблокувати розподіл dhcp, щоб уникнути дикого. Однак ebtables уповільнить продуктивність. використання dnsmasq dhcp-host = 20: a9: 9b: 22: 33: 44, ігнорування, наприклад, буде величезною задачею для установки на всіх dhcp-серверах. однак на сучасне обладнання вплив ebtables не так вже й великий. лише 1 або 2%
накладні витрати на кран, приблизно 32 до тюнінгу, теж не є великою проблемою (можливо, в незашифрованих мережах), але в зашифрованих мережах зазвичай AES спричиняє уповільнення.
На мій wrt3200acm, наприклад, незашифрований, я отримую 360 Мбіт / с. Використовуючи шифрування, він зменшується до 54-100 Мбіт / с, залежно від того, який тип шифрування я вибираю), але openvpn не робить шифрування на 1500 та 2-го шифрування на 32 накладних. Натомість він робить одноразове шифрування на 1500 + 32 накладних.
Тож вплив тут мінімальний.
На старій апараті ви можете помітити вплив більше, але на сучасному обладнанні це дійсно до мінімуму.
Шифрування між двома віртуальними машинами з підтримкою AES отримує мені свій ovpn з TAP до 120-150Mbps.
Деякі спеціалізовані маршрутизатори звіту з підтримкою апаратного шифрування AES отримують аж 400Mbps! У 3 рази швидше, ніж можна зробити i5-3570k (що в моїй тест-системі не могло отримати більше 150 Мбіт / с при 100% використання 1 ядра) Інший мій кінець: E3-1231 v3, тоді було приблизно 7% використання процесора, приблизно 25% використовуваного ядра openvpn було використано. Тож E3, швидше за все, міг би збільшити з'єднання в 3 - 4 рази.
тож у вас буде щось між 360Mbps і 600Mbps при підключенні між процесором E3-1231 v3, роблячи шифр AES265, auth SHA256 і ta.key, сертифікати tls-cipher Я також використовував найвищий TLS-DHE-RSA-WITH-AES- 256-SHA256
Щоб це вказати, натисніть: wrt3200acm отримує до 70-80 Мбіт з шифруванням. i5-3570k отримує 120-150 із шифруванням. E3-1231 v3 отримує щонайменше 360 Мбіт / с з шифруванням (це інтерполюється з моїх висновків із випадками 1 і 2, тому що у мене не було 2 E3-1231 v3 для тестування.)
Це мої висновки, що базуються на копіюванні вікон на вікна між двома клієнтами у двох різних підмережах, підключених через openvpn TAP