openvpn 使用 dev tap 和 dev tun 有什么区别?我知道不同的模式不能互操作。除了第 2 层与第 3 层操作之外,还有什么技术差异。是否存在不同的性能特征,或不同级别的开销。哪种模式更好。每种模式中专门提供哪些功能。
Cisco VPN 客户端 (IPsec) 不支持 64 位 Windows。
更糟糕的是,思科甚至不打算发布 64 位版本,而是说
“对于 x64(64 位)Windows 支持,您必须使用思科的下一代 Cisco AnyConnect VPN 客户端。”
但是 SSL VPN 许可证需要额外付费。例如,大多数新的 ASA 防火墙都带有大量 IPSec VPN 许可证,但只有少数 SSL VPN 许可证。
对于 64 位 Windows,您有哪些选择?到目前为止,我知道两个:
有其他建议或经验吗?
虽然在 192.168/16 甚至 10/8 之间有各种各样的私有不可路由网络,但有时考虑到潜在的冲突,它仍然会发生。例如,我在 192.168.27 上使用内部 VPN 网络设置了一次安装 OpenVPN。这一切都很好,直到一家酒店在其 wifi 上使用该子网作为 27 楼。
我将 VPN 网络重新 IP 连接到 172.16 网络,因为这似乎几乎没有被酒店和网吧使用。但这是解决问题的适当方法吗?
虽然我提到了 OpenVPN,但我很想听听其他 VPN 部署中关于这个问题的想法,包括普通的 IPSEC。
这是一个关于解决 VPN 客户端的本地网络与跨 VPN 链接的本地网络之间的 IPv4 子网冲突的规范问题。
通过 OpenVPN 连接到远程位置后,客户端尝试访问位于子网(例如 192.0.2.0/24)上的网络上的服务器。但是,有时,客户端 LAN 上的网络具有相同的子网地址:192.0.2.0/24。由于此冲突,客户端无法通过键入其 IP 来连接到远程服务器。在连接到 VPN 时,他们甚至无法访问公共互联网。
问题是这个子网192.0.2.0/24需要通过VPN路由,但也需要作为客户端的LAN路由。
有谁知道如何缓解这个问题?我可以访问 OpenVPN 服务器。
是否有任何东西可以为 UDP 启用“类似 telnet”的功能?我知道 TCP 和 UDP 之间的区别,以及为什么 telnet 本身不起作用 - 但我想知道从最终用户的角度来看是否有类似于 telnet 客户端的东西。例如 udp-telnet [ip] [sending-port] [receiving-port] 然后打印出数据包是否返回。
拥有这样的工具将有助于测试使用 UDP 连接的 OpenVPN 的防火墙设置。
Checkpoint VPN 有 Linux 客户端吗?最好是 Ubuntu?
我在两台服务器之间遇到了非常慢的 OpenVPN 传输速率。对于这个问题,我将把服务器称为服务器 A 和服务器 B。
服务器 A 和服务器 B 都运行 CentOS 6.6。两者都位于具有 100Mbit 线路的数据中心,并且 OpenVPN 之外的两个服务器之间的数据传输运行接近约 88Mbps。
但是,当我尝试通过在服务器 A 和服务器 B 之间建立的 OpenVPN 连接传输任何文件时,我的吞吐量大约为 6.5Mbps。
iperf 的测试结果:
[ 4] local 10.0.0.1 port 5001 connected with 10.0.0.2 port 49184
[ 4] 0.0-10.0 sec 7.38 MBytes 6.19 Mbits/sec
[ 4] 0.0-10.5 sec 7.75 MBytes 6.21 Mbits/sec
[ 5] local 10.0.0.1 port 5001 connected with 10.0.0.2 port 49185
[ 5] 0.0-10.0 sec 7.40 MBytes 6.21 Mbits/sec
[ 5] 0.0-10.4 sec 7.75 MBytes …许多管理员一直在坚持——在 ServerFault 和其他地方——TCP-over-TCP 的想法有多糟糕,例如在 VPN 中。如果不是 TCP 崩溃,即使是最轻微的数据包丢失也会使一个人遭受至少严重的吞吐量下降,因此应严格避免 TCP-over-TCP。这可能曾经是真的,例如 2001年写这篇文章时仍然被引用。
但从那时起,我们看到了技术和协议的重大进步。现在我们几乎在所有地方都实现了“选择性 ACK”,摩尔定律给了我们更多的内存,随之而来的是针对 Gbit 上行链路优化的大型 TCP 缓冲区。如今,在非无线电链路上,数据包丢失的问题要少得多。所有这些都应该显着缓解 TCP-over-TCP 问题,不是吗?
请注意,在现实世界中,例如基于 TCP 的 VPN 比基于 UDP/ESP 的 VPN 更容易实现和操作(参见下文)。因此我的问题:
在什么情况下(链路数据包丢失和延迟),TCP-over-TCP 的性能比单独的 TCP 差得多,假设两端都有 SACK 支持和大小合适的 TCP 缓冲区?
看到一些显示(外部连接)数据包丢失/延迟和(内部连接)吞吐量/抖动之间的相关性的测量结果会很棒——对于 TCP-over-TCP,以及单独的 TCP。我发现了这篇有趣的文章,但它似乎只关心延迟,而不是解决(外部)数据包丢失问题。
另外:是否有推荐的设置(例如 TCP 选项、缓冲区设置、减少 MTU/MSS 等)来缩小 TCP 和 TCP-over-TCP 之间的性能差距?
更新:我们的理由。
这个问题在一些现实世界的场景中仍然非常相关。例如,我们在大型建筑物中部署嵌入式设备,收集传感器数据并通过 VPN 将其输入我们的平台。我们面临的问题是我们无法控制的防火墙和不正确配置的上行链路,以及不情愿的 IT 部门。请参阅此处讨论的详细示例。
在很多这样的情况下,从非 TCP 切换到基于 TCP 的 VPN(如果你像我们一样使用 OpenVPN 就很容易)是一个快速解决方案,它使我们能够避免上坡的相互指责。例如,通常 TCP 端口 443 通常是允许的(至少通过代理),或者我们可以通过简单地减少 TCP 的 MSS 选项来克服 Path-MTU 问题。
最好知道在什么情况下可以将基于 TCP 的 …
搜索IPSec和Linux不可避免地会遇到不同的解决方案(见下文),这些解决方案看起来都非常相似。问题是:区别在哪里?
我找到了这些项目。它们都是开源的,都是活跃的(在过去 3 个月内发布)并且它们似乎都提供了非常相似的东西。
另外:还有其他我没有遇到的项目吗?
(strongswan vs openswan要求相同,但显然已经过时了。)
问题:对于某些要求/上下文是否有明显的选择,或者它们都可以互换?
不确定性示例:是否需要支持某些客户端(android、apple、Microsoft 等)需要(或从中受益匪浅)特定实现?
示例不确定性:某些实现是否比其他实现更多地进行了安全性、和-或兼容性、和-或性能的审查和测试?
不确定性示例:某些实现是否比其他实现更稳定且没有错误?
示例不确定性:它们是否都支持 1pv4-only / ipv6-only / 任何一个 / 两者?
示例不确定性:它们是否都支持多个客户端和 dhcp ?
示例不确定性:它们是否都支持相同的身份验证方法?
这应该是一个非常简单的:
在Windows Server 2008+上的高级 Windows 防火墙中,属性 > 高级,“边缘遍历”是什么意思?
当然,我在谷歌上搜索过,但无法给出具体的答案,尤其是在Thomas Schinder 的博客上看到以下内容时,我感到非常震惊:
Edge traversal 选项是一个有趣的选项,因为它没有很好的记录。以下是帮助文件中的内容:
“Edge traversal 这表示是否启用了边缘遍历(Yes)或禁用了(No)。启用边缘遍历后,应用规则的应用程序、服务或端口可全局寻址,并可从网络地址转换 (NAT) 或边缘设备外部访问。”
你认为这可能意味着什么?通过在服务器前面的 NAT 设备上使用端口转发,我们可以使服务跨 NAT 设备可用。这可能与IPsec有关吗?它可能与NAT-T有关吗?难道这个功能的帮助文件编写者也不知道,并且编造了一些代表同义反复的东西?
我不知道这是做什么的,但如果我发现了,我会确保将这些信息包含在我的博客中。
我很欣赏他的诚实,但如果这家伙不知道,谁知道呢?!
一旦机器位于路由器的另一端,我们就很难连接到 VPN,我想知道这是否有帮助?所以我非常渴望听到对“边缘遍历”的正确描述!