Bonjour, En effet, tap c'est de la propagation de L2, et tun, de L3.
C'est pas le même usage, mais il faut bien avoir en tête que tout le broadcast dans le domaine (de broadcast...), va transiter avec tap. De même que tout le reste de l'ARP. Sur un gros réseau, ça risque de faire beaucoup d'overhead. Pensez aussi à votre Chromecast et votre imprimante qui floodent constamment (en multicast et broadcast). Sur ces réseaux d'overlay, on est généralement en UDP, mais le TCP est aussi possible pour OpenVPN avec l'overhead qui va avec aussi. A mon sens, le tun répond a tous les usages courants. Et pour le tap, il faut en avoir besoin, mais aussi en comprendre les contraintes. Pour resumer, le tun c'est du routage classique, le tap c'est du "câble VPN". PS: je pense également que le multicast ne passe pas au travers d'une interface tun, je veux bien un avis sur la question. Cordialement, Damien TOURDE Le 17 mars 2020 12:58:48 GMT+01:00, "BERTRAND Joël" <joel.bertr...@systella.fr> a écrit : >NoSpam a écrit : >> >> Le 17/03/2020 à 11:32, BERTRAND Joël a écrit : >>> David BERCOT a écrit : >>>> Bonsoir, >>> Bonjour, >>> >>>> En cette période un peu... difficile, je vous propose de revenir >aux >>>> fondamentaux, à savoir Debian ;-) >>>> >>>> Bref, je voudrais installer OpenVPN sur mon serveur OVH. >>>> Après quelques recherches, j'ai trouvé notamment cette >documentation : >>>> https://wiki.debian.org/fr/OpenVPN >>>> >>>> Les premières étapes (installation du package et génération de la >clé >>>> statique) sont OK mais je ne vois pas bien comment remplir le >tun0.conf >>>> et notamment la ligne : ifconfig 10.9.8.1 10.9.8.2 >>>> En effet, sauf erreur, la première IP est celle de mon serveur et >la >>>> seconde est celle du "client". Mais, dans le subnet, je ne maîtrise >pas >>>> du tout les adresses IP et leur utilisation. >>>> >>>> Auriez-vous une piste ? >>> Utiliser une interface tap ? >>> >>> La question est sérieuse, je n'ai jamais compris l'intérêt >d'utiliser >>> l'interface tun. tap se comporte comme une réelle interface réseau >avec >>> tous les avantages d'ethernet (contrairement à tun qui ne cause >qu'IP). >>> On peut donc faire de la tolérance de panne, de l'agrégation et tout >ce >>> qui est supporté par ethernet. Mais il faut router soi-même par >derrière. >> >> tap a l'énorme désavantage de faire passer out le trafic y compris >arp & >> co De plus, si les réseaux connectés gèrent des postes sous Windows, >la >> propagation des logiciels malveillants est aisée. >> >> J'ai abandonné tap pour tun depuis quelques mois et les routeurs, >> commutateurs et autres outils de surveillance me disent merci ;) > >Je ne veux pas être bégueule, mais concernant les protocoles à la noix >Windows, ça se filtre (d'autant plus qu'il y en a un bon paquet qui >causent IP). -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
