Cuando queremos crear una conexión de VPN, y elegimos como solución (buena) OpenVPN, tenemos una decisión que tomar: usar tap o tun.
El problema es que no se explica bien estas opciones, ni las ventajas de cada una. Hoy os lo explicamos.
¿Qué diferencia hay entre una configuración tap o tun?
TAP.
Al elegir la configuración TAP, lo que se hace es crear una “interfaz virtual de Ethernet” . Esta es la interfaz que crea el programa de OpenVPN cuando lo instalas en tus interfaces de red y puedes ver porque pone TAP y se activa al conectarse la VPN.
Es, por tanto, una VPN de nivel 2 en el modelo OSI, de la capa de enlace de datos. Esta VPN crea un bridge entre dos LANS, y funciona en parte como un switch. Tiene las mismas ventajas, mucha potencia, puedes hacer casi cualquier cosa…pero puede haber muchos problemas de rutas.
TUN.
Tun es un enlace punto a punto virtual por IP. Es, por lo tanto una VPN de nivel 3 en la capa OSI (nivel de red). El problema es que es un enlace punto a punto…es decir conecta dos máquinas y no dos redes.
¿Cuándo debe usarse Tap y Tun al configurar una VPN de OpenVPN?
La decisión final es del técnico, pero os dejamos varios puntos para que podáis realizarla.
- Tun está pensado para conectarse a otra máquina, sólo a una. No a recursos de red. Si quieres conectarte a un servidor solamente es una buena decisión.
- Con Tun puedes acceder a otros recursos de red haciendo que parezca que están en el servidor, pero no es su función.
- Tap permite conectarse a otra red, incluidos todos los recursos de esa red (clientes, impresoras etc). Si necesitas acceder a varios recursos o servicios de la red remota, debes elegir tap.
- Tap introduce algo más de carga en la red porque incluye las rutas de cada red. En tun, como la conexión es punto a punto, no se necesita toda esa información.
- Tap depende mucho de las configuraciones y enrutado de red. Pueden surgir problemas de rutas que son difíciles de identificar y de resolver. Por ejemplo un error muy común en España es tener la red del servidor en la misma red (192.168.1.X) que la de los clientes de VPN (192.168.1.X). En tun esto no da tantos problemas.
- Si no te funciona bien uno, prueba otro. Nosotros configuramos una VPN por TAP y la interfaz tap estaba dando retardos al abrir y cerrar conexiones, y al levantarse. Fue cambiar a tun y ya no tuvimos ese problema y la VPN iba muy rápida (en comparación).
- Si quieres algo rápido y menos complejo, usa tun.
- Tap abre una LAN a la otra (dependiendo de tu configuración). Esto puede introducir fallos de seguridad.
Esperemos que os sirva para decidir.
Os recomendamos los siguientes productos relacionados con la informática:
Hola Yo estoy usando pritunl-server que esta basado en openvpn configurado en una pc con centOS7 en en la oficina en modo tun, desde mi casa accedo con el pritunl-client y accedo a todos los recursos de la empresa facil.
OpenVPN hay mometos que lleva demasiados pasos y con los años uno busca simplificacion y seguridad
Gracias, si hay nuevas VPN que van mejorando OpenVPN. Todavía no están tan probadas y estables…depende del usuario.