设置
我已经在我们的 Windows XP 笔记本电脑上运行了 OpenVPN。用户数量有限,所以我继续将 OpenVPN 客户端设置为作为服务运行,这无论如何都很棒,因为这意味着他们在登录之前就在 VPN 上,因此登录脚本可以工作,而且即使用户无法登录,我们也可以进行远程支持(例如通过 VNC 连接或重置密码)。它还配置为通过隧道发送所有流量,因此当他们浏览互联网时,就像从我们的公司网络浏览一样。
问题
所以,我想知道当计算机已经与 OpenVPN 服务器物理上处于同一网络上时,OpenVPN 客户端会如何表现?目前,客户端配置为连接公共 DNS 名称,该名称将解析为公共 IP 地址,该 IP 地址不会反射回 OpenVPN 服务器,因此它在网络上时实际上被阻止连接到 OpenVPN 服务器。这是好事吗?还是它会不断尝试连接,耗尽系统资源和网络资源?我们可能会有数百台笔记本电脑定期连接到物理网络上,因此它可能会导致大量不必要的网络聊天。
或者
让防火墙将端口反射回 OpenVPN 服务器并让其连接会更好吗?或者让我们的内部 DNS 将名称解析为私有 IP 并允许它们直接连接?然后流量会通过 VPN 连接吗(当已经在物理网络上时,我不希望这样)?或者当客户端和服务器已经在同一个网络上时,是否可以告诉它忽略连接?
结论
当客户端和服务器经常位于同一网络上时,处理作为始终在线服务运行的 OpenVPN 客户端的合理方法是什么?
答案1
继续做你正在做的事情。
OpenVPN 作为一种服务,尝试重新连接并失败将转化为最小流量。快速检查显示,openvpn 的初始“我想连接到你”数据包是 14 个字节的数据。考虑到 UDP、IP 和以太网帧开销,我总共得到 56 个字节。
避免在内部使用 OpenVPN,因为它实际上会增加比 OpenVPN 连接失败更多的开销。