笑叶林

一. 引子 别的就不多说什么了，前面的文章说过，OpenVPN有两个瓶颈，一个是tap网卡，另一个是加密/解密 ，然而不可否认，OpenVPN的客户端和服务器端处于一个“虚拟网段”，抛开虚拟不谈，只要是一个网段的，我们就可以说它们属于一个局域网(当然前提是使用tcp/ip网络)…

可见，不使用加解密和摘要时，cpu大量消耗在内核空间和网卡软中断上，而使用加密以及摘要时，cpu大量消耗在OpenVPN的加解密/摘要计算上。既然加解密是一个很耗时的操作，我们也就有必要使用上篇《OpenVPN性能-OpenVPN的第一个瓶颈在tun驱动》修改后的tun驱动了，…

这样的结构效率肯定不会太高，因此就不要再想从配置上寻找优化的突破口了，然而修改源代码又太麻烦，于是考虑多进程的方式，那就是在客户端和服务器分别启动数量相同的N多个OpenVPN进程，一对一的连接，这就相当于建立了N条隧道，单条隧道不宽，但是可以有多条隧道，然后大流量由所有这些隧…

本文全面介绍OpenVPN的路由配置，不再阐述理论。为了简单且不引入其它问题，以下的配置不考虑NAT。 以下的配置不再给出任何配置文件或者配置选项，比如iroute配置等；以下路由配置可以不使用默认网关，使用默认网关只是为了方便。正确的做法是配置指向确切网络的路由，变长掩码非0…

前面的《OpenVPN高级路由技术》系列文章阐述了OpenVPN中潜在的内部路由技术以及具体的配置方法，另外也谈到了如何使用OpenVPN将网络进行扩展，然而具体到这些内部路由是怎么工作的，并没有谈及。为什么直到现在才说这些呢？我以为最好先不要管内部原理，先要学会用，只有当你明…

OpenVPN是和网络结合的非常紧密的一款VPN，事实上，每一个VPN框架都和IP网络结合的很紧密，因此在此首先劝一下那些想搞VPN的朋友们，一定要先彻底精通TCP/IP网络协议栈，特别是IP路由，防火墙原理之后再去啃OpenVPN或者其它的VPN，否则会事倍功半的，仅仅看懂源…

在《VPN的概念以及要点》中，我指出了OpenVPN构建的网络是单向的，也就是说在不手工配置系统路由的情况下，只能由OpenVPN客户端一侧发起连接。这是因为OpenVPN服务器会把自己一侧的路由推送至OpenVPN客户端，反之，OpenVPN客户端却不能把自己一侧的路由推送给…

OpenVPN内部实现了一个路由器的功能，其源代码的multi_get_instance_by_virtual_addr函数执行路由查找的工作，这种路由是OpenVPN的内部路由，也就是说这种路由是OpenVPN配置并查找的，和外部的系统路由是完全独立的。 注意，前面的阐述中，…

1. server模式以及点对点模式的OpenVPN 前文好几次说过，虽然OpenVPN也可以创建隧道，该隧道封装了IP数据报或者以太帧，然而却和使用IPSec VPN的网络拓扑无法做到兼容，这是因为在网对网模式下，默认配置下，使用tun虚拟网卡模式的OpenVPN的客户端虚拟…