OpenVPN內部路由和系統的路由之間的區別在于，系統路由完全照著最長前綴匹配原則，找到路由之后，將數據包從對應的網卡接口轉發出去。而 OpenVPN內部的路由雖然最終也是決定是否轉發并且往哪里轉發數據包，然而這個“是否轉發”以及“往哪里轉發”是和系統路由大大不同的，OpenVPN是否轉發數據包依照的其內部的一張路由表而和系統的路由表沒有關系，往哪里轉發呢?其實是往兩個地方轉發，根據查找內部路由得到的結果，如果目的地址不是其它OpenVPN客戶端的或者這些OpenVPN客戶端后面的網絡主機的，那么就往自己的虛擬網卡中轉發，如果目的地址是其它 OpenVPN客戶端的或者其后面網絡的，那么在開啟C2C的情況下，直接轉發到對應OpenVPN的socket，轉發前用對應的socket實例的安全參數進行OpenVPN協議封裝，C2C是不是很像linux中的ip_forward內核參數呢?

注意，前面的闡述中，我一直都在說目的地址，而沒有說目的IP地址，這是因為OpenVPN的內部路由不僅僅是IP路由，在tap模式下，它的內部路由實際上是鏈路層的路由，這時OpenVPN服務器不是一臺路由器，而是一臺交換機，還是一臺可以“動態學習MAC地址”的交換機，因此tap模式下，OpenVPN內部路由其實就是交換機的鏈路層路由，其路由表其實就類似于交換機的MAC地址表。

OpenVPN內部路由的職責有：

1.抉擇是否轉發到來的已經解除了OpenVPN封裝的載荷數據包。也就是載荷包的發起者是否在OpenVPN的策略范圍內;

2.處理不同OpenVPN客戶端之間的通信以及不同客戶端后面所掛接的網段主機之間的通信。也就是說在上述這些主機之間路由數據包，注意這里所謂的路由并不是協議棧中的IP路由，而是OpenVPN內部的路由。

OpenVPN可以通過內部路由擴展成一個巨大的網絡，該網絡直接穿越不安全的網絡區域，比如互聯廣域網或者城域網，是這個擴展而成的巨大網絡真正的成了虛擬的和專用的，這就是OpenVPN對于網絡拓撲支持最強大的地方，OpenVPN另外的強大之處前面的文章都快說爛了，比如和SSL結合，和PKI結合等等，在和主機網絡協議棧結合處，OpenVPN使用了虛擬網卡，這也快說爛了，因此本系列文章著重談OpenVPN的強大路由功能。如果能徹底理解這個，那么相信你已經理解了其它，進而閱讀源代碼和修改定制源代碼已經不是什么困難事了，因此本系列文章不再冗余的分析源碼。

那么，被OpenVPN擴展而成的網絡到底是什么樣子呢?這要看你使用tap模式還是tun模式了：

tap模式下，VPN節點(多個客戶端和一個服務器端)組成了一個以太網，而VPN服務器就相當于一臺以太網交換機。由于以太網是IP協議棧下層的封裝，tap模式下的所有VPN節點以及節點后被bridge的節點組成了一個大的以太網而不是IP網絡，OpenVPN內部路由是作用于MAC地址的，對于任意來源IP，OpenVPN內部路由都是直通的，寫入虛擬網卡后，由系統路由判決。因此tap模式下，如果需要各個VPN節點后面的網絡之間達到 IP互通的效果，那就必須要么做NAT映射，將VPN節點后面的網絡NAT到VPN節點，要么輔助以系統的IP路由，而這些配置很復雜，很難維護。見下圖：

tun模式下，VPN節點(多個客戶端和一個服務器端)以及其它允許接入的網絡(通過iroute配置)組成了一個IP網絡，而VPN服務器就相當于一臺IP路由器。tun模式下的所有VPN節點以及節點后被iroute內部路由以及系統路由指向的節點組成了一個大的IP網。此模式下，內部路由和系統路由共同起作用，OpenVPN的事件機制可以將這二者無縫結合。見下圖：

OpenVPN事實上通過定義良好的銜接口和既有的優秀框架結合，這些銜接口分別是SSL協議/PKI，虛擬網卡/主機協議棧，內部路由/事件機制/系統 IP路由。OpenVPN既做到了機制的完整，和外部框架的結合，又給了用戶靈活的配置，因此，OpenVPN很棒。

原文博客：http://blog.csdn.net/dog250/article/details/6979231