Стоит ли выборочная VPN-маршрутизация?

4586
Mike McKay

Я хочу настроить таблицы маршрутизации на моем маршрутизаторе RT-N66U для выборочной маршрутизации трафика через VPN. Например, только запросы Pandora будут проходить через VPN. Я нашел способ сделать это с помощью iptables:

#!/bin/sh sleep 60 PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip) PPTPGWY=$(/usr/sbin/nvram get wan_gateway) /sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2 /sbin/route del default /sbin/route add default gw $PPTPGWY  /sbin/route add default dev ppp0 metric 100  #Pandora /sbin/route add -net 208.85.0.0/16 dev ppp0  /sbin/route add -net 64.95.61.0/24 dev ppp0 /sbin/route add -net 64.94.123.0/24 dev ppp0 /sbin/route add -net 208.85.40.0/24 dev ppp0 /sbin/route add -net 208.85.41.0/24 dev ppp0 /sbin/route add -net 67.225.0.0/24 dev ppp0  #iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP #iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP  iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

источник: http://www.pistonheads.com/gassing/topic.asp?t=968046

Но мой вопрос заключается в том, приведут ли дополнительные накладные расходы, необходимые для маршрутизации трафика, к тому, что моя общая пропускная способность будет ниже, чем при использовании VPN для всего?

Есть ли лучшая стратегия?

1
Я хотел бы следовать вышеупомянутому подходу, где я должен добавить этот текст "ip tables", чтобы он работал? andrecarlucci 7 лет назад 0

2 ответа на вопрос

2
MariusMatutiae

Издержки, неявные в более сложной маршрутизации, абсолютно незначительны. Это может составлять дополнительный процент, не более. С шифрованием связаны дополнительные издержки, которые, кроме того, имеют место на обоих концах VPN (en / de-cryption). Я не могу оценить общую стоимость этого решения о маршрутизации по времени, но это может быть заметно для потоковой службы, в отличие от случайного просмотра веб-страницы.

В этом свете есть еще аргументы для рассмотрения. Во-первых, принуждение вашего маршрутизатора выполнять расшифровку / дешифрование для службы потоковой передачи означает замедление работы всей локальной сети. Лучшим вариантом было бы установить на ПК то же устройство ( т. Е. Оконечный туннель VPN), а затем направить все запросы Pandora через этот ПК. Таким образом, как маршрутизация, так и расшифровка будут замедлять работу только компьютера, а не всей локальной сети.

Кроме того, мне не ясно, почему вы должны использовать VPN для доступа к Pandora (если, конечно, вы не живете за пределами США). VPN обычно необходимы для обеспечения конфиденциальности или для обеспечения безопасного доступа к удаленной локальной сети. Ни ваш случай. Поэтому, если вы не живете за пределами США, я бы рекомендовал избегать потоковой передачи через VPN.

Редактировать:

Если вы хотите использовать другой компьютер в качестве шлюза только для маршрутизации Pandora, сначала настройте VPN с этого компьютера. Затем на своем маршрутизаторе добавьте конкретный маршрут для Pandora через этот компьютер. Большинство современных маршрутизаторов имеют что-то вроде расширенной маршрутизации, где вы можете указывать маршруты через графический интерфейс. Это функционально эквивалентно:

 sudo route add -host 11.22.33.44 gw 192.168.0.5

если 192.168.0.5 - это IP-адрес компьютера, выступающего в роли VPN-клиента.

На 192.168.0.5 введите команду:

 sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE

и разрешить пересылку IPv4: 

 sudo sysctl -w net.ipv4.ip_forward=1

и вы сделали. Кусок пирога.

Оговорка : когда вы сделаете это, пинг Пандора с другим компьютера ( то есть, не клиент VPN), будет производить вывод такого рода:

 From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

Это не ошибка: просто ваш маршрутизатор говорит вам, что более быстрый путь к Pandora - через 192.168.0.5 напрямую, без предварительного прохождения через маршрутизатор. Ничего более. Это правда, что вы могли бы сделать это, но выполнение этого на вашем маршрутизаторе означает, что один и тот же ярлык на Pandora доступен для всех устройств в вашей локальной сети. Только неприятность вышеупомянутого предупреждения, небольшая цена, чтобы заплатить, я полагаю.

Спасибо, это очень полезно. Я за пределами США. Я мог бы легко настроить клиент OpenVPN на другом компьютере с запасным процессором. Как бы я тогда перенаправил запросы Pandora от роутера на этот ящик? Я предполагаю, что шлюз просто становится IP-адресом машины VPN. Mike McKay 10 лет назад 0
@MikeMcKay Смотрите мой ответ для ответа. MariusMatutiae 10 лет назад 1
0
Rose Ab

При использовании защищенного зашифрованного VPN-туннеля возникают незначительные накладные расходы, и это будет зависеть от конкретных используемых протоколов VPN и установленного уровня шифрования. Например, в L2TP / IPSEC накладные расходы на пропускную способность с использованием AES составляют приблизительно 7,95%, а для интерактивного трафика с низкой пропускной способностью (такого как сеанс SSH) это может почти удвоить объем данных, передаваемых во время сеанса.

Если ваша единственная цель - доступ к ограниченному контенту из-за пределов США, и если уровень безопасности не имеет значения, рекомендуется использовать PPTP-соединение, поскольку оно имеет относительно низкие издержки, что делает его более быстрым, чем другие методы VPN.

Похожие вопросы