Стоит ли выборочная маршрутизация VPN?

Я хочу настроить таблицы маршрутизации на моем маршрутизаторе RT-N66U для выборочной маршрутизации трафика через VPN. Например, только запросы Pandora будут проходить через VPN. Я нашел способ сделать это с помощью iptables:

#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY 
/sbin/route add default dev ppp0 metric 100

#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0 
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0

#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

источник:http://www.pistonheads.com/gassing/topic.asp?t=968046

но мой вопрос в том, будут ли дополнительные накладные расходы, необходимые для маршрутизации трафика, приводить к тому, что моя общая пропускная способность будет ниже, чем при использовании VPN для на все?

есть ли лучшая стратегия?

20
задан Mike McKay
13.01.2023 2:45 Количество просмотров материала 2533
Распечатать страницу

2 ответа

издержки, неявные в более сложной маршрутизации, абсолютно незначительны. Это может составить дополнительный процент, не более. Существует больше издержек, вовлеченных в шифрование, которое, кроме того, имеет место на обоих концах VPN (en/de-cryption). Я не могу оценить общую стоимость этого решения о маршрутизации, но это может быть заметно для службы потоковой передачи, в отличие от случайного просмотра веб-страницы.

в этом свете, больше аргументов к считать. Во-первых, заставляя ваш маршрутизатор делать en/de-cryption для потоковой службы означает замедление всей локальной сети. Лучшим выбором было бы установить тот же аппарат (то есть, VPN end tunnel), на ПК, а затем маршрутизировать все запросы Pandora через этот компьютер. Таким образом, как маршрутизация, так и en/de-cryption замедлят работу только ПК, а не всей локальной сети.

кроме того, мне не ясно, почему вы должны использовать VPN для доступа к Пандоре (если, конечно, вы не живете снаружи США.) VPN обычно необходимы для поддержания конфиденциальности или для обеспечения безопасного доступа к удаленной локальной сети. Как и в вашем случае. Поэтому, если вы живете за пределами США,я предложил бы избежать потокового через VPN.

Edit:

если вы хотите использовать другой компьютер в качестве шлюза только для маршрутизации Pandora, сначала настройте VPN с этого компьютера. Затем на маршрутизаторе добавьте определенный маршрут для Pandora через этот компьютер. Большинство современных маршрутизаторов будет иметь что-то как Расширенные настройки маршрутизации, где можно указать маршруты через GUI. Это функционально эквивалентно:

   sudo route add -host 11.22.33.44 gw 192.168.0.5

если 192.168.0.5 является IP-адресом компьютера, действующего в качестве VPN-клиента.

на 192.168.0.5, выполните команду:

   sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE

и разрешить пересылку IPv4:

   sudo sysctl -w net.ipv4.ip_forward=1

и вы сделали. Кусок пирога.

предостережение: когда вы делаете это, пинги Пандору с другого компьютера (то есть, не клиент VPN), будет производить вывод такого рода:

  From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

это не ошибка: это просто ваш маршрутизатор говорит вам,что более быстрый способ достижения Pandora через 192.168.0.5 напрямую, не проходя через маршрутизатор в первую очередь. Больше ничего. Это правда, вы могли бы сделать это, но делать это на маршрутизаторе означает, что тот же ярлык Пандоры доступен все ПК в локальной сети. Только досада выше предупреждение, мало цена платить, я верить.

2
отвечен MariusMatutiae 2023-01-14 10:33

существует очень небольшая нагрузка при использовании безопасного зашифрованного VPN-туннеля, и это будет зависеть от конкретных используемых протоколов VPN и установленного уровня шифрования. Например,в L2TP/IPSEC нагрузка на пропускную способность при использовании AES составляет приблизительно 7,95%, а для интерактивного трафика с низкой пропускной способностью (например, сеанса SSH) это может почти удвоить объем данных, передаваемых во время сеанса.

Если ваша единственная цель-доступ к ограниченному контенту извне США и до тех пор, пока уровень безопасности не имеет значения, PPTP-соединение рекомендуется, поскольку оно имеет относительно низкие накладные расходы, и это делает его быстрее, чем другие методы VPN.

0
отвечен Rose Ab 2023-01-14 12:50

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх