Lohnt sich selektives VPN-Routing?

4687
Mike McKay

Ich möchte Routing-Tabellen auf meinem RT-N66U-Router einrichten, um den Verkehr selektiv über ein VPN zu routen. Beispielsweise würden nur Pandora-Anforderungen über das VPN gesendet. Ich habe einen Weg gefunden, dies mit iptables zu tun:

#!/bin/sh sleep 60 PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip) PPTPGWY=$(/usr/sbin/nvram get wan_gateway) /sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2 /sbin/route del default /sbin/route add default gw $PPTPGWY  /sbin/route add default dev ppp0 metric 100  #Pandora /sbin/route add -net 208.85.0.0/16 dev ppp0  /sbin/route add -net 64.95.61.0/24 dev ppp0 /sbin/route add -net 64.94.123.0/24 dev ppp0 /sbin/route add -net 208.85.40.0/24 dev ppp0 /sbin/route add -net 208.85.41.0/24 dev ppp0 /sbin/route add -net 67.225.0.0/24 dev ppp0  #iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP #iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP  iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Quelle: http://www.pistonheads.com/gassing/topic.asp?t=968046

Aber meine Frage ist, wird der zusätzliche Aufwand für die Weiterleitung des Datenverkehrs dazu führen, dass mein Gesamtdurchsatz niedriger ist, als wenn ich nur das VPN für alles nehme?

Gibt es eine bessere Strategie?

1
Ich möchte dem obigen Ansatz folgen. Wo sollte ich den "IP-Tabellen" -Text hinzufügen, damit er funktioniert? andrecarlucci vor 7 Jahren 0

2 Antworten auf die Frage

2
MariusMatutiae

Der mit dem komplexeren Routing verbundene Aufwand ist absolut vernachlässigbar. Es kann ein zusätzliches Prozent betragen, nicht mehr. Die Verschlüsselung ist mit einem zusätzlichen Aufwand verbunden, der außerdem an beiden Enden des VPNs (Verschlüsselung) stattfindet. Ich kann die Gesamtkosten dieser Routing-Entscheidung zeitlich nicht abschätzen, aber für einen Streaming-Service ist dies möglicherweise auffällig, im Gegensatz zu gelegentlichen Web-Seiten.

In diesem Zusammenhang sind weitere Argumente zu berücksichtigen. Erstens: Wenn Sie Ihren Router dazu zwingen, die Verschlüsselung für einen Streaming-Dienst zu aktivieren, verlangsamen Sie Ihr gesamtes LAN. Eine bessere Wahl wäre, das gleiche Gerät ( dh den VPN-End-Tunnel) auf einem PC einzurichten und dann alle Pandora-Anforderungen über diesen PC weiterzuleiten. Auf diese Weise würde sowohl das Routing als auch die Verschlüsselung nur den PC und nicht das gesamte LAN verlangsamen.

Mir ist auch nicht klar, warum Sie ein VPN für den Zugriff auf Pandora verwenden möchten (es sei denn, Sie leben außerhalb der USA). VPNs werden normalerweise benötigt, um die Privatsphäre zu wahren oder einen sicheren Zugriff auf ein Remote-LAN zu gewährleisten. Dein Fall ist auch nicht der Fall. Wenn Sie also nicht außerhalb der USA leben, würde ich vorschlagen, das Streaming über das VPN zu vermeiden.

Bearbeiten:

Wenn Sie einen anderen PC nur als Gateway für Pandora-Routing verwenden möchten, richten Sie zunächst das VPN von diesem PC aus ein. Fügen Sie dann auf Ihrem Router eine bestimmte Route für Pandora über diesen PC hinzu. Die meisten modernen Router verfügen über ein erweitertes Routing, bei dem Sie Routen über eine GUI angeben können. Dies ist funktional äquivalent zu:

 sudo route add -host 11.22.33.44 gw 192.168.0.5

Wenn 192.168.0.5 die IP-Adresse des PCs ist, der als VPN-Client fungiert.

Geben Sie an 192.168.0.5 den Befehl aus:

 sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE

und lassen Sie die IPv4-Weiterleitung zu: 

 sudo sysctl -w net.ipv4.ip_forward=1

und du bist fertig Stück Kuchen.

Caveat : Wenn Sie das tun, Pingen Pandora von einem anderen PC ( dh, nicht der VPN - Client), wird eine Leistung von dieser Art erzeugen:

 From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

Das ist kein Fehler: Es ist nur Ihr Router, der Ihnen mitteilt, dass Pandora schneller über 192.168.0.5 direkt zu erreichen ist, ohne den Router zuerst durchlaufen zu müssen. Nichts mehr. Sie können dies zwar tun, aber auf Ihrem Router bedeutet dies, dass für alle PCs in Ihrem LAN dieselbe Verknüpfung zu Pandora verfügbar ist . Nur ein Ärgernis der obigen Warnung, wenig Preis zu zahlen, glaube ich.

Danke das ist sehr hilfreich. Ich bin außerhalb der USA. Ich könnte problemlos einen OpenVPN-Client auf einer anderen Box mit Reserve-CPU einrichten. Wie leite ich dann Pandora-Anfragen vom Router an diese Box weiter? Ich denke, das Gateway wird einfach zur IP-Adresse des VPN-Rechners. Mike McKay vor 10 Jahren 0
@MikeMcKay Siehe meine Bearbeitung für die Antwort. MariusMatutiae vor 10 Jahren 1
0
Rose Ab

Wenn Sie einen sicheren, verschlüsselten VPN-Tunnel verwenden, ist der Aufwand sehr gering. Er ist abhängig von den verwendeten VPN-Protokollen und dem eingestellten Verschlüsselungsgrad. In L2TP / IPSEC beträgt der Bandbreiten-Overhead unter Verwendung von AES beispielsweise etwa 7,95%. Bei interaktivem Datenverkehr mit niedriger Bandbreite (wie einer SSH-Sitzung) könnte dies die während der Sitzung übertragene Datenmenge fast verdoppeln.

Wenn Ihr einziger Zweck darin besteht, auf die eingeschränkten Inhalte von "Outside the USA" zuzugreifen, und solange die Sicherheitsstufe keine Rolle spielt, wird eine PPTP-Verbindung empfohlen, da sie relativ wenig Aufwand hat und daher schneller ist als andere VPN-Methoden.

Verwandte Probleme