1

Я хочу настроить таблицы маршрутизации на моем маршрутизаторе RT-N66U для выборочной маршрутизации трафика через VPN. Например, только запросы Pandora будут проходить через VPN. Я нашел способ сделать это с помощью iptables:

#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY 
/sbin/route add default dev ppp0 metric 100

#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0 
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0

#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

источник: http://www.pistonheads.com/gassing/topic.asp?t=968046

Но мой вопрос заключается в том, приведут ли дополнительные накладные расходы, необходимые для маршрутизации трафика, к тому, что моя общая пропускная способность будет ниже, чем при использовании VPN для всего?

Есть ли лучшая стратегия?

2 ответа2

2

Издержки, неявные в более сложной маршрутизации, абсолютно незначительны. Это может составлять дополнительный процент, не более. С шифрованием связаны дополнительные издержки, которые, кроме того, имеют место на обоих концах VPN (en/de-cryption). Я не могу оценить общую стоимость этого решения по маршрутизации во времени, но это может быть заметно для потоковой службы, в отличие от случайного просмотра веб-страницы.

В этом свете есть еще аргументы для рассмотрения. Во-первых, принуждение вашего маршрутизатора выполнять расшифровку / дешифрование для службы потоковой передачи означает замедление работы всей локальной сети. Лучшим вариантом было бы установить на ПК то же устройство (т. Е. Оконечный туннель VPN), а затем направить все запросы Pandora через этот ПК. Таким образом, и маршрутизация, и расшифровка будут замедлять работу только компьютера, а не всей локальной сети.

Кроме того, мне не ясно, почему вы должны использовать VPN для доступа к Pandora (если, конечно, вы не живете за пределами США). VPN обычно необходимы для обеспечения конфиденциальности или для обеспечения безопасного доступа к удаленной локальной сети. Ни ваш случай. Поэтому, если вы не живете за пределами США, я бы рекомендовал избегать потоковой передачи через VPN.

Редактировать:

Если вы хотите использовать другой компьютер в качестве шлюза только для маршрутизации Pandora, сначала настройте VPN с этого компьютера. Затем на своем маршрутизаторе добавьте конкретный маршрут для Pandora через этот компьютер. Большинство современных маршрутизаторов имеют что-то вроде расширенной маршрутизации, где вы можете указывать маршруты через графический интерфейс. Это функционально эквивалентно:

   sudo route add -host 11.22.33.44 gw 192.168.0.5

если 192.168.0.5 - это IP-адрес компьютера, выступающего в роли VPN-клиента.

На 192.168.0.5 введите команду:

   sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE   

и разрешить пересылку IPv4:

   sudo sysctl -w net.ipv4.ip_forward=1

и вы сделали. Кусок пирога.

Предостережение: когда вы это сделаете, пинг Pandora с другого компьютера (т. Е. Не VPN-клиента) приведет к выводу такого типа:

  From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

Это не ошибка: просто ваш маршрутизатор сообщает вам, что более быстрый путь к Pandora - через 192.168.0.5 напрямую, без предварительного прохождения через маршрутизатор. Ничего более. Это правда, что вы могли бы сделать это, но выполнение этого на вашем маршрутизаторе означает, что один и тот же ярлык на Pandora доступен для всех устройств в вашей локальной сети. Только неприятность вышеупомянутого предупреждения, небольшая цена, чтобы заплатить, я полагаю.

0

При использовании защищенного зашифрованного VPN-туннеля возникают незначительные накладные расходы, и это будет зависеть от конкретных используемых протоколов VPN и установленного уровня шифрования. Например, в L2TP/IPSEC накладные расходы на пропускную способность с использованием AES составляют приблизительно 7,95%, а для интерактивного трафика с низкой пропускной способностью (такого как сеанс SSH) это может почти удвоить объем данных, передаваемых во время сеанса.

Если ваша единственная цель - доступ к ограниченному контенту из-за пределов США, и если уровень безопасности не имеет значения, рекомендуется использовать PPTP-соединение, поскольку оно имеет относительно низкие издержки, что делает его более быстрым, чем другие методы VPN.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .