RT-N66U ルーターにルーティング テーブルを設定して、トラフィックを VPN 経由で選択的にルーティングしたいと考えています。たとえば、Pandora リクエストのみが VPN 経由で送信されます。iptables を使用してこれを行う方法を見つけました。
#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY
/sbin/route add default dev ppp0 metric 100
#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0
#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
ソース:http://www.pistonheads.com/gassing/topic.asp?t=968046
しかし、私の質問は、トラフィックをルーティングするために必要な追加のオーバーヘッドにより、すべての処理に VPN を使用する場合よりも全体的なスループットが低下するのではないかということです。
もっと良い戦略はあるでしょうか?
答え1
より複雑なルーティングに伴うオーバーヘッドは、まったく無視できるほどです。1 パーセント程度の追加コストがかかる程度でしょう。さらに、VPN の両端で暗号化 (暗号化/復号化) が行われるため、暗号化にはさらにオーバーヘッドがかかります。このルーティング決定にかかる時間的な全体的なコストを見積もることはできませんが、時折 Web ページを閲覧する場合と比べると、ストリーミング サービスの場合はコストが顕著になる可能性があります。
この観点から、考慮すべき議論がさらにあります。まず、ルーターにストリーミングサービスの暗号化/復号化を強制すると、LAN全体の速度が低下します。より良い選択は、同じ装置をセットアップすることです(つまりPC に VPN エンド トンネルを設置し、すべての Pandora リクエストをその PC 経由でルーティングします。この方法では、ルーティングと暗号化/復号化の両方によって PC のみが遅くなり、LAN 全体の速度は遅くなりません。
また、Pandora にアクセスするために VPN を使用する理由も私にはわかりません (もちろん、米国外に住んでいる場合は別です)。VPN は通常、プライバシーを維持するため、またはリモート LAN への安全なアクセスを保証するために必要です。あなたの場合はそうではありません。したがって、米国外に住んでいる場合を除き、VPN 経由のストリーミングは避けることをお勧めします。
編集:
別のPCをPandoraルーティング専用のゲートウェイとして使用したい場合は、まずそのPCからVPNを設定します。次に、ルーターでそのPCを経由するPandoraの特定のルートを追加します。最近のルーターのほとんどには次のようなものがあります。高度なルーティングでは、GUI を通じてルートを指定できます。これは機能的には次のものと同等です。
sudo route add -host 11.22.33.44 gw 192.168.0.5
192.168.0.5 が VPN クライアントとして動作する PC の IP アドレスである場合。
192.168.0.5 で次のコマンドを発行します。
sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE
IPv4転送を許可します:
sudo sysctl -w net.ipv4.ip_forward=1
これで完了です。簡単です。
警告: そうすると、別のPCからPandoraにpingが送信されます(つまり、ないVPN クライアントの場合、次のような出力が生成されます。
From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)
それはないエラー: これは、ルーターを経由せずに192.168.0.5経由で直接Pandoraにアクセスする方が速いとルーターが通知しているだけです。それ以上のものではありません。確かにこれを行うことは可能ですが、ルーターでこれを行うと、Pandoraへの同じショートカットが利用可能になります。全てLAN 上の PC。上記の警告は迷惑なだけであり、支払う代償は小さいと私は思います。
答え2
安全な暗号化 VPN トンネルを使用する場合、ごくわずかなオーバーヘッドが発生しますが、これは使用される特定の VPN プロトコルと設定されている暗号化レベルによって異なります。たとえば、L2TP/IPSEC では、AES を使用した場合の帯域幅オーバーヘッドは約 7.95% であり、低帯域幅のインタラクティブ トラフィック (SSH セッションなど) の場合、セッション中に送信されるデータ量がほぼ 2 倍になる可能性があります。
米国外から制限されたコンテンツにアクセスすることが唯一の目的で、セキュリティ レベルが問題にならない場合は、オーバーヘッドが比較的低く、他の VPN 方法よりも高速な PPTP 接続が推奨されます。