Ich möchte Routing-Tabellen auf meinem RT-N66U-Router einrichten, um den Verkehr gezielt über ein VPN zu leiten. Beispielsweise würden nur Pandora-Anfragen über das VPN laufen. Ich habe eine Möglichkeit gefunden, dies mit iptables zu tun:
#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY
/sbin/route add default dev ppp0 metric 100
#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0
#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Quelle:http://www.pistonheads.com/gassing/topic.asp?t=968046
Meine Frage ist jedoch: Wird der zusätzliche Aufwand, der für die Weiterleitung des Datenverkehrs erforderlich ist, dazu führen, dass mein Gesamtdurchsatz geringer ist, als wenn ich für alles einfach das VPN verwenden würde?
Gibt es eine bessere Strategie?
Antwort1
Der Mehraufwand, der durch das komplexere Routing entsteht, ist absolut vernachlässigbar. Er beträgt höchstens ein Prozent mehr. Mehr Mehraufwand entsteht durch die Verschlüsselung, die zudem an beiden Enden des VPN stattfindet (Ver-/Entschlüsselung). Ich kann die zeitlichen Gesamtkosten dieser Routing-Entscheidung nicht abschätzen, aber bei einem Streaming-Dienst könnte er spürbar sein, im Gegensatz zum gelegentlichen Durchstöbern einer Webseite.
In diesem Licht gibt es noch weitere Argumente, die zu berücksichtigen sind. Erstens bedeutet es, dass Ihr gesamtes LAN langsamer wird, wenn Sie Ihren Router zwingen, die Ver- und Entschlüsselung für einen Streaming-Dienst durchzuführen. Eine bessere Wahl wäre es, dasselbe Gerät einzurichten (dh, VPN-Endtunnel) auf einem PC und leiten Sie dann alle Pandora-Anfragen über diesen PC weiter. Auf diese Weise würden sowohl das Routing als auch die Ver-/Entschlüsselung nur den PC verlangsamen, nicht das gesamte LAN.
Außerdem ist mir nicht klar, warum Sie ein VPN verwenden sollten, um auf Pandora zuzugreifen (es sei denn, Sie leben natürlich außerhalb der USA). VPNs sind normalerweise erforderlich, um die Privatsphäre zu wahren oder einen sicheren Zugriff auf ein Remote-LAN zu gewährleisten. Beides ist bei Ihnen nicht der Fall. Sofern Sie also nicht außerhalb der USA leben, würde ich vorschlagen, das Streaming über das VPN zu vermeiden.
Bearbeiten:
Wenn Sie einen anderen PC nur als Gateway für das Pandora-Routing verwenden möchten, richten Sie zuerst das VPN von diesem PC aus ein. Fügen Sie dann auf Ihrem Router eine spezielle Route für Pandora über diesen PC hinzu. Die meisten modernen Router haben so etwas wieFortgeschrittenes Routing, wo Sie Routen über eine GUI angeben können. Dies ist funktional gleichwertig mit:
sudo route add -host 11.22.33.44 gw 192.168.0.5
wenn 192.168.0.5 die IP-Adresse des PCs ist, der als VPN-Client fungiert.
Geben Sie unter 192.168.0.5 den folgenden Befehl ein:
sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE
und IPv4-Weiterleitung zulassen:
sudo sysctl -w net.ipv4.ip_forward=1
und fertig. Ein Kinderspiel.
Vorbehalt: wenn Sie das tun, pingen Sie Pandora von einem anderen PC aus (dh,nichtder VPN-Client) erzeugt eine Ausgabe dieser Art:
From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)
Das istnichtein Fehler: Ihr Router teilt Ihnen lediglich mit, dass Sie Pandora schneller direkt über 192.168.0.5 erreichen können, ohne vorher den Router zu durchlaufen. Mehr nicht. Sie könnten dies zwar tun, aber wenn Sie dies auf Ihrem Router tun, bedeutet dies, dass dieselbe Verknüpfung zu Pandora auch fürallePCs in Ihrem LAN. Die obige Warnung ist nur ein Ärgernis, aber ich glaube, der Preis dafür ist gering.
Antwort2
Bei Verwendung eines sicheren verschlüsselten VPN-Tunnels entsteht ein sehr geringer Overhead, der von den verwendeten VPN-Protokollen und der eingestellten Verschlüsselungsstufe abhängt. Beispielsweise beträgt der Bandbreiten-Overhead bei L2TP/IPSEC bei Verwendung von AES ungefähr 7,95 %, und bei interaktivem Datenverkehr mit geringer Bandbreite (wie einer SSH-Sitzung) kann dies die während der Sitzung übertragene Datenmenge fast verdoppeln.
Wenn Ihr einziger Zweck darin besteht, von außerhalb der USA auf eingeschränkte Inhalte zuzugreifen, und das Sicherheitsniveau keine Rolle spielt, wird eine PPTP-Verbindung empfohlen, da sie einen relativ geringen Overhead aufweist und daher schneller als andere VPN-Methoden ist.