Quiero configurar tablas de enrutamiento en mi enrutador RT-N66U para enrutar el tráfico de forma selectiva a través de una VPN. Por ejemplo, sólo las solicitudes de Pandora pasarían a través de la VPN. Encontré una manera de hacer esto con iptables:
#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY
/sbin/route add default dev ppp0 metric 100
#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0
#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
fuente:http://www.pistonheads.com/gassing/topic.asp?t=968046
Pero mi pregunta es: ¿la sobrecarga adicional requerida para enrutar el tráfico hará que mi rendimiento general sea menor de lo que sería si simplemente usara la VPN para todo?
¿Existe una mejor estrategia?
Respuesta1
La sobrecarga implícita en el enrutamiento más complejo es absolutamente insignificante. Puede suponer un porcentaje extra, no más. Hay más gastos generales involucrados en el cifrado, que además tiene lugar en ambos extremos de la VPN (en/descifrado). No puedo estimar el costo total, en términos de tiempo, de esta decisión de enrutamiento, pero podría ser notable para un servicio de transmisión por secuencias, a diferencia de la lectura ocasional de una página web.
En este sentido, hay más argumentos a considerar. En primer lugar, obligar a su enrutador a realizar el cifrado/descifrado de un servicio de transmisión significa ralentizar toda su LAN. Una mejor opción sería configurar el mismo aparato (es decir, túnel final VPN), en una PC y luego enrute todas las solicitudes de Pandora a través de esa PC. De esta manera, tanto el enrutamiento como el cifrado/descifrado ralentizarían sólo la PC, no toda la LAN.
Además, no me queda claro por qué debería desear utilizar una VPN para acceder a Pandora (a menos, por supuesto, que viva fuera de los EE. UU.). Las VPN suelen ser necesarias para mantener la privacidad o para garantizar un acceso seguro a una LAN remota. Tu caso tampoco. Entonces, a menos que vivas fuera de los EE. UU., mi sugerencia sería evitar la transmisión a través de la VPN.
Editar:
Si desea utilizar otra computadora como puerta de enlace solo para el enrutamiento de Pandora, primero configure la VPN desde esa computadora. Luego, en tu enrutador, agrega una ruta específica para Pandora a través de esa computadora. La mayoría de los enrutadores modernos tendrán algo comoCamino avanzado, donde puede especificar rutas a través de una GUI. Esto es funcionalmente equivalente a:
sudo route add -host 11.22.33.44 gw 192.168.0.5
si 192.168.0.5 es la dirección IP de la PC que actúa como cliente VPN.
En 192.168.0.5, emita el comando:
sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE
y permitir el reenvío IPv4:
sudo sysctl -w net.ipv4.ip_forward=1
y ya está. Pedazo de pastel.
Advertencia: cuando haces eso, hacer ping a Pandora desde otra PC (es decir,noel cliente VPN), producirá una salida de este tipo:
From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)
Eso esnoun error: es sólo su enrutador que le dice que una forma más rápida de llegar a Pandora es a través de 192.168.0.5 directamente, sin pasar primero por el enrutador. Nada mas. Es cierto que podrías hacer esto, pero hacerlo en tu enrutador significa que el mismo acceso directo a Pandora está disponible paratodoPC en su LAN. Sólo una molestia la advertencia anterior, creo que es poco el precio a pagar.
Respuesta2
Hay una sobrecarga muy ligera cuando se utiliza un túnel VPN cifrado seguro y dependerá de los protocolos VPN específicos utilizados y del nivel de cifrado establecido. Por ejemplo, en L2TP/IPSEC, la sobrecarga de ancho de banda usando AES es aproximadamente del 7,95% y para tráfico interactivo de bajo ancho de banda (como una sesión SSH) esto podría casi duplicar la cantidad de datos transmitidos durante la sesión.
Si su único propósito es acceder a contenidos restringidos desde fuera de los EE. UU. y siempre que el nivel de seguridad no importe, se recomienda la conexión PPTP ya que tiene una sobrecarga relativamente baja y esto la hace más rápida que otros métodos VPN.