Quero configurar tabelas de roteamento em meu roteador RT-N66U para rotear seletivamente o tráfego por meio de uma VPN. Por exemplo, apenas as solicitações Pandora passariam pela VPN. Eu encontrei uma maneira de fazer isso com o iptables:
#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY
/sbin/route add default dev ppp0 metric 100
#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0
#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
fonte:http://www.pistonheads.com/gassing/topic.asp?t=968046
Mas minha pergunta é: a sobrecarga extra necessária para rotear o tráfego fará com que meu rendimento geral seja menor do que seria usando apenas a VPN para tudo?
Existe uma estratégia melhor?
Responder1
A sobrecarga implícita no roteamento mais complexo é absolutamente insignificante. Pode equivaler a um percentual extra, não mais. Há mais sobrecarga envolvida na criptografia, que também ocorre em ambas as extremidades da VPN (en/descriptografia). Não posso estimar o custo total, em termos de tempo, desta decisão de roteamento, mas pode ser perceptível para um serviço de streaming, em oposição à leitura ocasional de páginas da Web.
Sob esta luz, há mais argumentos a considerar. Primeiro, forçar seu roteador a fazer a criptografia/descriptografia para um serviço de streaming significa desacelerar toda a sua LAN. Uma escolha melhor seria configurar o mesmo aparelho (ou seja, túnel final da VPN), em um PC e, em seguida, roteie todas as solicitações do Pandora por meio desse PC. Dessa forma, tanto o roteamento quanto a criptografia/descriptografia tornariam apenas o PC lento, e não toda a LAN.
Além disso, não está claro para mim por que você deseja usar uma VPN para acessar o Pandora (a menos, é claro, que você more fora dos EUA). Geralmente, as VPNs são necessárias para manter a privacidade ou para garantir acesso seguro a uma LAN remota. Nem é o seu caso. Portanto, a menos que você more fora dos EUA, minha sugestão seria evitar o streaming através da VPN.
Editar:
Se você deseja usar outro computador como gateway apenas para roteamento Pandora, primeiro configure a VPN desse computador. Em seguida, no seu roteador, adicione uma rota específica para o Pandora através desse pc. A maioria dos roteadores modernos terá algo comoRoteamento avançado, onde você pode especificar rotas por meio de uma GUI. Isso é funcionalmente equivalente a:
sudo route add -host 11.22.33.44 gw 192.168.0.5
se 192.168.0.5 for o endereço IP do pc que atua como cliente VPN.
Em 192.168.0.5, emita o comando:
sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE
e permitir o encaminhamento IPv4:
sudo sysctl -w net.ipv4.ip_forward=1
e você terminou. Pedaco de bolo.
Embargo: quando você faz isso, executa ping no Pandora de outro PC (ou seja,nãoo cliente VPN), produzirá uma saída deste tipo:
From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)
Isso énãoum erro: é apenas o seu roteador informando que uma maneira mais rápida de acessar o Pandora é via 192.168.0.5 diretamente, sem passar primeiro pelo roteador. Nada mais. É verdade que você poderia fazer isso, mas fazê-lo no seu roteador significa que o mesmo atalho para o Pandora estará disponível paratodosPCs na sua LAN. Só incomoda o aviso acima, pouco preço a pagar, acredito.
Responder2
Há uma sobrecarga muito pequena ao usar um túnel VPN criptografado seguro e isso dependeria dos protocolos VPN específicos usados e do nível de criptografia definido. Por exemplo, em L2TP/IPSEC, a sobrecarga de largura de banda usando AES é de aproximadamente 7,95% e para tráfego interativo de baixa largura de banda (como uma sessão SSH) isso poderia quase dobrar a quantidade de dados transmitidos durante a sessão.
Se o seu único objetivo é acessar conteúdos restritos de fora dos EUA e desde que o nível de segurança não importe, a conexão PPTP é recomendada, pois tem sobrecarga relativamente baixa e isso a torna mais rápida que outros métodos VPN.