Pesquisei nos fóruns, mas como networking não é minha área de especialização, não sei se isso foi respondido explicitamente, então espero que não seja uma duplicata.
Atualmente tenho um roteador TL-WR841N configurado com um endereço IP dinâmico WAN fornecido pelo meu provedor de VPN. Atualmente, o IP que configurei no meu roteador é aquele que permite streaming do Netflix. No entanto, isso impede que o Amazon Prime Video funcione.
Anteriormente, entrei em contato com a TP-Link e perguntei se havia uma maneira de permitir que determinados dispositivos contornassem a VPN e, em vez disso, usassem meu endereço IP real para acessar conteúdo de streaming. Especificamente, eu queria dizer ao roteador que todos os meus dispositivos, exceto consoles de jogos, deveriam se conectar por meio da VPN. Disseram-me que isso não é possível. Então, pesquisei um pouco e um amigo mencionou algo sobre roteamento estático, que meu roteador é perfeitamente capaz de fazer.
Pelo que entendi, o roteamento estático permitiria que os endereços IP de destino contornassem a VPN e, se for esse o caso, funcionaria na minha situação, pois só quero poder acessar todas as mídias de streaming enquanto minha VPN estiver ativada. O roteamento estático é o que eu preciso? A Amazon publica uma lista de seus intervalos de IP, mas há mais de 1.000 deles. Se o roteamento estático for realmente a resposta, preciso adicionar um caso para todos os IPs publicados? Ou existe uma maneira melhor de conseguir o que preciso?
Responder1
O TL-WR841 é apenas um computador Linux com uma UI fornecida pela TP-Link.
Se você usar uma VPN nele, ele terá duas interfaces de rede (uma para a VPN e outra para a WAN do seu ISP). O Linux possui regras de roteamento que podem decidir qual interface usar de acordo com o endereço IP de destino (o que você chama de "roteamento estático"). Linux também tem algo chamadoroteamento de políticaonde você pode rotear com base no endereço de origem.
Portanto, se você configurar seu roteador para atribuir sempre o mesmo endereço IP a todos os seus dispositivos via DHCP (às vezes chamado de "DHCP estático"), poderá usar o endereço IP para identificar o dispositivo e rotear de acordo.
Agora a questão é como configurar isso. Se o TP-Link disser que você não pode rotear por dispositivo, eles provavelmente não possuem uma UI para roteamento de política. Se você tiver uma interface do usuário para "rotas estáticas", é claro que poderá rotear por destino.
Uma alternativa é atualizar novamente seu roteador com um firmware diferente, por exemplo, OpenWRT. Você tem que ter um pouco de cuidado, o TL-WR841N é baseado em hardware muito diferente dependendo da versão, e para alguns tipos (principalmente hardware mais antigo) ele funciona, para alguns elenão.
Depois de ter acesso total ao dispositivo, você pode configurar tudo o que quiser, incluindo política de roteamento por endereço de origem. Você precisará estar confortável com a linha de comando do Linux para fazer isso.
Existem outras variantes de firmware como DD-WRT (baseado em OpenWRT, mesmas restrições de hardware) com uma interface de usuário mais amigável.Aquié a página wiki do DD-WRT para roteamento de políticas. Se bem entendi, ele tem algum suporte de UI, mas você ainda pode precisar de scripts para a VPN (mas não fiz isso no DD-WRT, então minha interpretação pode estar errada).
É possível atualizar seu roteador para o firmware original do TP-Link (baixe ou salve-o antes de atualizar pela primeira vez), para que você possa experimentar.
Editar
Para roteamento estático: não sei como é a interface do usuário do TP-Link, mas, em geral, você precisa de uma coleção de endereços IP de destino, por exemplo, todos os endereços IP relacionados ao Amazon Prime Video (vários servidores podem estar envolvidos nisso, e eles podem balancear a carga usando vários endereços IP). Esses podem ser endereços únicos; nesse caso, você precisará de uma máscara de rede de /32 respectivamente. 255.255.255.255. Ou podem ser intervalos de IP completos, por exemplo, o intervalo de IP público da Amazon, caso em que você pode agrupá-los com uma máscara de rede diferente.
O gateway (próximo salto) será o gateway para a conexão pela qual você deseja rotear, seja WAN ou VPN. Consultar as interfaces deve fornecer o gateway. O gateway pode mudar tanto para WAN quanto para VPN quando a conexão é configurada, portanto pode ser difícil atribuí-lo estaticamente.
Responder2
O artigo a seguir apresenta um procedimento detalhado para atingir seu objetivo usando o firmware padrão:
Como colocar seu PS3 ou PS4 em uma DMZ.
Eu resumo abaixo:
Dê ao console um endereço IP estático emConfigurações > Configurações de rede. Este endereço deve estar no intervalo da sua rede local, talvez como
192.168.0.X, mas certifique-se de que não esteja dentro do intervalo de endereços DHCP.Faça login no seu roteador como administrador e procure uma opção chamada
DMZ. Como endereço IP do seu DMZ, insira o endereço IP que você forneceu ao seu console anteriormente.No console, novamente em Configurações de rede, selecioneTeste de conexão com a Internet.
Se for bem-sucedido, seu tipo de NAT poderá ser '2'.
Isso deve conectar seu console diretamente à Internet, ignorando a VPN. Seu sucesso depende também de como o seu roteador lida com VPN e DMZ especificados ao mesmo tempo.
Para mais detalhes, consulte o artigo acima.
Responder3
Este é um conjunto não ordenado de respostas:
O problema que estou tendo é que ele permite roteamento estático. Só não sei como configurar isso corretamente (por exemplo, qual é o IP de destino, qual é a máscara de sub-rede e os gateways?).
Dentro de uma rota, o IP + máscara de destino (ou IP/comprimento do prefixo) define o que você deseja alcançar, um endereço específico ou um intervalo. O gateway definecomovocê o alcançará, ou seja, o "próximo salto" para o qual passar o pacote.
Seu roteador terá uma página em algum lugar mostrando todosativorotas (estáticas e dinâmicas). Entre elas você verá uma rota para 0.0.0.0/0 (máscara 0.0.0.0), também conhecida como rota "padrão" porque corresponde a qualquer endereço. Essa é a rota que seu roteador normalmente usa para acesso à Internet, e seu gateway/nexthop será algum endereço de roteador pertencente ao seu ISP.
Iniciar uma conexão VPN adicionará mais rotas – quando a VPN for destinada ao acesso à Internet, ela adicionará umsegundo0.0.0.0/0, mas desta vez com um endereço de servidor VPN como gateway (ou nenhum endereço, apenas um nome de interface).
Se o mesmo pacote corresponder a múltiplas rotas, a rota com o prefixo mais longo (ou com mais bits '1' na máscara de rede) terá a prioridade mais alta. (Por exemplo, uma rota máscara=255.255.255.0 terá prioridade sobre uma rota máscara=0.0.0.0.) Se houver múltiplas rotas com destino+máscara idênticos, a prioridade será definida usando o parâmetro "metric".
Portanto, enquanto a VPN estiver ativa, você terá duas rotas 'padrão' para 0.0.0.0/0, mas a rota VPN terá prioridade mais alta (métrica mais baixa), de modo que todo o acesso à Internet passará pela VPN. Para substituí-lo por um destino específico, você adicionaria uma nova rota a esse destino, copiando os parâmetros do gateway da rota padrão principal do seu ISP.
Especificamente, eu queria dizer ao roteador que todos os meus dispositivos, exceto consoles de jogos, deveriam se conectar por meio da VPN. Disseram-me que isso não é possível.
Na verdade, é impossível com o roteamento IPv4 regular.
(Embora no Linux sejaseriapossível com o roteamento IPv6 regular, já que as rotas IPv6 também podem corresponder na origem e não apenas no destino. Infelizmente isso não está implementado para IPv4 e, de qualquer forma, você não o encontrará nas telas de configuração do TP-Link.)
No entanto, é possível com o recurso "roteamento de política" mencionado por @dirkt. O roteamento de política insere uma etapa adicionalantesroteamento regular – permite criar várias tabelas de roteamento independentes e definir regras quando usar qual tabela.
Por exemplo, vocêpoderiadefina que os pacotes do seu console de jogos usarão a tabela 1 (com a rota padrão do ISP regular) e os pacotes de outros dispositivos usarão a tabela 2 (com a rota padrão da VPN).
A Amazon publica uma lista de seus intervalos de IP, mas há mais de 1.000 deles. Se o roteamento estático for realmente a resposta, preciso adicionar um caso para todos os IPs publicados?
Com o roteamento padrão, sim, você precisaria listar todos os destinos.
O roteamento de políticas muda a situação, pois permite que o dispositivo tome decisões de roteamento com base em outros parâmetros, como endereço de origem ou protocolo/porta em uso.