Я хочу настроить таблицы маршрутизации на моем маршрутизаторе RT-N66U для выборочной маршрутизации трафика через VPN. Например, только запросы Pandora будут проходить через VPN. Я нашел способ сделать это с помощью iptables:
#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY
/sbin/route add default dev ppp0 metric 100
#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0
#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
источник:http://www.pistonheads.com/gassing/topic.asp?t=968046
Но у меня вопрос: не приведут ли дополнительные накладные расходы, необходимые для маршрутизации трафика, к снижению общей пропускной способности по сравнению с использованием только VPN для всех целей?
Есть ли лучшая стратегия?
решение1
Накладные расходы, подразумеваемые в более сложной маршрутизации, абсолютно незначительны. Они могут составлять дополнительный процент, не больше. Больше накладных расходов связано с шифрованием, которое, кроме того, происходит на обоих концах VPN (шифрование/расшифровка). Я не могу оценить общую стоимость, по времени, этого решения по маршрутизации, но это может быть заметно для потокового сервиса, в отличие от случайного просмотра веб-страниц.
В этом свете есть еще аргументы для рассмотрения. Во-первых, заставить маршрутизатор выполнять en/de-шифрование для потокового сервиса означает замедлить всю вашу локальную сеть. Лучшим выбором было бы настроить тот же аппарат (то есть, VPN end tunnel), на ПК, а затем маршрутизировать все запросы Pandora через этот ПК. Таким образом, и маршрутизация, и en/de-cryption замедлят только ПК, а не всю локальную сеть.
Кроме того, мне не ясно, почему вы хотите использовать VPN для доступа к Pandora (если, конечно, вы не живете за пределами США). VPN обычно нужны для сохранения конфиденциальности или для гарантии безопасного доступа к удаленной локальной сети. Ни то, ни другое не ваш случай. Поэтому, если вы не живете за пределами США, я бы посоветовал избегать потоковой передачи через VPN.
Редактировать:
Если вы хотите использовать другой ПК в качестве шлюза только для маршрутизации Pandora, сначала настройте VPN с этого ПК. Затем на своем маршрутизаторе добавьте определенный маршрут для Pandora через этот ПК. Большинство современных маршрутизаторов будут иметь что-то вродеРасширенная маршрутизация, где вы можете указать маршруты через GUI. Это функционально эквивалентно:
sudo route add -host 11.22.33.44 gw 192.168.0.5
если 192.168.0.5 — это IP-адрес ПК, выступающего в качестве VPN-клиента.
На 192.168.0.5 введите команду:
sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE
и разрешите переадресацию IPv4:
sudo sysctl -w net.ipv4.ip_forward=1
и все готово. Проще простого.
Предостережение: когда вы это сделаете, пингуйте Pandora с другого ПК (то есть,нетVPN-клиент) выдаст следующий вывод:
From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)
Этонетошибка: это просто ваш маршрутизатор сообщает вам, что более быстрый способ доступа к Pandora — напрямую через 192.168.0.5, без предварительного прохождения через маршрутизатор. Ничего больше. Это правда, что вы могли бы это сделать, но выполнение этого на вашем маршрутизаторе означает, что тот же ярлык для Pandora доступен длявсеПК в вашей локальной сети. Единственная неприятность, указанное выше предупреждение, небольшая цена, я считаю.
решение2
При использовании защищенного зашифрованного VPN-туннеля есть очень небольшие накладные расходы, и они будут зависеть от конкретных используемых VPN-протоколов и установленного уровня шифрования. Например, в L2TP/IPSEC накладные расходы на полосу пропускания при использовании AES составляют приблизительно 7,95%, а для интерактивного трафика с низкой полосой пропускания (например, сеанса SSH) это может почти удвоить объем данных, передаваемых во время сеанса.
Если вашей единственной целью является доступ к ограниченному контенту из-за пределов США и уровень безопасности не имеет значения, рекомендуется использовать соединение PPTP, поскольку оно имеет относительно низкие накладные расходы и поэтому работает быстрее других методов VPN.