選擇性 VPN 路由值得嗎?

tag-icon tag-icon router vpn routing iptables pandora
選擇性 VPN 路由值得嗎?

我想在 RT-N66U 路由器上設定路由表,以選擇性地透過 VPN 路由流量。例如,只有 Pandora 請求才會透過 VPN 進行。我找到了一種使用 iptables 來做到這一點的方法:

#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY 
/sbin/route add default dev ppp0 metric 100

#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0 
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0

#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

來源:http://www.pistonheads.com/gassing/topic.asp?t=968046

但我的問題是,路由流量所需的額外開銷是否會導致我的整體吞吐量低於僅使用 VPN 的吞吐量?

有更好的策略嗎?

答案1

更複雜的路由中隱含的開銷絕對可以忽略不計。它可能相當於額外的百分比,僅此而已。加密涉及更多開銷,而且加密也發生在 VPN 兩端(加密/解密)。我無法估計此路由決策的總時間成本,但對於串流媒體服務而言,這可能會很明顯,而不是偶爾瀏覽網頁。

從這個角度來看,還有更多的論點需要考慮。首先,強制路由器對串流媒體服務進行加密/解密意味著減慢整個 LAN 的速度。更好的選擇是設定相同的設備(IE、VPN 結束隧道),在 PC 上,然後透過該 PC 路由所有 Pandora 請求。這樣,路由和加密/解密只會減慢電腦的速度,而不是整個區域網路的速度。

另外,我不清楚為什麼您應該希望使用 VPN 來造訪 Pandora(當然,除非您居住在美國境外)。通常需要 VPN 來維護隱私或保證對遠端 LAN 的安全存取。你的情況也不是。因此,除非您居住在美國境外,否則我的建議是避免透過 VPN 進行串流播放。

編輯:

如果您希望使用另一台電腦作為僅用於 Pandora 路由的網關,請先從該電腦設定 VPN。然後,在您的路由器上,透過該電腦新增潘朵拉的特定路由。大多數現代路由器都會有類似的東西進階路由,您可以在其中透過 GUI 指定路由。這在功能上相當於:

   sudo route add -host 11.22.33.44 gw 192.168.0.5

如果192.168.0.5是作為VPN客戶端的PC的IP位址。

在 192.168.0.5 上,發出命令:

   sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE

並允許 IPv4 轉送:

   sudo sysctl -w net.ipv4.ip_forward=1

你就完成了。小菜一碟。

警告:當您這樣做時,從另一台電腦 ping Pandora(IE,不是VPN 用戶端),將產生此類輸出:

  From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

那是不是錯誤:這只是您的路由器告訴您到達 Pandora 的更快方式是直接通過 192.168.0.5,而無需先經過路由器。而已。您確實可以執行此操作,但在路由器上執行此操作意味著可以使用相同的 Pandora 快捷方式全部LAN 上的電腦。我相信,上述警告只是滋擾,付出的代價很小。

答案2

使用安全加密 VPN 隧道時會產生非常小的開銷,這取決於所使用的特定 VPN 協定和設定的加密等級。例如,在 L2TP/IPSEC 中,使用 AES 的頻寬開銷約為 7.95%,對於低頻寬互動流量(例如 SSH 會話),這幾乎會使會話期間傳輸的資料量增加一倍。

如果您的唯一目的是從美國境外訪問受限制的內容,並且只要安全級別不重要,則建議使用 PPTP 連接,因為它的開銷相對較低,並且比其他 VPN 方法更快。

相關內容