Lohnt sich ein selektives VPN-Routing?

1

Ich möchte Routingtabellen auf meinem RT-N66U-Router einrichten, um den Datenverkehr selektiv über ein VPN weiterzuleiten. Zum Beispiel würden nur Pandora-Anfragen über das VPN gehen. Ich habe einen Weg gefunden, dies mit iptables zu tun:

#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY 
/sbin/route add default dev ppp0 metric 100

#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0 
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0

#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Quelle: http://www.pistonheads.com/gassing/topic.asp?t=968046

Aber meine Frage ist, ob der zusätzliche Overhead, der für die Weiterleitung des Datenverkehrs erforderlich ist, dazu führt, dass mein Gesamtdurchsatz niedriger ist als bei der Verwendung des VPN für alles?

Gibt es eine bessere Strategie?

Mike McKay
quelle
Ich möchte den obigen Ansatz befolgen. Wo soll ich den Text "ip tables" hinzufügen, damit er funktioniert?
andrecarlucci

Antworten:

2

Der mit dem komplexeren Routing verbundene Overhead ist absolut vernachlässigbar. Es kann sich um einen zusätzlichen Prozentsatz handeln, nicht mehr. Die Verschlüsselung ist mit einem höheren Aufwand verbunden, der außerdem an beiden Enden des VPN stattfindet (En / De-Verschlüsselung). Ich kann die Gesamtkosten dieser Weiterleitungsentscheidung zeitlich nicht abschätzen, aber es kann für einen Streaming-Dienst im Gegensatz zum gelegentlichen Durchlesen von Webseiten auffallen.

In diesem Zusammenhang sind weitere Argumente zu berücksichtigen. Erstens bedeutet das Erzwingen der En / De-Verschlüsselung für einen Streaming-Dienst, dass das gesamte LAN verlangsamt wird. Eine bessere Wahl wäre, dasselbe Gerät einzurichten ( d.h. , VPN-Endtunnel) auf einem PC und leiten Sie dann alle Pandora-Anforderungen über diesen PC weiter. Auf diese Weise würde sowohl das Routing als auch die En / De-Verschlüsselung nur den PC und nicht das gesamte LAN verlangsamen.

Außerdem ist mir nicht klar, warum Sie ein VPN für den Zugriff auf Pandora verwenden möchten (es sei denn, Sie wohnen außerhalb der USA). VPNs werden normalerweise benötigt, um den Datenschutz aufrechtzuerhalten oder um einen sicheren Zugriff auf ein Remote-LAN zu gewährleisten. Weder ist Ihr Fall. Wenn Sie also nicht außerhalb der USA wohnen, ist mein Vorschlag, das Streamen über das VPN zu vermeiden.

Bearbeiten:

Wenn Sie einen anderen PC nur für Pandora-Routing als Gateway verwenden möchten, richten Sie zuerst das VPN von diesem PC aus ein. Fügen Sie dann auf Ihrem Router eine bestimmte Route für Pandora durch diesen PC hinzu. Die meisten modernen Router werden so etwas haben Fortgeschrittenes Routing , wo Sie Routen über eine GUI angeben können. Dies ist funktional äquivalent zu:

   sudo route add -host 11.22.33.44 gw 192.168.0.5

Wenn 192.168.0.5 die IP-Adresse des PCs ist, der als VPN-Client fungiert.

Geben Sie unter 192.168.0.5 den folgenden Befehl ein:

   sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE   

und IPv4-Weiterleitung zulassen:

   sudo sysctl -w net.ipv4.ip_forward=1

und du bist fertig. Stück Kuchen.

Vorbehalt : wenn Sie das tun, pingen Pandora von einem anderen PC ( d.h. , nicht Der VPN-Client erzeugt eine Ausgabe dieser Art:

  From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

Das ist nicht Ein Fehler: Ihr Router teilt Ihnen lediglich mit, dass Sie Pandora schneller über 192.168.0.5 direkt erreichen können, ohne zuvor den Router zu passieren. Nichts mehr. Sie können dies zwar tun, aber wenn Sie dies auf Ihrem Router tun, steht Ihnen dieselbe Verknüpfung zu Pandora zur Verfügung alles PCs in Ihrem LAN. Einziges Ärgernis die obige Warnung, wenig Preis zu zahlen, glaube ich.

MariusMatutiae
quelle
Danke das ist sehr hilfreich. Ich bin außerhalb der USA. Ich könnte leicht einen OpenVPN-Client auf einer anderen Box mit Ersatz-CPU einrichten. Wie würde ich dann Pandora-Anfragen vom Router an diese Box weiterleiten? Ich denke, das Gateway wird nur die IP-Adresse des VPN-Rechners.
Mike McKay
1
@ MikeMcKay Siehe meine Bearbeitung für die Antwort.
MariusMatutiae
0

Bei der Verwendung eines sicheren verschlüsselten VPN-Tunnels entsteht ein sehr geringer Aufwand, der von den verwendeten spezifischen VPN-Protokollen und der eingestellten Verschlüsselungsstufe abhängt. In L2TP / IPSEC beträgt der Bandbreiten-Overhead bei Verwendung von AES beispielsweise ungefähr 7,95%, und bei interaktivem Verkehr mit geringer Bandbreite (z. B. einer SSH-Sitzung) könnte dies die während der Sitzung übertragene Datenmenge fast verdoppeln.

Wenn Ihr einziger Zweck darin besteht, von außerhalb der USA auf die eingeschränkten Inhalte zuzugreifen und die Sicherheitsstufe keine Rolle spielt, wird eine PPTP-Verbindung empfohlen, da sie einen relativ geringen Overhead hat und dadurch schneller als andere VPN-Methoden ist.

Rose Ab
quelle