选择性 VPN 路由值得吗?

tag-icon tag-icon router vpn routing iptables pandora
选择性 VPN 路由值得吗?

我想在我的 RT-N66U 路由器上设置路由表,以便有选择地通过 VPN 路由流量。例如,只有 Pandora 请求会通过 VPN。我找到了一种使用 iptables 来实现此目的的方法:

#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY 
/sbin/route add default dev ppp0 metric 100

#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0 
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0

#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

来源:http://www.pistonheads.com/gassing/topic.asp?t=968046

但我的问题是,路由流量所需的额外开销是否会导致我的整体吞吐量低于仅使用 VPN 的情况?

有没有更好的策略?

答案1

更复杂的路由所隐含的开销绝对可以忽略不计。它可能只占额外百分比,不会更多。加密涉及更多开销,此外,加密在 VPN 的两端进行(加密/解密)。我无法估计此路由决策在时间上的总体成本,但对于流媒体服务而言,与偶尔浏览网页相比,这可能是显而易见的。

从这个角度来看,还有更多理由需要考虑。首先,强制路由器为流媒体服务进行加密/解密意味着会降低整个 LAN 的速度。更好的选择是设置相同的设备(IE、VPN 端隧道)在 PC 上,然后通过该 PC 路由所有 Pandora 请求。这样,路由和加密/解密都只会减慢 PC 的速度,而不会减慢整个 LAN 的速度。

此外,我不明白为什么你应该使用 VPN 来访问 Pandora(当然,除非你居住在美国境外)。VPN 通常用于维护隐私,或保证对远程 LAN 的安全访问。你的情况也不是这样。因此,除非你居住在美国境外,否则我的建议是避免通过 VPN 进行流式传输。

编辑:

如果您希望使用另一台电脑作为 Pandora 路由的网关,请先从该电脑设置 VPN。然后,在您的路由器上,通过该电脑为 Pandora 添加特定路由。大多数现代路由器都有类似的东西高级路由,您可以通过 GUI 指定路由。这在功能上等同于:

   sudo route add -host 11.22.33.44 gw 192.168.0.5

如果 192.168.0.5 是作为 VPN 客户端的 PC 的 IP 地址。

在 192.168.0.5 上,发出命令:

   sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE

并允许 IPv4 转发:

   sudo sysctl -w net.ipv4.ip_forward=1

你就大功告成了。小菜一碟。

警告:当你这样做时,从另一台电脑 ping Pandora(IE不是VPN 客户端)将产生以下输出:

  From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

那是不是错误:这只是您的路由器告诉您,访问 Pandora 的更快方法是直接通过 192.168.0.5,而无需先通过路由器。仅此而已。您确实可以这样做,但在路由器上执行此操作意味着可以使用相同的 Pandora 快捷方式全部局域网上的 PC。我相信,上述警告只会带来麻烦,代价不大。

答案2

使用安全加密的 VPN 隧道时,开销很小,这取决于所使用的特定 VPN 协议和设置的加密级别。例如,在 L2TP/IPSEC 中,使用 AES 的带宽开销约为 7.95%,对于低带宽交互式流量(例如 SSH 会话),这几乎可以使会话期间传输的数据量增加一倍。

如果您的唯一目的是从美国境外访问受限制的内容,并且只要安全级别不重要,建议使用 PPTP 连接,因为它的开销相对较低,并且比其他 VPN 方法更快。

相关内容