我正在考虑购买一个 VPN 路由器并将其连接到我的 VPN 包(PPTP、L2TP、SSTP),这样我的所有互联网都可以自动流过它。
我目前在中国,这里 VPN 受到严格限制,因此经常断开连接。
如果路由器中的 VPN 断开连接,这会影响或停止我的互联网连接吗?或者一些/所有 VPN 路由器是否会自动通过正常通道引导流量,或者这仅仅是路由器特有的?
答案1
这里有两件事需要解决:
- (您提出的问题):如果 VPN 断开连接,它会将流量重定向到不受保护的互联网(故障转移)吗?
答案:这是路由器特有的,而且很常见。更好的路由器将为您提供更好的控制。
- (您可能需要考虑):您使用 VPN 是有原因的。
如果你的 VPN 连接中断,路由器自动切换到不受保护的互联网,你的系统将自动地发送您可能不想发送的数据。它甚至可能在您不知情的情况下这样做。
答案2
答案取决于路由器和协议。你正在考虑的协议可能不太合适,因为 PPTP 和 L2TP 都依赖于 PPP,而 PPP 已经存在问题,SSTP 似乎需要端口 443 TCP - 如果你通过它发送大量数据,那么这会成为你的攻击目标。
您应该查看 OpenVPN(它是开源的,在与 *Wrt 配合使用的路由器中受支持,并且可以在大量配置中进行配置)。将其配置为使用 UDP 将有利于您的性能,并且不通过端口 443 也很有用。此外,根据您的复杂程度和对远程点的控制,您可能能够将其设置为如果一个连接失败,第二个连接将自动路由流量 - 在这种情况下,您会注意到在自动重新路由之前会暂停(例如 15 秒)。
使用各种模式的 OpenVPN 也可以降低连接断开的可能性 - 尽管找到实现此目的的最佳方法需要反复试验,或者询问中国了解相关知识的人。我怀疑目前发生的情况是 VPN 服务器的 IP 地址被阻止,或者 - 如果您使用的是使用 TCP 端口 443 的设备,不同的路由器会处理有效负载的不同部分,这可能会导致不稳定。使用已建立的 VPN 或 Tor 连接来购买低端设备并运行自己的 VPN 服务器可能是一个好主意 - 在这种情况下,IP 地址被列入黑名单的可能性较小。
根据@Joshfindit 的回答,您可以将 VPN 配置为禁止流量或静默失败。如果您将其设置为静默失败,许多网页将继续工作,但是,如果网页根据您的 IP 地址跟踪您(很多网站都这样做,这可以防止一类攻击),那么您将需要再次登录,因为您的 IP 地址会发生变化。
关键是,VPN 有时会出现故障,但用户却不知道它已故障 - 在此期间,互联网将冻结。对此,您几乎无能为力 - 尽管您可以配置路由器检查其是否正常运行的频率,并将此停机时间缩短至几秒钟。
答案3
大多数路由器不支持 SSTP。只有 MikroTik 支持 SSTP,但我们建议您购买 DD-WRT,这样您就可以更好地控制路由器。
当 VPN 掉线时,您的所有流量都将通过您的正常 ISP 传输。如果您想防止这种情况发生,那么您可以在管理 > 命令下使用一些脚本,如果 VPN 掉线,该脚本将停止您的所有互联网活动。您将能够使用 DD-WRT 配置 PPTP、L2TP、OpenVPN UDP 和 TCP
答案4
如果您的 VPN 连接失败,您的内核可能会在没有 VPN 的情况下恢复路由表,从而通过未加密的接口以明文形式转发您的流量。
由于您面对的是一位技术娴熟、实力强大的对手,我能推荐的最佳解决方案确实是 OpenVPN,尽管原因与其他回答您的 OP 的人不同。
以下是我的理由:
OpenVPN 为您提供最新的加密功能。特别是,它能满足您的一些绝对需要,IE它向你的服务器验证你的身份,并向你的服务器验证你的身份。换句话说,它可以防止中间人冒充你的服务器来拦截你的流量;
它提供了一种简单的机制,可以在断开连接时自动重新连接,如果几秒钟后还没有收到来自服务器的 ping 消息,
ping-restart n
则会重新启动连接(必须在客户端和服务器上使用);n
ping m
它允许您设置路由表外部该程序,这样,即使程序崩溃,您的通信也不会通过明文通道重新路由(但您将完全无法连接);这可以通过指令完成
route-noexec
;最后,您可以设置防火墙以阻止任何通过明文接口进行的通信。有关如何执行此操作的示例(适用于 Linux),请参见这里。这个例子是由于我的无知(我是一个*Nix 人,抱歉),我相信它也可以在 Windows 中完成,我只是不能给你指出一个合适的参考。但重要的一点是,通过熟练使用防火墙,你可以阻止所有通过明文接口的流量,同时允许所有通过加密接口的流量。
一个实用的建议:通过 VPS 来实现这一点,您只需花费 3 美元/月就可以租一个,我有一个无限流量的 VPS。