O roteamento VPN seletivo vale a pena?

1

Desejo configurar tabelas de roteamento no meu roteador RT-N66U para rotear o tráfego seletivamente por meio de uma VPN. Por exemplo, apenas pedidos de Pandora passariam pela VPN. Eu encontrei uma maneira de fazer isso com o iptables:

#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY 
/sbin/route add default dev ppp0 metric 100

#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0 
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0

#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

fonte: link

Mas a minha pergunta é: será que a sobrecarga extra necessária para rotear o tráfego fará com que minha taxa de transferência geral seja menor do que seria usando apenas a VPN para tudo?

Existe uma estratégia melhor?

    
por Mike McKay 28.01.2014 / 09:02

2 respostas

2

A sobrecarga implícita no roteamento mais complexo é absolutamente insignificante. Pode chegar a um percentual extra, não mais. Há mais sobrecarga envolvida na criptografia, que também está ocorrendo nas duas extremidades da VPN (en / cryption). Não posso estimar o custo total, a tempo, desta decisão de roteamento, mas pode ser perceptível para um serviço de streaming, em oposição à leitura ocasional de páginas da Web.

Sob essa luz, há mais argumentos a serem considerados. Primeiro, forçar seu roteador a fazer a criptografia para um serviço de streaming significa diminuir sua LAN inteira. Uma melhor escolha seria configurar o mesmo aparato ( i.e. , túnel final da VPN), em um PC, e então rotear todos os pedidos do Pandora através desse pc. Dessa forma, tanto o roteamento quanto a en / cryo-de-descompressão retardariam apenas o pc, não a LAN inteira.

Além disso, não está claro para mim por que você deve usar uma VPN para acessar o Pandora (a menos que você viva fora dos EUA). Geralmente, as VPNs são necessárias para manter a privacidade ou para garantir acesso seguro a uma LAN remota. Nem é o seu caso. Então, a menos que você viva fora dos EUA, minha sugestão seria evitar o streaming através da VPN.

Editar:

Se você deseja usar outro pc como seu gateway somente para o roteamento do Pandora, primeiro configure a VPN a partir desse PC. Em seguida, no seu roteador, adicione uma rota específica para o Pandora através desse pc. A maioria dos roteadores modernos terá algo como Roteamento avançado , onde você pode especificar rotas por meio de uma GUI. Isso é funcionalmente equivalente a:

   sudo route add -host 11.22.33.44 gw 192.168.0.5

se 192.168.0.5 for o endereço IP do PC que atua como o cliente VPN.

Em 192.168.0.5, emita o comando:

   sudo iptables -t NAT -A POSTROUTING -d PANDORA's_IP_address -j MASQUERADE   

e permitir o encaminhamento de IPv4:

   sudo sysctl -w net.ipv4.ip_forward=1

e você está feito. Moleza; fácil; baba.

Caveat : quando você faz isso, pingar Pandora de outro pc ( ie , não o cliente VPN), produzirá uma saída de este tipo:

  From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

Isso é não um erro: é apenas o seu roteador dizendo que uma maneira mais rápida de acessar o Pandora é diretamente através do 192.168.0.5, sem passar pelo roteador primeiro. Nada mais. É verdade que você poderia fazer isso, mas fazê-lo no seu roteador significa que o mesmo atalho para o Pandora está disponível para todos pcs na sua LAN. Apenas incômodo o aviso acima, pouco preço a pagar, eu acredito.

    
por 28.01.2014 / 10:55
0

Há uma pequena sobrecarga ao usar um túnel VPN criptografado seguro e dependeria dos protocolos VPN específicos usados e do nível de criptografia definido. Por exemplo, em L2TP / IPSEC, a sobrecarga de largura de banda usando AES é de aproximadamente 7,95% e para tráfego interativo de baixa largura de banda (como uma sessão SSH) isso quase duplicaria a quantidade de dados transmitidos durante a sessão.

Se o seu único objetivo é acessar o conteúdo restrito de Fora dos EUA e, desde que o nível de segurança não importe, a conexão PPTP é recomendada, pois tem uma sobrecarga relativamente baixa e isso o torna mais rápido que outros métodos VPN .

    
por 30.01.2014 / 10:40