web-dev-qa-db-ja.com

選択的VPNルーティングはそれだけの価値がありますか?

RT-N66Uルーターにルーティングテーブルを設定して、VPN経由でトラフィックを選択的にルーティングしたいと思います。たとえば、PandoraリクエストのみがVPNを経由します。 iptablesでこれを行う方法を見つけました:

#!/bin/sh
sleep 60
PPTPSERVER=$(/usr/sbin/nvram get pptpd_client_srvip)
PPTPGWY=$(/usr/sbin/nvram get wan_gateway)
/sbin/route add -Host $PPTPSERVER gw $PPTPGWY dev vlan2
/sbin/route del default
/sbin/route add default gw $PPTPGWY 
/sbin/route add default dev ppp0 metric 100

#Pandora
/sbin/route add -net 208.85.0.0/16 dev ppp0 
/sbin/route add -net 64.95.61.0/24 dev ppp0
/sbin/route add -net 64.94.123.0/24 dev ppp0
/sbin/route add -net 208.85.40.0/24 dev ppp0
/sbin/route add -net 208.85.41.0/24 dev ppp0
/sbin/route add -net 67.225.0.0/24 dev ppp0

#iptables -t nat -A PREROUTING -p tcp -–dport 1935 -j DROP
#iptables -t nat -A PREROUTING -p udp -–dport 1935 -j DROP

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

ソース: http://www.pistonheads.com/gassing/topic.asp?t=968046

しかし、私の質問は、トラフィックをルーティングするために必要な余分なオーバーヘッドにより、すべてにVPNを使用する場合よりも全体的なスループットが低下するのでしょうか?

より良い戦略はありますか?

1
Mike McKay

より複雑なルーティングに内在するオーバーヘッドは、まったく無視できます。それは余分なパーセントになるかもしれません、それ以上ではありません。暗号化にはより多くのオーバーヘッドが伴い、VPNの両端でさらに発生します(暗号化解除)。このルーティング決定の全体的なコストを時間的に見積もることはできませんが、Webページをときどき閲覧するのではなく、ストリーミングサービスで目立つ可能性があります。

この観点から、考慮すべき議論がさらにあります。まず、ルーターにストリーミングサービスの暗号化解除を強制することは、LAN全体の速度を低下させることを意味します。より良い選択は、PC上に同じ装置(ie、VPNエンドトンネル)をセットアップし、そのPCを介してすべてのPandoraリクエストをルーティングすることです。 。このように、ルーティングと暗号化解除の両方で、LAN全体ではなく、PCのみの速度が低下します。

また、VPNを使用してPandoraにアクセスする必要がある理由は私にはわかりません(もちろん、米国外に住んでいる場合を除く)。 VPNは通常、プライバシーを維持するため、またはリモートLANへの安全なアクセスを保証するために必要です。どちらもあなたの場合ではありません。したがって、米国外に住んでいない限り、VPNを介したストリーミングを避けることをお勧めします。

編集:

Pandoraルーティング専用のゲートウェイとして別のPCを使用する場合は、最初にそのPCからVPNをセットアップします。次に、ルーターで、そのPCを介したPandoraの特定のルートを追加します。最近のほとんどのルーターには、高度なルーティングのようなものがあり、GUIを介してルートを指定できます。これは機能的に次のものと同等です。

   Sudo route add -Host 11.22.33.44 gw 192.168.0.5

192.168.0.5がVPNクライアントとして機能するPCのIPアドレスである場合。

192.168.0.5で、次のコマンドを発行します。

   Sudo iptables -t NAT -A POSTROUTING -d Pandora's_IP_address -j MASQUERADE   

iPv4転送を許可します。

   Sudo sysctl -w net.ipv4.ip_forward=1

これで完了です。ケーキ。

警告:これを行うと、別のPCからPandoraにpingを実行します(ienotVPNクライアント)は、次の種類の出力を生成します。

  From 192.168.0.1: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.5)

それはnotエラーです:Pandoraに到達するより速い方法は、最初にルーターを通過せずに、192.168.0.5を介して直接行うことをルーターが伝えているだけです。これ以上何もない。これを実行できるのは事実ですが、ルーターで実行すると、LAN上のすべてのPCでPandoraへの同じショートカットを使用できるようになります。上記の警告を迷惑にするだけで、支払う価格はほとんどないと私は信じています。

2
MariusMatutiae

安全な暗号化されたVPNトンネルを使用する場合、ごくわずかなオーバーヘッドがあり、使用される特定のVPNプロトコルと設定されている暗号化のレベルに依存します。たとえば、L2TP/IPsecでは、AESを使用した帯域幅のオーバーヘッドは約7.95%であり、低帯域幅のインタラクティブトラフィック(SSHセッションなど)の場合、これにより、セッション中に送信されるデータ量がほぼ2倍になる可能性があります。

米国外から制限されたコンテンツにアクセスすることが唯一の目的であり、セキュリティのレベルが重要でない限り、オーバーヘッドが比較的低く、このため、PPTP接続をお勧めします。他のVPN方式よりも高速です。

1
Rose Ab