Vpnはホスト側に置くべきか、それとも仮想マシンに置くべきか?

仮想マシンはインターネット活動に使用するもので、漏れや何もないことを確認したい。

VPNが仮想マシンのみにある場合でも、ルーターやISPからは隠され続けるのか?もしそうなら、VPNを仮想マシンだけに置くことのプライバシー/セキュリティ/速度の長所と短所は何か?ホストだけに置く場合はどうか?

また、ホストと仮想マシンの両方にVPNを設定すると、片方だけの場合より速度が遅くなると考えて正しいか?それともそうではないのか?

(仮想マシンにVPNを設定する一つの利点:異なるVPNを使用する複数の仮想マシンを持てること)

私はホスト上にOpenVPNクライアントを実行し、ポリシーベースのルーティングを適用して、仮想マシンのネットワークからのすべてのトラフィックをVPNのゲートウェイ経由にルーティングしています。

仮想マシンだけにVPNを置くことの一つの長所:異なるVPNを使用する複数の仮想マシンを持つこと

これはホスト上でVPNクライアントを実行することでも可能です。

VPNクライアントは仮想NICを作成し、それをVPNネットワークの一部にします。ゲートウェイ(リモートNAT)がそこにあります。仮想/VPNの部分は忘れてもいいです。あなたのホストは今や異なるプライベートネットワーク間のルーターになっています。その一部にはゲートウェイがあります。これがマルチWANルーターです。

ポリシーベースのルーティングは良いことですが、それを行う方法を知っている必要があります。

しかし、スキルがあまりなく、高いパラノイアレベルなら、次のスキームを使用すべきです:

2つのネットワーク:1つはNATなしのプライベートネットワークとインターネットアクセスあり、もう1つはデフォルトNATネットワーク

ルーターベースのVMにはそれぞれのネットワークに接続された2つのネットワークアダプタがあります。ルータVM上で従来のNATとマスカレードを設定し、使用したいVPNを通じて行います。

プライベートネットワーク例: Mullvad DNSを使用(10.64.0.1)

<network xmlns:dnsmasq='http://libvirt.org/schemas/network/dnsmasq/1.0'>
  <name>private</name>
  <uuid>8acccf11-aa11-1111-1111-f59112233447</uuid>
  <bridge name='private-bridge' stp='on' delay='0'/>
  <mac address='52:54:00:33:22:11'/>
  <domain name='private'/>
  <dns>
    <forwarder addr='10.64.0.1'/>
  </dns>
  <ip address='192.168.15.254' netmask='255.255.255.0' localPtr='yes'>
    <dhcp>
      <range start='192.168.15.150' end='192.168.15.250'/>
      <host mac='52:54:00:be:10:01' name='router' ip='192.168.15.1'/>
      <host mac='52:54:00:ec:10:02' name='vm1' ip='192.168.15.10'/>
      <host mac='52:54:00:6c:10:03' name='vm2' ip='192.168.15.11'/>
    </dhcp>
  </ip>
  <dnsmasq:options>
    <dnsmasq:option value='dhcp-option=option:router,192.168.15.1'/>
    <dnsmasq:option value='dhcp-option=option:dns-server,10.64.0.1'/>
  </dnsmasq:options>
</network>

この <dnsmasq:option value='dhcp-option=option:router,192.168.15.1'/> はこのネットワークのデフォルトルートを書き換えています。なぜなら、デフォルトではホストのIPアドレスになるためです。
また、このXMLに名前空間 xmlns:dnsmasq='http://libvirt.org/schemas/network/dnsmasq/1.0' を指定する必要があります。