qbittorrent ломится по IGD и публикует свой порт. А адрес уж какой ему роутер даст.
Есть ещё nat-pmp но как я понял микротик его не поддерживает.
Почему не отрабатывает правило?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так а какие правила то UPnP автоматом создаёт?
И я другое имел ввиду - не то, как он порт просит открыть, а как сообщает на ретреккер (или куда там), что мол я такой-то доступен там то.
И я другое имел ввиду - не то, как он порт просит открыть, а как сообщает на ретреккер (или куда там), что мол я такой-то доступен там то.
Telegram: @thexvo
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
5 D ;;; upnp 192.168.66.2: qBittorrent/4.3.5
chain=dstnat action=dst-nat to-addresses=192.168.66.2 to-ports=50002 protocol=tcp dst-address=my_ext_ip in-interface=WAN-ether1 dst-port=50002
6 D ;;; upnp 192.168.66.2: qBittorrent/4.3.5
chain=dstnat action=dst-nat to-addresses=192.168.66.2 to-ports=50002 protocol=udp dst-address=my_ext_ip in-interface=WAN-ether1 dst-port=50002
А вот как на ретрекер или куда там сообщает-вопрос. Действительно, по идее на какой-нибудь управляющий сервер он может лезть по другому порту и тогда его могло бы кинуть через gre1.
Но:
1)По идее dst-nat на той сторое gre1 нет... если я конечно не накосячил в настройках т.к. там убунта и я мог.
2)со стороны gre1 на микротике запрещены новые соединения(как раз на случай если я накосячил с настройкой убунты).
Flags: X - disabled, I - invalid, D - dynamic
5 D ;;; upnp 192.168.66.2: qBittorrent/4.3.5
chain=dstnat action=dst-nat to-addresses=192.168.66.2 to-ports=50002 protocol=tcp dst-address=my_ext_ip in-interface=WAN-ether1 dst-port=50002
6 D ;;; upnp 192.168.66.2: qBittorrent/4.3.5
chain=dstnat action=dst-nat to-addresses=192.168.66.2 to-ports=50002 protocol=udp dst-address=my_ext_ip in-interface=WAN-ether1 dst-port=50002
А вот как на ретрекер или куда там сообщает-вопрос. Действительно, по идее на какой-нибудь управляющий сервер он может лезть по другому порту и тогда его могло бы кинуть через gre1.
Но:
1)По идее dst-nat на той сторое gre1 нет... если я конечно не накосячил в настройках т.к. там убунта и я мог.
2)со стороны gre1 на микротике запрещены новые соединения(как раз на случай если я накосячил с настройкой убунты).
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну раз пакеты прилетают на микротик из gre, значит все-таки они летят оттуда, со стороны убунты. Логично? :)
Были б это ответные пакеты, они были бы приняты обычным правилом accept established,related (если оно есть).
А вот что из этого следует - пока не понятно.
Ещё одна мысль: fasttrack выключен на то, что ходит не по основному маршруту?
А то вполне может оказаться, что mangle в холостую работает...
Были б это ответные пакеты, они были бы приняты обычным правилом accept established,related (если оно есть).
А вот что из этого следует - пока не понятно.
Ещё одна мысль: fasttrack выключен на то, что ходит не по основному маршруту?
А то вполне может оказаться, что mangle в холостую работает...
Telegram: @thexvo
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Логично, я этого не отрицаю. Только это не похоже на то, что инициатором соединения является ТА сторона.
Есть правило, не новое соединение, я вам его показывал.
Правила established,related у меня отключено дабы не портить статистику других правил. Производительности хватает.
Fasttrack не использую вообще
Я проверял. создал правило на форвард, в котором роутинг марк Torrent, а роутинг тэйбл main. Срабатываний 0, значит корректно отрабатывает.
Есть правило, не новое соединение, я вам его показывал.
Правила established,related у меня отключено дабы не портить статистику других правил. Производительности хватает.
Fasttrack не использую вообще
Я проверял. создал правило на форвард, в котором роутинг марк Torrent, а роутинг тэйбл main. Срабатываний 0, значит корректно отрабатывает.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Тогда возможно это и есть наглядная работа попытки публикации инфы "о себе" на ретреккере - торрент стучится наружу "со своего" порта, под мангл оно не попадает, улетает в туннель, но обратный пакет сбрасывается firewall'ом.
Telegram: @thexvo
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
А с чего бы ему с сбрасывать пакет? Ответный пакет уже не первый, т.е. соединение НЕ "new". А старые должно пропускать.
И это работает я так на зароскомнадзорненные ip хожу, проблем нет.
Фаервольные правила не запрещают ходить торренту через туннель, Он мимо туннеля должен летать чисто по роутинг марк.
И это работает я так на зароскомнадзорненные ip хожу, проблем нет.
Фаервольные правила не запрещают ходить торренту через туннель, Он мимо туннеля должен летать чисто по роутинг марк.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
Нашёл объяснение для
End forward rules forward: in:gre1 out:LAN-bridge, proto UDP, 213.141.131.177:37476->192.168.66.2:50002
1)торрент открывает порт 50002 по upnp на микротике.
2)На него прилетает UPD пакет на 50002 и отправляется торренту.
3)Торрент отправляет пакет с 50002. Но правила слать всё с 50002 напрямую в интернет нет, с некоторой вероятностью он улетает в GRE1 и оттуда вылетает в интернет.
4(предположительно) другой торрент в интернете увидев, что пакет прилетел с другого IP начинает слать пакеты на новый IP.
5(предположительно)Микрот видит что пакеты стали прилетать из другого интерфейса, не определяет это как уже действующие соединение и дропает пакеты т.к. новые соединения с того интерфейса запрещены.
End forward rules forward: in:gre1 out:LAN-bridge, proto UDP, 213.141.131.177:37476->192.168.66.2:50002
1)торрент открывает порт 50002 по upnp на микротике.
2)На него прилетает UPD пакет на 50002 и отправляется торренту.
3)Торрент отправляет пакет с 50002. Но правила слать всё с 50002 напрямую в интернет нет, с некоторой вероятностью он улетает в GRE1 и оттуда вылетает в интернет.
4(предположительно) другой торрент в интернете увидев, что пакет прилетел с другого IP начинает слать пакеты на новый IP.
5(предположительно)Микрот видит что пакеты стали прилетать из другого интерфейса, не определяет это как уже действующие соединение и дропает пакеты т.к. новые соединения с того интерфейса запрещены.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну вот я примерно так и предполагал - что он "свой" порт тоже как-то использует для выхода наружу, а не только для доступа внутрь.
То есть тут просто надо добавить правило, которое и уходящее с 50002 тоже будет заворачивать мимо туннеля.
То есть тут просто надо добавить правило, которое и уходящее с 50002 тоже будет заворачивать мимо туннеля.
Telegram: @thexvo