torrent / опсос / пиры / тоннель

[Ejik76]

Приветствую камрады.

Дано:
1) оператор сотовой связи блокирующий поиск пиров, а так же скорости в тоннелях
2)имеется тоннель поднятый на микротике.
задача:
Все запросы из внутренней сети касающиеся поиска пиров отмаркировать и отправить в тоннель.
весь остальной трафик оставить на ван опсоса.

Лопата есть подскажите как копать. Благодарю заранее.

[svetogor82]

смотреть в сторону layer7-protocol и /ip firewall mangle

[gmx]

Торрент трафик шифрованный...

[Illinory]

Если торрент запущен с ПК под вашим контроле под Windows 10 (говорят, работает и под Win8), то можно попробовать через брэндмауэр раскрасить трафик.

Запускаете PowerShell от администратора(!).

New-NetQosPolicy -name "dscp_torrent" -NetworkProfile all -DSCPAction 40 -AppPathName uTorrent.exe

Если все пройдет успешно, то трафик будет помечен DSCP40 или 0xa0 в HEX.

Смотреть правила - Get-NetQoSPolicy, удалять - Remove-NetQosPolicy -name "dscp_torrent"


Если ПК вне вашего контроля, то извините.

[Illinory]

А, извините, вы именно поиск пиров хотите выделить: тогда у меня нет вариантов. Ошибся, простите.

[podarok66]

Я шибко сомневаюсь, что блокируют именно пиров. Всё же скорее всего DPI определяет торрент-трафик и его уже режет. Завернуть нафиг его в туннель весь, если вы контролируете клиентские компы. Если же нет, я нормального способа не вижу...

[Inner]

Когда-то очень давно у меня была подобная задача, но с точностью на оборот. Мне нужно было устранить торренты. Если нет dpi, то полностью его не выключить, ибо механизмы торрента начнут искать обходные пути. В итоге я зарезал скорость до 64 кбит и работает это до сих пор. Люди сами не хотят пользоваться таким медленным торрентом. Но то у меня очередями сделано. Вы же можете использовать часть моего решения для заворачивания в тонель.
А вот и сама нужная часть:
В L7:

Код: Выделить всё

/ip firewall layer7-protocol
add name=torrent-www regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|enterta\
    ne|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|me\
    ganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
add name=torrent-dns regexp="^.+(torrent|thepiratebay|isohunt|entertane|demonoid\
    |btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|full\
    dls|btbot|fenopy|gpirate|commonbits|bittorrent|bit-torrent).*\$"
add name=torrent-dht regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"

В Mangle:

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=prerouting comment=torrent-www layer7-protocol=torrent-www new-connection-mark=torrent-con passthrough=yes
add action=mark-connection chain=prerouting comment=torrent-dns layer7-protocol=torrent-dns new-connection-mark=torrent-con passthrough=yes
add action=mark-connection chain=prerouting comment=torrent-dht layer7-protocol=torrent-dht new-connection-mark=torrent-con passthrough=yes
add action=mark-packet chain=prerouting comment=torrent connection-mark=torrent-con new-packet-mark=torrent-packet passthrough=no

В QoS:

Код: Выделить всё

/queue simple
add disabled=yes dst=ether1 max-limit=10M/10M name=TorrentsForVIP packet-marks=torrent-packet target=10.0.0.20/32
add dst=ether1 max-limit=64k/64k name=TorrentsForAll packet-marks=torrent-packet target=MAIN-bridge

В маркировки www и dns набивайте нужные Вам ресурсы. А dht, если не ошибаюсь, как раз и работает как обмен пирами. И не забудьте шифровать свой тоннель, чтоб провайдерский dpi задыхался в попытках переварить шифрование посложнее распространенных. Используйте ikev2, тунель внутри тунеля (желательно к разным vpn провайдерам. А ещё лучше арендуйте себе vps и в него chr. Сейчас много достаточно дешевых)

[Ejik76]

Я шибко сомневаюсь, что блокируют именно пиров. Всё же скорее всего DPI определяет торрент-трафик и его уже режет. Завернуть нафиг его в туннель весь, если вы контролируете клиентские компы. Если же нет, я нормального способа не вижу...

я пускают весть трафик в тоннель, ищу пиры, потом отключаю тоннель и докачиваю. почему так- потому что пров режет скорость в тоннелях.
да нужно выделить имеено поиск пиров и пускать его в тоннель.
варианты решения с локального ПК не подходят так как в сети есть несколько устройств и конфигурить каждый нет желания.
задачу хочется решить на базе РОС

[Ejik76]

попробовал так
/ip firewall layer7-protocol
add name=torrent-dht regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"

/ip firewall mangle
add action=mark-connection chain=prerouting comment=torrent-dht layer7-protocol=torrent-dht new-connection-mark=torrent-con passthrough=yes
add action=mark-packet chain=prerouting comment=torrent connection-mark=torrent-con new-packet-mark=torrent-packet passthrough=no

так как у меня ROS7
/routing table add disabled=no fib name=torrent-packet
/ip route
add distance=1 gateway=pptp-out1 routing-table=torrent-packet

не взлетело :( ай нид хелп

[xvo]

add action=mark-packet chain=prerouting comment=torrent connection-mark=torrent-con new-packet-mark=torrent-packet passthrough=no

add action=mark-routing chain=prerouting comment=torrent connection-mark=torrent-con new-routing-mark=torrent-packet passthrough=no