Erzwingen Sie die Ankündigung von Torrents auf einer anderen Schnittstelle eines Routers

Wir haben einen MikroTik-Router mit 2 WANs main(gute und teure Bandbreite) backup. mainEr ist für unseren täglichen Gebrauch gedacht und backuphat eine langsame Bandbreite.

backupWir haben ein Synology NAS, das die Downloads abwickelt. Ich möchte Torrent-Downloads über die Schnittstelle des Gateways erzwingen . Hier ist meine aktuelle Konfiguration:

/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward to DSM" dst-address=192.168.1.3 dst-port=22,80,139,443,445,5001,32400 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward established, related replies to H2G2" connection-state=established,related dst-address=192.168.1.3 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow established and related replies from H2G2" connection-state=established,related protocol=tcp src-address=192.168.1.3
/ip firewall filter add action=drop chain=forward comment="H2G2: Drop everything else not coming from backup" dst-address=192.168.1.3 in-interface=!ether2-backup

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-main
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether2-backup
/ip firewall nat add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=22
/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=80
/ip firewall nat add action=dst-nat chain=dstnat dst-port=139 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=139
/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=443
/ip firewall nat add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=445
/ip firewall nat add action=dst-nat chain=dstnat dst-port=5001 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=5001
/ip firewall nat add action=dst-nat chain=dstnat dst-port=32400 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=32400
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=tcp to-addresses=192.168.1.3 to-ports=6881
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=udp to-addresses=192.168.1.3 to-ports=6881

/ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.1.0/24 new-routing-mark=toBackup passthrough=yes src-address=192.168.1.3

; Then route 0.0.0.0/0 toBackup routing mark to ether2-backup

Im Grunde erlaube ich also die Weiterleitung von Paketen für diese Ports (22,80,139,443,445,5001,32400) an das NAS ( 192.168.1.3) und lösche alles andere, was nicht von der backupSchnittstelle kommt. Ich verwende NAT für diese Ports. Und ich markiere die Verbindung von 1.3, nicht für das lokale Netzwerk, mit dem routing-mark toBackup. Natürlich habe ich die Route markiert 0.0.0.0/0und es funktioniert. Wenn ich über einen der weitergeleiteten Ports auf das NAS zugreife, ist alles in Ordnung. Alles andere läuft über das Backup.toBackupether2-backup

Das Problem ist nun, dass ALLES in die Sicherung geht. Ich kenne mich mit Torrents, PEX- und DHT-Protokollen nicht genau aus und bin mir nicht sicher, wann der Server und seine Dateien angekündigt werden. Ich weiß, dass Torrent- und Magnet-Tracker eingebettete Tracker haben, die sogar über HTTP erreicht werden können, es hängt also davon ab, wann die Dateien angekündigt werden. Wenn sie angekündigt werden, wenn sich der Client beim Tracker ankündigt, kann ich alles in die Sicherung aufnehmen. Wenn sie nur angekündigt werden, wenn sie von außen kontaktiert werden (derzeit sind meine Abhörports 6881 UDP und TCP), ist es besser, 6881 von zu blockieren ether1-main, aber ich befürchte wieder, dass sich der Client beim Tracker über HTTP ankündigt (also über ether1-mainund wird sich offensichtlich auf derselben IP ankündigen und nicht ether2-backup)...

Habt ihr eine Idee, wie ich das erreichen kann?