Tenemos un enrutador MikroTik con 2 WAN main(ancho de banda bueno y costoso) y backup. maines para nuestro uso diario y backuptiene un ancho de banda lento.
Tenemos un Synology NAS que se encarga de las descargas. Me gustaría forzar que las descargas de torrents se realicen a través de la backupinterfaz de la puerta de enlace. Aquí está mi configuración actual:
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward to DSM" dst-address=192.168.1.3 dst-port=22,80,139,443,445,5001,32400 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow forward established, related replies to H2G2" connection-state=established,related dst-address=192.168.1.3 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="H2G2: Allow established and related replies from H2G2" connection-state=established,related protocol=tcp src-address=192.168.1.3
/ip firewall filter add action=drop chain=forward comment="H2G2: Drop everything else not coming from backup" dst-address=192.168.1.3 in-interface=!ether2-backup
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-main
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether2-backup
/ip firewall nat add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=22
/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=80
/ip firewall nat add action=dst-nat chain=dstnat dst-port=139 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=139
/ip firewall nat add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=443
/ip firewall nat add action=dst-nat chain=dstnat dst-port=445 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=445
/ip firewall nat add action=dst-nat chain=dstnat dst-port=5001 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=5001
/ip firewall nat add action=dst-nat chain=dstnat dst-port=32400 in-interface=ether1-main protocol=tcp to-addresses=192.168.1.3 to-ports=32400
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=tcp to-addresses=192.168.1.3 to-ports=6881
/ip firewall nat add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether2-backup protocol=udp to-addresses=192.168.1.3 to-ports=6881
/ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.1.0/24 new-routing-mark=toBackup passthrough=yes src-address=192.168.1.3
; Then route 0.0.0.0/0 toBackup routing mark to ether2-backup
Básicamente, permito reenviar paquetes para estos puertos (22,80,139,443,445,5001,32400) al NAS ( 192.168.1.3) y descarto todo lo demás que no provenga de la backupinterfaz. Hago NAT a estos puertos. Y la conexión la marco desde 1.3 no para la red local, con el routing-mark toBackup. Obviamente, llevo la ruta marcada 0.0.0.0/0y funciona. Si accedo al NAS a uno de los puertos reenviados, está bien. Todo lo demás pasa por la copia de seguridad.toBackupether2-backup
Ahora, el problema es que TODO va a la copia de seguridad. No sé exactamente los protocolos torrents, PEX, DHT, no estoy seguro de cuándo se anuncian el servidor y sus archivos. Sé que los rastreadores de torrent y magnet tienen rastreadores integrados a los que se puede acceder incluso a través de HTTP, por lo que depende de cuándo se anuncian los archivos. Si se anuncian cuando el cliente se anuncia al rastreador, entonces podría mantener todo en una copia de seguridad. Si se anuncian solo cuando me contactan desde afuera (actualmente, mis puertos de escucha son 6881 UDP y TCP), entonces es mejor bloquear 6881 ether1-main, pero nuevamente me temo que el cliente se anunciará al rastreador a través de HTTP (por lo tanto, a través de ether1-mainy obviamente se anunciará en la misma IP y no ether2-backup)...
¿Tienen alguna idea de cómo puedo lograrlo?