UPnP-IGD на VPN с общим Public IP

Страницы:  1
Ответить
 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 10-Июн-19 15:51 (5 лет 4 месяца назад, ред. 10-Июн-19 15:52)

Есть идея создать VPN-сервис специализированный для торрент-клиентов.
Пользователь получает конфигурацию VPN-соединения и инструкцию по настройке на любом железе (компьютеры, медиаприставки, роутеры, NAS).
В итоге пользователь получает:
1. Доступ к трекеру
2. Интернет ходит через провайдера
3. Белый IP от VPN
4. Возможность открыть порт на белом IP используя UPnP-IGD
5. Фаервол
6. Анонимность
Вопрос: насколько будет востребован этот сервис?
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 10-Июн-19 17:01 (спустя 1 час 9 мин., ред. 10-Июн-19 17:01)

Есть масса решений для обхода блокировок, но они не учитывают важную проблему: все клиенты, которые обходят блокировки, не доступны из интернета. Соответственно, если весь рой будет за VPN тогда некому будет раздавать.
Для BitTorrent-обмена требуется чтобы хоть у одного пира в паре был белый IP и на нем открыт порт клиента.
Но тогда следует дилемма "курицы и яйца". У нас есть требования:
1. Поддерживать p2p-обмен
2. Анонимность
Для поддержки p2p-обмена достаточно попросить статический IP у провайдера. Но тогда, подключившись к торрент-клиенту на p2p-порт, абсолютно все в интернете (включая копирайт-троллей) знают, какие фильмы у тебя лежат на диске. А по статическому IP-адресу провайдер выдаст информацию о пользователе имея запрос из гос.органов.
Провайдеры охотно раздают статические IP т.к. тогда провайдеру не надо логировать трафик - провайдер однозначно знает, что все запросы с этого IP принадлежат определенному пользователю. В случае динамического IP провайдеру требуется логировать какой IP был присвоен пользователю и в какое время. А если этот IP еще и серый, тогда провайдеру надо еще логировать какой порт на публичном IP соответствовал какому пользователю - а это в разы больше информации. Так-же, в этих мониторинговых системах часто случаются сбои и логи теряются. Если провайдер не предоставит логи по причине технического сбоя никакой ответственности ему не будет.
Вывод: для анонимности лучше пользоваться серыми IP от провайдера.
К трекеру можно добраться через прокси-сервер. Но не всякий протокол позволяет открыть порт на сервере. Открыть порт на сервере позволяет только протокол SOCKS. Но не всякий торрент-клиент это умеет. Так-же у SOCKS и с шифрованием.
Допустим, на торрент-клиент дать VPN-соединение.
Допустим, передадим белый IP на торрент-клиент по VPN. Это снижает безопасность торрент-клиента, т.к. все порты его хоста становятся доступны из интернета, а нормальные пароли и политики безопасности на домашних железках установлены только у параноиков. Так-же весь трафик через VPN передавать не хотелось бы - это будет снижать скорость p2p-обмена.
VPN нужен в первую очередь для доступа к трекеру. p2p-соединение использует шифрование т.е. задача анонимности уже решена. Значит не надо передавать p2p-трафик поверх VPN. Это решается маршрутизацией - vpn-клиент настраивается соответственно.
На торрент-клиенте возможно настроить статический порт, а на vpn-сервере настроить статический port mapping. Вопрос в том, как остальные пиры узнают про внешний IP? В принципе, к трекеру можно обращаться с того-же белого адреса vpn-сервера, на котором открыт порт, либо на vpn-сервере перехватывать запросы к трекеру и вставлять аргумент "ip=" в запрос announce. Но торрент-клиент ведь еще обменивается пирами по протколам PEX, DHT и uTP, которые, согласно этой идее, хотят мимо VPN напрямую через провайдера. Значит надо добиться, чтобы торрент-клиент знал свой публичный IP. Возможно это в некоторых клиентах настраивается в конфигурационных файлах. Но абсолютно все торрент-клиенты поддерживают протоколы UPnP-IGD и NAT-PMP. По этим протоколам торрент-клиент: 1) открывает порт на белом адресе; 2) узнает белый адрес шлюза. Таким образом, разместив UPnP-IGD-сервис на VPN-сервере мы доставим торрент-клиенту его белый IP-адрес.
Выходит, на VPN-сервере будут открыты порты для разных торрент-клиентов на одном белом IP, что добавит анонимности.
Осталось все это сделать максимально удобно для пользователя и не дорого.
Для VPN-сервиса предлагаю OpenVPN. Он позволяет удобно конфигурировать клиентов и поддерживается везде. Будет настроен исходящий роутинг для доступа к трекерам и входящий роутинг для доступа пиров к торрент-клиенту. NAT и роутинг закроет внутреннюю сеть пользователя от кибер-атак. Будет настроен IGD-сервис, который мультикастом будет виден торрент-клиенту через VPN-соединение.
В итоге пользователю выдается .ovpn-файл и инструкция. Пользователь его настраивает и все "магическим образом" работает. При этом поддерживается p2p-обмен.
Прошу отписаться, кому был бы интересен данный сервис.
Так-же прошу написать сколько кто готов платить за этот сервис. 100руб/мес? 50руб/мес? Может 400руб/мес? Я посчитаю затраты на хостинг и обслуживание.
Возможно у кого есть замечания по идеям.
[Профиль]  [ЛС] 

Sternray

Стаж: 14 лет

Сообщений: 87

Sternray · 10-Июн-19 23:17 (спустя 6 часов)

Велосипед зачем? если есть VPS . и поднятие своего openVPN
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 11-Июн-19 11:31 (спустя 12 часов)

Sternray писал(а):
77511808Велосипед зачем?
Я не нашел VPN с заявленными характеристиками. Давайте ссылку, если уже есть такой.
В связи с блокировками набежали хостеры со своими предложениями, но они ведь не понимают специфики торрента.
Сейчас есть предложения VPN, который передает трафик p2p поверх VPN, а это не нужно для торрента, и это снижает скорость.
Во-вторых, для торрента хотелось бы открыть порт на VPN-сервере, а это никто не предлагает.
Sternray писал(а):
77511808есть VPS . и поднятие своего openVPN
Я вот не хочу возиться с VPS а хочу купить эту услугу за адекватные деньги. Адекватные деньги - это, хотя-бы, меньше стоимости VPS.
Но если все-же придется повозиться, я подумал, почему бы и не продать это. Может кому интересно.
[Профиль]  [ЛС] 

mobilkot

Стаж: 13 лет 11 месяцев

Сообщений: 2


mobilkot · 11-Июл-19 11:28 (спустя 29 дней, ред. 11-Июл-19 11:28)

romanr писал(а):
77509819Для поддержки p2p-обмена достаточно попросить статический IP у провайдера. Но тогда, подключившись к торрент-клиенту на p2p-порт, абсолютно все в интернете (включая копирайт-троллей) знают, какие фильмы у тебя лежат на диске. А по статическому IP-адресу провайдер выдаст информацию о пользователе имея запрос из гос.органов.
Провайдеры охотно раздают статические IP т.к. тогда провайдеру не надо логировать трафик - провайдер однозначно знает, что все запросы с этого IP принадлежат определенному пользователю. В случае динамического IP провайдеру требуется логировать какой IP был присвоен пользователю и в какое время. А если этот IP еще и серый, тогда провайдеру надо еще логировать какой порт на публичном IP соответствовал какому пользователю - а это в разы больше информации. Так-же, в этих мониторинговых системах часто случаются сбои и логи теряются. Если провайдер не предоставит логи по причине технического сбоя никакой ответственности ему не будет.
Вывод: для анонимности лучше пользоваться серыми IP от провайдера.
=
Открою тайну. Логгируются действия с любым адресом, что со статик, что с динамик. Вообще не важно.
И вас одинаково найдут, что за тем, что за другим. Если это будет нужно.
Выдается информация именно что по логам, даже по серо-серозным адресам за тройным натом.
Но и к провайдеру редко ниточки все равно доходят. Так или иначе если есть за что - поймают на более ранних этапах и не будут разбираться, вы заходили в свой профиль в соцсетях или нет.
romanr писал(а):
77513271
Sternray писал(а):
77511808Велосипед зачем?
Я не нашел VPN с заявленными характеристиками. Давайте ссылку, если уже есть такой.
В связи с блокировками набежали хостеры со своими предложениями, но они ведь не понимают специфики торрента.
Сейчас есть предложения VPN, который передает трафик p2p поверх VPN, а это не нужно для торрента, и это снижает скорость.
Во-вторых, для торрента хотелось бы открыть порт на VPN-сервере, а это никто не предлагает.
Sternray писал(а):
77511808есть VPS . и поднятие своего openVPN
Я вот не хочу возиться с VPS а хочу купить эту услугу за адекватные деньги. Адекватные деньги - это, хотя-бы, меньше стоимости VPS.
Но если все-же придется повозиться, я подумал, почему бы и не продать это. Может кому интересно.
Это явно не будет меньше стоимости VPS. VPS в отличии от такого решения поддерживать проще. А тут как минимум требуется разработка управления этим функционалом.
Да и в чем трудности то?
Перевесить определенный трафик с портов или конкретного домена - дело 5 минут. Даже не только на VPS, но и на просто VPN -сервисах (не обрезанных через пропритарное ПО)
Открыть порт - та же ситуация.
Это ни капли не сложно, и точно также не востребовано, как отдельная услуга. И нет никакого ажиотажа. Да и такие сервисы явно будут под прицелом больше, чем просто VPS или VPN, что также увеличит стоимость автоматически.
[Профиль]  [ЛС] 

fnk2345

Стаж: 14 лет 5 месяцев

Сообщений: 74


fnk2345 · 12-Июл-19 04:07 (спустя 16 часов)

romanr писал(а):
77513271
Sternray писал(а):
77511808Велосипед зачем?
Я не нашел VPN с заявленными характеристиками.
Цитата:
VPN-сервис специализированный для торрент-клиентов

эта шутка такая?
когда то давно файлошаринг был централизованым, от идеи отказались в пользу пииииир ту пиииир догадайся пАчиму? Если по каким то причинам недошло.... все хотят качать быстро 100мбит\с 200мбит\с 1000мбит\с и вот когда таких 100500 навалится на один единственый сервер ему плохеет почиму то. и никаких гигбайтов гиггерцев петбитов на него ненапастись. И сейчас ты предлагаешь засунуть п2п снова в централизованную структуру. твой впн сервис ляжет в первые же 0.00001сек от нагрузок а на вторую 0.00001сек ляжет хостер. Тут нужно не в впн запихивать а апать сам протокол, во первых обучить его не сливать в прокси свое п2п а то сервер - трекер увидит исходящий ип прокси и пихует туда входящие п2п... ну ееепт вот таки не надо через трекер ток обмен статкой а ип куда п2п подключатся должен задаватся мануально и не игнорится. А во вторых пора бы уже еще вчера обучить торрент разным трюкам обхода ната. Это не правда что два клиента за натом не могут общатся на прямую, могут только им нужно немного помочь.
Торрент вообще как то забросили. никакого нового функционала.
[Профиль]  [ЛС] 

Sternray

Стаж: 14 лет

Сообщений: 87

Sternray · 13-Июл-19 11:07 (спустя 1 день 6 часов, ред. 13-Июл-19 11:07)

Парни - да ответ простой - http2 + SOCKS5 (или же ipV6)
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 25-Июл-19 21:07 (спустя 12 дней, ред. 26-Июл-19 12:42)

Sternray писал(а):
77664300да ответ простой - http2 + SOCKS5
А порт как открыть? Есть торрент-клиент, который умеет открывать порт на сервере по протоколу SOCKS5?
Sternray писал(а):
77664300(или же ipV6)
А какой роутер поддерживает нормальный фаервол для IPv6?
Мой Surecom не фильтрует IPv6 вообще - все домашние устройства видны из интернета.
mobilkot писал(а):
77654640Открою тайну. Логгируются действия с любым адресом, что со статик, что с динамик. Вообще не важно.
В идеале - да.
Но пообщавшись со своим провайдером (это крупный провайдер) я узнал, что они даже не знают какой мне выдан адрес IPv6. Они даже не знают, что у меня на роутере IPv6 и уверяли, что у них IPv6 еще не работает.
mobilkot писал(а):
77654640И вас одинаково найдут, что за тем, что за другим. Если это будет нужно.
Выдается информация именно что по логам, даже по серо-серозным адресам за тройным натом.
Информация по логам - это хорошо, когда они есть. Логи надо как-то хранить. Это трудоемко. Да и не факт, что в постоянно меняющейся сети провайдера старые логи останутся актуальны. Знакомый сотрудник провайдера как-то рассказал, что попробовали по TCP-порту найти пользователя в логе 2-годичной давности и оказалось, что сервера авторизации уже того нет а ID-шники пользователей уже другие. Так что логи оказались бесполезны, хотя ведутся.
mobilkot писал(а):
77654640Да и в чем трудности то?
Перевесить определенный трафик с портов или конкретного домена - дело 5 минут. Даже не только на VPS, но и на просто VPN -сервисах (не обрезанных через пропритарное ПО)
Открыть порт - та же ситуация.
Открыть порт, перевесить трафик - не проблема. Как затем заставить торрент-клиент зарегистрировать (announce) этот порт на трекере и в DHT? Надо ведь связать всю систему в единое целое.
mobilkot писал(а):
77654640не востребовано, как отдельная услуга.
Правовой вопрос в том, что открывая порт торрент-клиент становится сервером. Сервер распространяет контент. За это могут привлечь. По этому многие стараются не открывать порт а раздачу вести из-за NAT-а. Человека за NAT-ом найти сложнее чем человека с белым IP. В идеале все были бы за NAT-ом, но пока не придумали способ соединить двух клиентов за NAT без сервера с публичным адресом. По этому если все будут за NAT-ом p2p-сеть будет деградировать.
Предлагается сервис, который даст пользователю анонимный доступ в p2p-сеть.
На публичном IP будет открыто дополна портов, логи не ведутся, еще tor нагенерит трафика, где чей - не понятно.
fnk2345 писал(а):
77658400эта шутка такая?
когда то давно файлошаринг был централизованым, от идеи отказались в пользу пииииир ту пиииир догадайся пАчиму?
все хотят качать быстро 100мбит\с 200мбит\с 1000мбит\с и вот когда таких 100500 навалится на один единственый сервер ему плохеет почиму то. и никаких гигбайтов гиггерцев петбитов на него ненапастись.
Согласен.
По этому надо грамотно применять роутинг.
Не надо пускать p2p поверх VPN. Поверх VPN достаточно пускать announce и DHT. p2p надо пускать напрямую к другому пиру.
Я предлагаю закачку делать прямо с пира, а отдачу - через VPN. Это не будет снижать скорость закачки и в то-же время поддержит p2p-сеть когда большинство пиров будет за NAT.
Предлагаемая схема: Есть сервер с белым адресом. На сервере работает VPN-сервис и IGD-сервис. Торрент-клиент умеет общаться с IGD. Надо организовать роутинг так, чтобы торрент-клиент обращался к IGD за VPN, с учетом остальных требований.
IGD-сервис я рассмотрел с протоколом NAT-PMP и UPnP-IGD.
Обнаружение сервиса по протоколу NAT-PMP происходит обращением на основной шлюз. Больше никак. Просто отправляется запрос на шлюз и все. Соответственно, для применения NAT-PMP потребуется перенаправить весь трафик в VPN-тоннель, чего мы хотим избежать. NAT-PMP нам не подходит.
UPnP-IGD обнаруживается запросом на mlticast-адрес 239.255.255.250 (рассмотрим только IPv4). Это означает, что мы можем перенаправить запросы к UPnP-IGD-сервису в VPN-тоннель. Для этого мы делаем push "route 239.255.255.250 255.255.255.255" на openvpn-сервере, аналогично адресам трекеров.
С точки зрения пользователя: На медиаприставку с торрент-клиентом ставится openvpn. К нему подгружается заготовленная конфигурация. Всё.
Торрент-клиент делает IGD-discovery и ему отвечает IGD из VPN. Далее торрент-клиент настраивает порты и в него летит трафик из VPN-тоннеля.
[Профиль]  [ЛС] 

za4em

Стаж: 13 лет 2 месяца

Сообщений: 124

za4em · 25-Июл-19 21:23 (спустя 16 мин.)

romanr
Железные - микротики, софтовые - керио после 9 версии.
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 26-Июл-19 12:43 (спустя 15 часов, ред. 26-Июл-19 12:43)

Начало тестирования сервиса
Я реализовал что тут написано. Давайте потестируем. Пока бесплатно, без защит и прав доступа - просьба не ковырять и не ломать!
Для запроса настроек пишите на email: torrent-vpn@romanr.name.
Формат запроса:
Тема письма: https://rutr.life/forum/viewtopic.php?p=77721774
Текст письма:
Login: <ваш логин - придумайте>
Далее в письме пишите что хотите.
Инструкция:
Сервис предназначен для установки на медиаприставки, NAS-диски и другие встраиваемые устройства. Если хотите - ставьте на компьютер, скайп обрадуется (он любит открывать порты на IGD).
1. Ставьте openvpn.
1.1. Если ставите на Android - нужен root (иначе не заработает IGD).
2. Пишите на email: torrent-vpn@romanr.name
3. Я пришлю конфиг, ставите его в openvpn
4. Перезагружаетесь
Трекеры должны работать в любом случае. Порт проверить только вручную, средствами торрент-клиента проверить вероятно не выйдет (т.к. внешние адреса разные). Все входящие p2p-соединения будут с адреса VPN-шлюза.
[Профиль]  [ЛС] 

fnk2345

Стаж: 14 лет 5 месяцев

Сообщений: 74


fnk2345 · 28-Июл-19 14:23 (спустя 2 дня 1 час)

Цитата:
IGD-сервис я рассмотрел с протоколом NAT-PMP и UPnP-IGD.
это ущербие. Если аплоад у вас идет через впн, то и чей то даунлоад пойдет через впн, ну вы понимаете да, п2п в такой схеме не работает. Нужно каждому клиенту дать свой белый адрес, например воспользоватся ипв6, и научить дхт работать через ипв6, или научить дхт работать через впн но приэтом отдавать нативный адрес клиента а не впна.
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 28-Июл-19 21:44 (спустя 7 часов, ред. 28-Июл-19 21:44)

fnk2345 писал(а):
77733429Нужно каждому клиенту дать свой белый адрес, например воспользоватся ипв6
или научить дхт работать через впн но приэтом отдавать нативный адрес клиента а не впна.
Есть 3 разные задачи:
1. Оптимизация p2p-файлообмена (увеличение скорости)
2. Анонимизация (осложнение жизни полиции)
3. Преодоление блокировок
IPv6 решает задачу №1 и задачу №3, но не решает задачу №2. О том, как полиция ловит пользователей p2p читайте в посте Анонимность в торренте.
Данный сервис решает задачу №2, задачу №3 и частично задачу №1. Да, задача №1 решена хуже, чем при IPv6, но сервис решает задачу полного отсутствия связности в IPv4 при отсутствии публичных адресов на пирах.
fnk2345 писал(а):
77733429научить дхт работать через ипв6
Современная спецификация DHT включает работу с IPv6. Современные торрент-клиенты поддерживают IPv6 в DHT.
[Профиль]  [ЛС] 

cindol

Стаж: 5 лет 1 месяц

Сообщений: 5


cindol · 01-Окт-19 13:32 (спустя 2 месяца 2 дня)

romanr писал(а):
77509819Значит надо добиться, чтобы торрент-клиент знал свой публичный IP. Возможно это в некоторых клиентах настраивается в конфигурационных файлах. Но абсолютно все торрент-клиенты поддерживают протоколы UPnP-IGD и NAT-PMP. По этим протоколам торрент-клиент: 1) открывает порт на белом адресе; 2) узнает белый адрес шлюза. Таким образом, разместив UPnP-IGD-сервис на VPN-сервере мы доставим торрент-клиенту его белый IP-адрес.
Этого мало. В данной схеме:
romanr писал(а):
77509819Будет настроен исходящий роутинг для доступа к трекерам и входящий роутинг для доступа пиров к торрент-клиенту.
Исходящие пакеты (включая ответы на запросы, поступившие со стороны туннеля!) пойдут через основной шлюз, где им гарантирован облом, если не на уровне SOHO-маршрутизатора или дюже хитрого провайдера, то в самом компьютере получателя, отвергнутым из-за несовпадения четырёхчленного кортежа идентификатора соединения. Чтобы ваш ассиметричный туннель заработал (на момент предположим, что это вовсе не дурная затея), вашему абоненту придётся вручную настраивать свой компьютер, клиент и маршрутизатор и выбирать провайдера без CGNAT, к тому же игнорирующего абонентский IP адрес (впрочем он так и должен, но мы не живём в идеальном мире).
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 31-Окт-19 12:23 (спустя 29 дней, ред. 31-Окт-19 12:23)

cindol писал(а):
78062091
romanr писал(а):
77509819Будет настроен исходящий роутинг для доступа к трекерам и входящий роутинг для доступа пиров к торрент-клиенту.
Исходящие пакеты (включая ответы на запросы, поступившие со стороны туннеля!) пойдут через основной шлюз, где им гарантирован облом, если не на уровне SOHO-маршрутизатора или дюже хитрого провайдера, то в самом компьютере получателя, отвергнутым из-за несовпадения четырёхчленного кортежа идентификатора соединения. Чтобы ваш ассиметричный туннель заработал (на момент предположим, что это вовсе не дурная затея), вашему абоненту придётся вручную настраивать свой компьютер, клиент и маршрутизатор и выбирать провайдера без CGNAT, к тому же игнорирующего абонентский IP адрес (впрочем он так и должен, но мы не живём в идеальном мире).
Да, есть такая проблема. Это решается следующим образом.
На VPN-сервере делается NAT для трафика, который уходит в тоннель пользователю. Пользователь видит все входящие соединения из тоннеля как будто они приходят с адреса VPN-сервера (в тоннеле). Соответственно все ответы на эти соединения пойдут обратно в тоннель.
qwertylll писал(а):
я так и не понял что вы хотите добиться? Можете на пальцах обьяснить? Вы хотите что бы трафик не заруливался в тунель? Я правельно вас понял
Да, я хочу что-бы тоннель использовался только для входящих соединений, а основной трафик ходил прямо к пиру через провайдера.
Товарищи, с форума нотификаций нет, прошу написать мне на email если долго не отвечаю. Email тот-же: torrent-vpn@romanr.name
[Профиль]  [ЛС] 

m0rph

Стаж: 8 лет 9 месяцев

Сообщений: 112


m0rph · 02-Ноя-19 05:32 (спустя 1 день 17 часов, ред. 02-Ноя-19 05:32)

Цитата:
77509558Пользователь получает конфигурацию VPN-соединения и инструкцию по настройке на любом железе
Нафиг оно надо? Пользователь поставил нормальный роутер и выборочно обходит блокировки на обычном впн. Остальное - прямиком через провайдера. Проверено с 2017 года.
romanr писал(а):
77509819Провайдеры охотно раздают статические IP т.к. тогда провайдеру не надо логировать трафик
Провайдеры в любом случае логируют трафик, хотя бы даже по закону Яровой. Тип выданного IP значения не имеет. Хоть серый.
romanr писал(а):
77513271В связи с блокировками набежали хостеры со своими предложениями, но они ведь не понимают специфики торрента
Вы тоже не понимаете специфики. И тоже набежали. А не хостер ли вы часом?
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 02-Ноя-19 15:06 (спустя 9 часов)

m0rph писал(а):
78240361Нафиг оно надо? Пользователь поставил нормальный роутер и выборочно обходит блокировки на обычном впн. Остальное - прямиком через провайдера. Проверено с 2017 года.
Что значит "выборочно обходит блокировки"? Наверно имеется в виду, роутер откуда-то загружает список блокировок РКН и настраивает роутинг на заблокированные сайты в впн-соединение. Я не встречал такого продукта, хотя это востребовано, я согласен. Обычно пользователю приходится каждый раз входить в админку роутера и добавлять заблокированный хост в список.
В этой теме предлагается впн + роутинг. Пользователю не надо возиться с настройкой роутинга, эти настройки придут месте с впн. Этот впн можно поставить и на роутер или на медиаприставку или на nas-диск.
[Профиль]  [ЛС] 

qwertylll

Стаж: 5 лет

Сообщений: 3


qwertylll · 03-Ноя-19 13:43 (спустя 22 часа, ред. 03-Ноя-19 13:43)

m0rph писал(а):
78240361
Цитата:
77509558Пользователь получает конфигурацию VPN-соединения и инструкцию по настройке на любом железе
Нафиг оно надо? Пользователь поставил нормальный роутер и выборочно обходит блокировки на обычном впн. Остальное - прямиком через провайдера. Проверено с 2017 года.
romanr писал(а):
77509819Провайдеры охотно раздают статические IP т.к. тогда провайдеру не надо логировать трафик
Провайдеры в любом случае логируют трафик, хотя бы даже по закону Яровой. Тип выданного IP значения не имеет. Хоть серый.
romanr писал(а):
77513271В связи с блокировками набежали хостеры со своими предложениями, но они ведь не понимают специфики торрента
Вы тоже не понимаете специфики. И тоже набежали. А не хостер ли вы часом?
У меня есть скрипт который парсит списки РКН и добавляет их в кальмар.
romanr писал(а):
78242537
m0rph писал(а):
78240361Нафиг оно надо? Пользователь поставил нормальный роутер и выборочно обходит блокировки на обычном впн. Остальное - прямиком через провайдера. Проверено с 2017 года.
Что значит "выборочно обходит блокировки"? Наверно имеется в виду, роутер откуда-то загружает список блокировок РКН и настраивает роутинг на заблокированные сайты в впн-соединение. Я не встречал такого продукта, хотя это востребовано, я согласен. Обычно пользователю приходится каждый раз входить в админку роутера и добавлять заблокированный хост в список.
В этой теме предлагается впн + роутинг. Пользователю не надо возиться с настройкой роутинга, эти настройки придут месте с впн. Этот впн можно поставить и на роутер или на медиаприставку или на nas-диск.
Слишком муторно создавать маршруты и раздавать их по впн.Не представляю себе 100500+ маршрутов переданных по dhcp пользователю.Проще фильтровать по acl-ам
[Профиль]  [ЛС] 

m0rph

Стаж: 8 лет 9 месяцев

Сообщений: 112


m0rph · 04-Ноя-19 13:32 (спустя 23 часа, ред. 04-Ноя-19 13:32)

romanr писал(а):
78242537
m0rph писал(а):
78240361Нафиг оно надо? Пользователь поставил нормальный роутер и выборочно обходит блокировки на обычном впн. Остальное - прямиком через провайдера. Проверено с 2017 года.
Что значит "выборочно обходит блокировки"? Наверно имеется в виду, роутер откуда-то загружает список блокировок РКН и настраивает роутинг на заблокированные сайты в впн-соединение. Я не встречал такого продукта, хотя это востребовано, я согласен.
Из заблокированных ресурсов в моём списке всего 3. Включая рутрекер. Так что ничего роутер не загружает. Но при необходимости - может и загрузить. То, что вы о таком не слышали-забавно...и печально.
qwertylll
Зачем нужны 100500 маршрутов? В шапке темы обход заблокированных трекеров, а не всего списка РКН. Со всем списком даже РКНовские железяки за 100500 рублей едва справляются. А из трекеров это в худшем случае 10 адресов. Если брать российские трекеры, то всего 3-4. Всё добавляется один раз вручную. Роутинг на базе Padavan или RouterOS. Для всех клиентов обход полностью прозрачен. Или вы любите изобретать велосипед?))
[Профиль]  [ЛС] 

cindol

Стаж: 5 лет 1 месяц

Сообщений: 5


cindol · 06-Ноя-19 10:26 (спустя 1 день 20 часов)

romanr писал(а):
78230041Да, я хочу что-бы тоннель использовался только для входящих соединений, а основной трафик ходил прямо к пиру через провайдера.
Я надеюсь, у вас есть дисконтный источник пропускных мощностей, способных поднять до 50% ("не-основного") трафика, принадлежащего входящим BitTorrent-соединениям. Очень буду благодарен за рекомендацию.


Отдельный вопрос к знатокам BitTorrent и особенно расширения Peer-EXchange (PEX). Правильно ли я понимаю, что каждый клиент в рое, у которого активирован PEX, периодически отправляет другим участникам файлообмена полный список IP-адресов и портов, которые устанавливали с ним соединение? Если да, то находятся ли в этом списке "марсиане", т.е. IP-адреса и порты, которые отсутствовали в DHT и списках традиционного BitTorrent-трекера, возникшие по сути из-за того, что некоторые участники анонсируют себя с одного IP-адреса, но устанавливают часть файлообменных соединений с другого?
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 16-Ноя-19 17:49 (спустя 10 дней, ред. 16-Ноя-19 17:49)

cindol писал(а):
78264437
romanr писал(а):
78230041Да, я хочу что-бы тоннель использовался только для входящих соединений, а основной трафик ходил прямо к пиру через провайдера.
Я надеюсь, у вас есть дисконтный источник пропускных мощностей, способных поднять до 50% ("не-основного") трафика, принадлежащего входящим BitTorrent-соединениям.
Соотношение трафика 50/50 теоретически кажется обоснованно, однако на самом деле это соотношение определяется количеством белых IP-адресов в рое.
1. Представим, если все пиры в рое сидят на собственных белых адресах кроме одного. Тогда входящего трафика к этому пиру почти не будет т.к. этот пир откроет исходящие соединения к остальным пирам в рое и будет отдавать данные через эти исходящие соединения. 2. Представим, что все пиры в рое находятся за NAT. Тогда, если они все подключатся через обсуждаемый VPN, трафик через VPN составит 100%, т.к. любое исходящее соединение будет на адрес VPN-сервера.
Вопрос мощностей пока не стоит т.к. на данный момент в рое наблюдается большое количество белых адресов, входящий трафик через VPN составляет менее 10%. Если ситуация изменится есть планы по увеличению пропускной способности, в том числе с использованием google backbone. Но это уже будет при достижении соответствующего уровня монетизации.
cindol писал(а):
78264437Правильно ли я понимаю, что каждый клиент в рое, у которого активирован PEX, периодически отправляет другим участникам файлообмена полный список IP-адресов и портов, которые устанавливали с ним соединение? Если да, то находятся ли в этом списке "марсиане", т.е. IP-адреса и порты, которые отсутствовали в DHT и списках традиционного BitTorrent-трекера, возникшие по сути из-за того, что некоторые участники анонсируют себя с одного IP-адреса, но устанавливают часть файлообменных соединений с другого?
PEX и DHT - это разные вещи. PEX - это расширение протокола BitTorrent, которое позволяет использовать torrent-клиент как трекер. DHT - это другой протокол и в общем технология, которая позволяет хранить список пиров децентрализовано.
Давайте разделим понятия. У нас есть торрент-клиент. Торрент-клиент качает файл. Чтобы скачать файл надо знать где этот файл лежит. У торрент-клиента есть список адресов (и портов), где этот файл лежит. Торрент-клиент получает этот список адресов разными способами:
1) подав запрос на трекер (по протоколу HTTP или UDP, IPv4/IPV6 или в даркнете TOR или TON или в другом)
2) подав запрос к другому пиру (используя расширение PEX протокола BitTorrent)
3) подав запрос в сеть DHT
Таким обраом, список пиров в торрент-клиенте лежит отдельно, а протоколы DHT и PEX работают отдельно.
PEX - это тип запроса в протоколе BitTorrent. Торрент-клиент подключается к другому торрент-клиенту по протоколу BitTorrent, подает запрос PEX и получает в ответ список пиров с другого торрент-клиента для данного торрента.
DHT предоставляет сервисы: 1) получить список IP по ключу (torrent hash), 2) добавить свой IP в список по ключу. Таким образом DHT содержит только список IP:портов, которые явно были опубликованы торрент-клиентами. Торрент-клиент получает IP:порт для публикации в DHT и на трекере следующими способами:
1) если адрес на локальном интерфейсе белый - публикуем его
2) если адрес серый - ищем сервисы UPnP-IGD или NAT-PMP в локальной сети, открываем адрес:порт на этих сервисах и публикуем IP:порт, который вернул сервис IGD.
Теперь ответ на первоначальный вопрос. Торрент-клиент не добавляет каждый адрес:порт присоединившегося пира в список пиров для торрента, просто по тому что на этом IP:порт никто не слушает - это технический адрес:порт протокола TCP. IP:порт на торрент-клиенте для входящих соединений отличается от IP:порт исходящих соединений, так работает протокол TCP. А вот "марисан" в списках пиров обычно полно, т.к. многие торрент-клиенты публикуют битые IP-адреса на трекере и в DHT да еще эти адреса разлетаются друг-другу через PEX. Битый IP-адрес (адрес, на котором никто не слушает) может получиться по разным причинам:
1) Перезагрузился роутер и отвалилась NAT-трансляция, установленная IGD-сервисом
2) Таймаут повторного коннекта торрент-клиента к IGD-сервису и IGD-сервис зачистил NAT-трансляцию
3) Проблема в конфигурации: IP:порт открывается на интерфейсе к которому нет роутинга из интернета, хотя IP белый
4) Блокировка провайдера или даже на магистральном операторе (я видел сообщения о блокировке от ТренсТелеКом, который не продает каналы в квартиры физ.лицам)
В общем, если вы просто присоединитесь к torrent-клиенту то о вас никто не узнает (если этот торент-клиент не работает в полиции:). А марсиан в списках пиров полно.
[Профиль]  [ЛС] 

cindol

Стаж: 5 лет 1 месяц

Сообщений: 5


cindol · 18-Ноя-19 15:08 (спустя 1 день 21 час)

romanr писал(а):
78325626Вопрос мощностей пока не стоит т.к. на данный момент в рое наблюдается большое количество белых адресов, входящий трафик через VPN составляет менее 10%. Если ситуация изменится есть планы по увеличению пропускной способности, в том числе с использованием google backbone. Но это уже будет при достижении соответствующего уровня монетизации.
Получается, что ваши потенциальные затраты пока не успели стать реальными благодаря безвозмездным стараниям роя. Заложен ли бюджет на скачки объёмов трафика? Составлена ли отдельная смета исходя из худших прогнозов? Фраза "соответствующий уровень монетизации" звучит крайне туманно.
romanr писал(а):
78325626PEX и DHT - это разные вещи.
Спасибо, кэп. Мой вопрос даже не намекал на то, что это одна и та же технология обнаружения участников файлообмена.
romanr писал(а):
78325626Торрент-клиент не добавляет каждый адрес:порт присоединившегося пира в список пиров для торрента, просто по тому что на этом IP:порт никто не слушает
Да, имеет смысл. Считаю вопрос исчерпанным.
romanr писал(а):
78325626(если этот торент-клиент не работает в полиции:)
Если.
[Профиль]  [ЛС] 

cindol

Стаж: 5 лет 1 месяц

Сообщений: 5


cindol · 23-Ноя-19 22:08 (спустя 5 дней)

romanr писал(а):
78325626Торрент-клиент не добавляет каждый адрес:порт присоединившегося пира в список пиров для торрента, просто по тому что на этом IP:порт никто не слушает
romanr, беру свои слова обратно, ваш ответ — формальное заблуждение. Вы уклонились от ответа на заданный вопрос.
cindol писал(а):
78264437Правильно ли я понимаю, что каждый клиент в рое, у которого активирован PEX, периодически отправляет другим участникам файлообмена полный список IP-адресов и портов, которые устанавливали с ним соединение? Если да, то находятся ли в этом списке "марсиане", т.е. IP-адреса и порты, которые отсутствовали в DHT и списках традиционного BitTorrent-трекера, возникшие по сути из-за того, что некоторые участники анонсируют себя с одного IP-адреса, но устанавливают часть файлообменных соединений с другого?
По сети µTorrent через PEX рассылает адреса как пассивных участников файлообмена, так и проявивших инициативу в установке сеанса. Во втором случае порт берётся из расширенного рукопожатия протокола BitTorrent, причём вне зависимости от того, слушает что-то на нём или нет. Таким образом, PEX в предложенной схеме (с NAT, так как romanr отказался использовать ассиметричный туннель) — это часто встречающийся и неподвластный контролю канал утечки информации о сетевых адресах, которые нужно сохранять в тайне.
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 14-Дек-19 18:25 (спустя 20 дней)

cindol писал(а):
78337520Заложен ли бюджет на скачки объёмов трафика? Составлена ли отдельная смета исходя из худших прогнозов?
Пока нет. Пока нет смысла.
cindol писал(а):
78337520Фраза "соответствующий уровень монетизации" звучит крайне туманно.
Согласен.
cindol писал(а):
78372067По сети µTorrent через PEX рассылает адреса как пассивных участников файлообмена, так и проявивших инициативу в установке сеанса. Во втором случае порт берётся из расширенного рукопожатия протокола BitTorrent, причём вне зависимости от того, слушает что-то на нём или нет. Таким образом, PEX в предложенной схеме (с NAT, так как romanr отказался использовать ассиметричный туннель) — это часто встречающийся и неподвластный контролю канал утечки информации о сетевых адресах, которые нужно сохранять в тайне.
Согласен.
[Профиль]  [ЛС] 

cindol

Стаж: 5 лет 1 месяц

Сообщений: 5


cindol · 20-Дек-19 12:56 (спустя 5 дней)

Оригинальные попытки спрятаться в сети BitTorrent представляют интерес лишь в качестве эксперимента и наглядной демонстрации, то есть в роли учебного пособия. Тем, кто просто желает немного снизить свою видимость, достаточно отключить DHT и пользоваться анонимными прокси для трекеров. От настойчивых антипиратских агентств и тем более от ока частных торрент-сообществ это не скроет. И уж тем паче за эквивалентный уровень защиты не следует доплачивать лицам со стороны, так как помимо интернет-провайдера свидетелем нелегального файлообмена станут и они. Это же касается и самопальных "частичных VPN" на арендуемом сервере. Если защита от антипиратов действительно нужна позарез, выберите seedbox, облачный торрент-клиент, полноценный VPN с проброской портов, а то и вовсе попросите друга в стране с менее суровым контролем за действиями в сети Интернет скачать это для вас.
[Профиль]  [ЛС] 

romanr

Стаж: 17 лет 4 месяца

Сообщений: 84


romanr · 11-Янв-20 12:48 (спустя 21 день)

cindol писал(а):
78534963Оригинальные попытки спрятаться в сети BitTorrent представляют интерес лишь в качестве эксперимента и наглядной демонстрации, то есть в роли учебного пособия. Тем, кто просто желает немного снизить свою видимость, достаточно отключить DHT и пользоваться анонимными прокси для трекеров. От настойчивых антипиратских агентств и тем более от ока частных торрент-сообществ это не скроет. И уж тем паче за эквивалентный уровень защиты не следует доплачивать лицам со стороны, так как помимо интернет-провайдера свидетелем нелегального файлообмена станут и они. Это же касается и самопальных "частичных VPN" на арендуемом сервере. Если защита от антипиратов действительно нужна позарез, выберите seedbox, облачный торрент-клиент, полноценный VPN с проброской портов, а то и вовсе попросите друга в стране с менее суровым контролем за действиями в сети Интернет скачать это для вас.
Согласен.
За 7 месяцев не нашлось желающих воспользоваться сервисом. Сервис остановлен. e-mail: torrent-vpn@romanr.name продолжает работать.
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error