URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 754
[ Назад ]

Исходное сообщение
"Не работают сайты торрентов."

Отправлено mefuss , 17-Май-13 07:49 
Приветствую ALL. Получили АС, настроили БГП на микротике. Выяснилось что адреса нашей АС не работают с целой кучей торрент трэкеров. Если обращаться с адреса на котором происходит стык с Ростелекомом, все работает, если с адресов нашей АС, то либо не открывется страница, либо не качает торрент файл. Решил эту проблему маркировкой пакетов и отправкой запроса на эти сайты с адреса ростелекома. На остальные сайты обращение идет с белых адресов выдаваемых нашим клиентам из диапазона нашей АС. Теперь уперлись в производительность микротика и решил наконец избавиться от него и перейти на кошку. Как настроить БГП и прочее, я знаю, но не могу пока придумать как организовать обращение на сайты торрентов(целый список) с подменой адреса нашей АС на адрес ростелекома. Предполагаю что можно попробовать с помощью НАТа, но не придумал пока как. Буду признателен за любую помощь.

Содержание

Сообщения в этом обсуждении
"Не работают сайты торрентов."
Отправлено Mr. Mistoffelees , 17-Май-13 13:39 
Привет,

> Решил эту проблему маркировкой пакетов и отправкой запроса на
> эти сайты с адреса ростелекома.

Бред какой-то... IP адреса у вас PA или PI? Routing object для всех подсетей на уровне /24 есть? В AS object прописаны правильно экспорты и импорты? Кто второй аплинк? AS 16-битная или 32?



"Не работают сайты торрентов."
Отправлено mefuss , 17-Май-13 14:10 
> Привет,
>> Решил эту проблему маркировкой пакетов и отправкой запроса на
>> эти сайты с адреса ростелекома.
> Бред какой-то... IP адреса у вас PA или PI? Routing object для
> всех подсетей на уровне /24 есть? В AS object прописаны правильно
> экспорты и импорты? Кто второй аплинк? AS 16-битная или 32?

Получили год назад,32 бита. AS31хх. подсеть 21. в одном населенном пункте используем 22 маску в другом 24. Работает все кроме некоторых торрент трекеров. То есть пинг есть до них но 80 порт закрыт для нашей сети. Раньше номер ас числился за европой. Вот такой прикол. Один дефолтный маршрут в ростелеком. Да, второго аплинка нет.  По причине отсутствия такового в радиусе 300 км. Этот вопрос я думаю не стоит обсуждать. Интересует как решить проблему на кошке, по аналогии с микротиком, то есть слать на определенные адреса запросы от адреса ростелекома.


"Не работают сайты торрентов."
Отправлено jied83 , 17-Май-13 16:04 
>[оверквотинг удален]
>> экспорты и импорты? Кто второй аплинк? AS 16-битная или 32?
> Получили год назад,32 бита. AS31хх. подсеть 21. в одном населенном пункте используем
> 22 маску в другом 24. Работает все кроме некоторых торрент трекеров.
> То есть пинг есть до них но 80 порт закрыт для
> нашей сети. Раньше номер ас числился за европой. Вот такой прикол.
> Один дефолтный маршрут в ростелеком. Да, второго аплинка нет.  По
> причине отсутствия такового в радиусе 300 км. Этот вопрос я думаю
> не стоит обсуждать. Интересует как решить проблему на кошке, по аналогии
> с микротиком, то есть слать на определенные адреса запросы от адреса
> ростелекома.

какой номер вашей AS? и про какие торрент сайты идет речь?


"Не работают сайты торрентов."
Отправлено mefuss , 17-Май-13 16:24 
>[оверквотинг удален]
>> Получили год назад,32 бита. AS31хх. подсеть 21. в одном населенном пункте используем
>> 22 маску в другом 24. Работает все кроме некоторых торрент трекеров.
>> То есть пинг есть до них но 80 порт закрыт для
>> нашей сети. Раньше номер ас числился за европой. Вот такой прикол.
>> Один дефолтный маршрут в ростелеком. Да, второго аплинка нет.  По
>> причине отсутствия такового в радиусе 300 км. Этот вопрос я думаю
>> не стоит обсуждать. Интересует как решить проблему на кошке, по аналогии
>> с микротиком, то есть слать на определенные адреса запросы от адреса
>> ростелекома.
> какой номер вашей AS? и про какие торрент сайты идет речь?

3168

вот список неработающих сайтов:
add address=46.4.71.26 comment=Lostfilm.tv list=Lost80
add address=188.40.74.10 comment=2ip.ru disabled=yes list=Lost80
add address=195.82.146.215 list=Lost80
add address=217.73.59.173 list=Lost80
add address=89.188.122.110 list=Lost80
add address=93.114.45.221 list=Lost80
add address=77.120.110.54 list=Lost80
add address=89.108.116.164 list=Lost80
add address=80.82.64.212 list=Lost80
add address=46.28.65.175 list=Lost80
add address=188.138.100.215 list=Lost80
add address=146.120.88.31 list=Lost80
add address=91.194.90.174 list=Lost80
add address=212.117.163.32 list=Lost80
add address=77.35.112.0/24 list=Lost80
add address=81.2.25.229 list=Lost80
add address=77.35.113.0/24 list=Lost80
add address=188.138.94.235 list=Lost80
add address=146.120.88.29 list=Lost80
add address=91.218.38.132 list=Lost80
add address=213.239.211.234 comment=MU list=Lost80
add address=80.93.53.99 comment=Kinokopilka list=Lost80
add address=188.40.74.9 list=Lost80
add address=5.35.171.6 comment=torrentino.ru list=Lost80
add address=93.114.40.103 comment=Kinozal.tv list=Lost80
add address=195.54.163.51 comment=Megashara.org list=Lost80
add address=195.54.163.54 comment=Megashara.org list=Lost80
add address=146.120.90.55 list=Lost80
add address=93.174.93.66 list=Lost80
add address=146.120.90.53 list=Lost80
add address=89.111.60.12 list=Lost80
add address=185.10.208.62 list=Lost80
add address=185.10.208.64 list=Lost80
add address=89.108.116.120 comment=fast-torrent.ru list=Lost80
add address=37.220.34.18 comment=rutor.org list=Lost80
add address=74.125.43.121 comment=Xakep list=Lost80
add address=178.250.244.245 comment=retre.org_lostfilm list=Lost80
add address=195.95.151.131 list=Lost80
add address=90.156.201.51 comment=RITM list=Lost80
add address=90.156.201.62 list=Lost80
add address=90.156.201.75 list=Lost80
add address=90.156.201.25 list=Lost80
add address=186.2.161.80 list=Lost80
add address=188.190.124.85 list=Lost80
add address=81.17.23.98 list=Lost80


"Не работают сайты торрентов."
Отправлено jied83 , 17-Май-13 16:45 
>[оверквотинг удален]
> add address=74.125.43.121 comment=Xakep list=Lost80
> add address=178.250.244.245 comment=retre.org_lostfilm list=Lost80
> add address=195.95.151.131 list=Lost80
> add address=90.156.201.51 comment=RITM list=Lost80
> add address=90.156.201.62 list=Lost80
> add address=90.156.201.75 list=Lost80
> add address=90.156.201.25 list=Lost80
> add address=186.2.161.80 list=Lost80
> add address=188.190.124.85 list=Lost80
> add address=81.17.23.98 list=Lost80

надо договор почитать и звонить в ростелеком


"Не работают сайты торрентов."
Отправлено mefuss , 17-Май-13 16:51 

а они тут при чем? Договор операторский. Связь с серверами есть, кроме 80 порта все работает, сканером и фтп и другие сервисы на сайтах видны. Еще раз , это не продуктивный путь, мы год не можем концов найти. Проще через костыль.

"Не работают сайты торрентов."
Отправлено jied83 , 17-Май-13 17:20 
> а они тут при чем? Договор операторский. Связь с серверами есть, кроме
> 80 порта все работает, сканером и фтп и другие сервисы на
> сайтах видны. Еще раз , это не продуктивный путь, мы год
> не можем концов найти. Проще через костыль.

костыль как раз не выход в такой ситуации.
Попробуйте пойграться с коммунити.

12332:1000x - All Links
remarks:        
remarks:        12332:1100x -  Upstreams
remarks:        12332:1101x -   RTComm        AS8342
remarks:        12332:1102x -   Transtelecom  AS20485
remarks:        12332:1103x -   Rostelecom    AS12389
remarks:        
remarks:        12332:1200x -  Peers
remarks:        12332:1201x -   Equant        AS2854
remarks:        12332:1202x -   VNTC          AS21332
remarks:        12332:1203x -   FESU          AS12999
remarks:        12332:1204x -   RTK-Primorye  AS21105
remarks:        12332:1205x -   Port Telecom  AS34470
remarks:        12332:1206x -   KHT           AS34584
remarks:        12332:1207x -   Server Center AS34434
remarks:        12332:1208x -   AMUR          AS34137
remarks:        12332:1209x -   VTC           AS8920
remarks:        
remarks:        Where x is prepend 12332 0,1,2,4 or 6 times
remarks:        or do NOT announce x = 9


"Не работают сайты торрентов."
Отправлено mefuss , 17-Май-13 17:27 
Это я так понимаю на кошке? А где сейчас на микротике вашу теорию проверить? параметра community не вижу. Есть фильтры.

"Не работают сайты торрентов."
Отправлено jied83 , 17-Май-13 17:42 
> Это я так понимаю на кошке? А где сейчас на микротике вашу
> теорию проверить? параметра community не вижу. Есть фильтры.

моя теория в том что Ростелеком фильтрует. С Микротиком не подскажу. коммунити это хоть какой-то способ повлиять на путь самостоятельно. Но в любом случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не знаю как обстоят дела с суппортом в Ростелекоме, но в других конторах с которыми я работал инженеры при проблемах с бгп всегда шли на встречу.


"Не работают сайты торрентов."
Отправлено mefuss , 17-Май-13 17:47 
>> Это я так понимаю на кошке? А где сейчас на микротике вашу
>> теорию проверить? параметра community не вижу. Есть фильтры.
> моя теория в том что Ростелеком фильтрует. С Микротиком не подскажу. коммунити
> это хоть какой-то способ повлиять на путь самостоятельно. Но в любом
> случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не
> знаю как обстоят дела с суппортом в Ростелекоме, но в других
> конторах с которыми я работал инженеры при проблемах с бгп всегда
> шли на встречу.

Дык я с ними общался, нормальные люди, утверждают ,что у них нет фильтрации а куда стучаться не понятно.


"Не работают сайты торрентов."
Отправлено jied83 , 17-Май-13 18:06 
>>> Это я так понимаю на кошке? А где сейчас на микротике вашу
>>> теорию проверить? параметра community не вижу. Есть фильтры.
>> моя теория в том что Ростелеком фильтрует. С Микротиком не подскажу. коммунити
>> это хоть какой-то способ повлиять на путь самостоятельно. Но в любом
>> случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не
>> знаю как обстоят дела с суппортом в Ростелекоме, но в других
>> конторах с которыми я работал инженеры при проблемах с бгп всегда
>> шли на встречу.
> Дык я с ними общался, нормальные люди, утверждают ,что у них нет
> фильтрации а куда стучаться не понятно.

ну у них может в Приморье и нет, зато вот в центральном точно фильтруют.
попробуйте совместно с Приморским РТ пустить трафик через другого их апстрима. Но они могут и отказать.


"Не работают сайты торрентов."
Отправлено mefuss , 17-Май-13 18:13 
>[оверквотинг удален]
>>> случае стоит изучить эту проблему совместно с Ростелекомовскими инженерами. Я не
>>> знаю как обстоят дела с суппортом в Ростелекоме, но в других
>>> конторах с которыми я работал инженеры при проблемах с бгп всегда
>>> шли на встречу.
>> Дык я с ними общался, нормальные люди, утверждают ,что у них нет
>> фильтрации а куда стучаться не понятно.
> ну у них может в Приморье и нет, зато вот в центральном
> точно фильтруют.
> попробуйте совместно с Приморским РТ пустить трафик через другого их апстрима. Но
> они могут и отказать.

Стоит попробовать этот вариант. О результате сообщу :)


"Не работают сайты торрентов."
Отправлено mefuss , 17-Май-13 18:24 
А вообще как на кошке сделать правило НАТа которое будет натить на определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса из списка?

"Не работают сайты торрентов."
Отправлено jied83 , 17-Май-13 18:45 
> А вообще как на кошке сделать правило НАТа которое будет натить на
> определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса
> из списка?

ip nat inside source list NAT interface fast 0/0 overload

ip access list ext NAT
permit ip any host aa.bb.cc.dd

ну и интерфейсы пометить ip nat inside/outside


"Не работают сайты торрентов."
Отправлено mefuss , 18-Май-13 03:24 
>> А вообще как на кошке сделать правило НАТа которое будет натить на
>> определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса
>> из списка?
> ip nat inside source list NAT interface fast 0/0 overload
> ip access list ext NAT
> permit ip any host aa.bb.cc.dd
> ну и интерфейсы пометить ip nat inside/outside

это я так понимаю аналог команды для кошки на микротике.
Спасибо, проверил аналогичное правило на микротике, работает.
add action=src-nat chain=srcnat comment="Lost Sites NAT rule" dst-address-list=Lost Sites out-interface=sfp1 src-address  to-addresses=aaa.bbb.ccc.ddd
в адрес-лист Lost Sites заносим адреса всех сайтов которые не открываются.

В правиле для кошки описанном вами interface fast 0/0 это выходной интерфейс в сторону апстрима как я понимаю.


"Не работают сайты торрентов."
Отправлено ddmitr , 17-Май-13 19:51 
> А вообще как на кошке сделать правило НАТа которое будет натить на
> определенный внешний адрес выходного интерфейса если обращение идет на определенные адреса
> из списка?

Есть подозрение, что я использую схему, похожую на то что вы хотите сделать. Правда, у меня нет клиентов, так что нагрузка гораздо меньше.

Есть своя AS и два BGP-пира. От каждого пира есть небольшие блоки их адресов. Свои белые PI адреса мы используем для публикации собственных ресурсов, а в Интернет выходим через NAT с провайдерских адресов. Чтобы роутер использовал NAT-пул и маршрут по умолчанию на провайдера (а не full-view), настроен PBR по источнику (если определённый серый адрес, ставим next-hop на шлюз провайдера). Я думаю что вам есть смысл реализовать что-то подобное - политикой NAT'ить трафик до определённых сетей по ACL. Единственное, PBR - достаточно ресурсоёмкая вешь, под большой нагрузкой роутер может ощутимо просесть.