OpenVPN + pfSense rute torrent trafikk.

[Bleenda]

Hei hopp, tenkte litt på et setup her som jeg er litt i tvil om er mulig å få til. Er en rundt 5-6 maskiner her som står å seeder (selvfølgelig lovlige linux-iso filer). I redsel for å bli misforstått med nye lover som er kommet frem tenkte jeg å kjøre min lovlige torrent trafikken gjennom en VPN. Ser for meg et setup som dette :

pfSense box som tar seg av routing og firewall, jeg tenker å opprette et virtuelt nettverkskort som er aktivert med OpenVPN med feks en tilbyder som mullavad.se.

 

Noen som har noen hint eller triks for hvordan jeg kan merke pakkene i lokalnettet som bitorrent pakker? Jeg kan ikke filtrere på port eller ip (?) så vidt jeg skjønner fordi disse forandrer seg basert på hvilken adresse du seeder til.

Så jeg er egentlig ute etter en måte å bruke ip-tables eller lignende for å filtrere ut torrent trafikken.

 

Noen smart hoder som har noen innspill?

[Scriptgutten]

Kanskje det er mulig å sette opp en SOCKS5 proxy i pfsense, hvor all trafikk som går via proxyen blir rutet ut via VPN? Det er flere torrentklienter som lar deg bruke SOCKS proxy, men det er ikke alltid det er skikkelig implementert med innkommende tilkoblinger, UDP osv, så det kan være du blir "not connectable".

[Bleenda]

Ja, har tenkt den tanken også, men er mye klaging på hvor sikker "proxy" implementasjonen i diverse klienter er. Og da er det jo litt mot sin hensikt.

[Scriptgutten]

Det er ingenting som er bombesikkert, men uTorrent har ihvertfall en boks for "disable features that could leak identifying information" eller hva det nå står. Det er ihvertfall tegn på at de har gjort "noe" for å se gjennom koden og fjerne de mest opplagte tingene. Jeg tror uansett at det er mye tryggere enn å prøve å få pfsense til å identifisere torrenttrafikk automatisk, og å rute den via VPN

[Chris93]

Jeg ser ikke hvorfor du skal sette opp VPN for seeding av lovlige torrents. Det er ikke ISP som merker P2P-traffikk til linjen og rapportere deg til myndighetene. Etter hva jeg har forstått så er det de "fornærmede" som sjekker torrents selv, finner seeds på torrenten, ser hvem som er basert i Norge og tar det derfra. So det er kun organisasjoner og deres representanter som er helt vill på copyright, som f.eks den amerikaske film- og musikkbransjen som vil gå etter deg. Nok om det.

 

I torrent klienten din så kan du velge hvilken port som blir brukt incoming, men det hjelper jo ikke. Som nevnt kan du sette opp en proxyserver, f.eks squid, og la torrenttraffikken går igjennom den. Samtidig så oppretter du et virtuelt for openVPN som squid vil sende trafikken gjennom

 

Jeg ser også at i min torrentklient (qbittorrent) så kan jeg velge hvilket NIC det skal bruke. Da kan du sette fast IP på den og la traffikk til og fra den IP-adressen gå gjennom VPN.

[Scriptgutten]

Sikker på at det NICet den skal bruke ikke bare er for innkommende det og?

 

Det vanlige er at man kan binde til et visst NIC for innkommende tilkoblinger, eller til 0.0.0.0 som vil si på alle NICs, mens for utgående er det rutingtabellen som bestemmer uavhengig av hvilket NIC man har bindet til, men det trenger selvfølgelig ikke å være slik.

Endret 1. desember 2013 av Scriptgutten

[Chris93]

Det står det ingenting om, men det hadde jo vært på trynet om det hadde vært slik.

Når jeg tenker meg om så går jo det an å ha en egen boks for torrenting som kun går gjennom VPN.

 

Når jeg nå prøvde å se gjennom layer7 filtering i pfSense så fikk jeg ikke valgt noe der, men det burde jo være den enkleste løsningen. Egen boks vil jeg si er dte mest idiotsikre.

[Scriptgutten]

Jeg har selv hatt en virtuell maskin til lovlige linux ISO torrents som også kjørte via VPN, (sånn for at jeg ikke skulle bli feilidentifisert som pirat av musikkbransjen, altså), og lagret på en NAS slik at jeg kunne nå filene derfra fra den egentlige PCen, men det er jo vært greit å slippe å gjøre det på den måten hvis det er mulig.

[Chris93]

Selvfølgelig. Jeg har ikke testet om traffikken går kun på det ene NICet, men jeg vil anta det. Nå gidder jeg ikke dra frem en kabel og teste, men jeg kan sikkert gjøre det i morgen. Jeg ser at resource monitor på win7 viser hvilke port og IP-adresser de forkjellige prosessene kommuniserer til og fra.

Jeg ser nå at dersom jeg velger et NIC som ikke er koblet til, så er det ingen kommunikasjon som foregår unntatt loopback, jeg vil si det fungerer.

 

Jeg er fremdeles av den oppfatning at det ikke er nødvendig

[Bleenda]

Hovedproblemer er forsåvidt at jeg eier Internett, men vi er 7 forskjellige brukere på 2 etasjer. Derfor hadde en slags filtrering vert veldig gunstig i forhold til en dedikert torrenting boks. Da jeg da kan være sikker på at all torrent trafikk går gjennom VPN.

 

Forsåvidt, uten å sjekke.. kan man legge til en virtuel NIC med egen ip? Binde denne med torrent programmet, og filtrere all trafikk på disse ip-adressene gjennom VPN?

[Occi]

Mener å tro at det ikke skal være noe stort problem.