Сегодня в течение нескольких часов на малой части подключений малой часть провайдеров с ТСПУ (Ростелеком Воронеж, Билайн Москва, Дом.Ру Москва) наблюдалась недоступность порта 443 на ряде IP-адресов в разных диапазонах хостинга DigitalOcean (159.89.0.0/16, 165.227.0.0/16). Недоступность проявлялась в отсутствии какого-либо ответа на TCP SYN-запрос, при этом все остальные порты функционировали корректно.
Пример с IP-адресом 165.227.158.127, удобным для сканирования: часть портов у него возвращает TCP RST, часть — заблокирована firewall’ом.
# Напрямую
$ sudo nmap -n -Pn --reason 165.227.158.127 -F
Starting Nmap 7.70 ( https://nmap.org ) at 2022-05-20 07:49 EDT
Nmap scan report for 165.227.158.127
Host is up, received user-set (0.041s latency).
Not shown: 51 closed ports, 47 filtered ports
Reason: 51 resets and 47 no-responses
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack ttl 56
443/tcp open https syn-ack ttl 56
Nmap done: 1 IP address (1 host up) scanned in 24.59 seconds
# Через Ростелеком Воронеж
$ sudo nmap -n -Pn -e tap0 -S 10.255.0.1 --reason 165.227.158.127 -F
Starting Nmap 7.70 ( https://nmap.org ) at 2022-05-20 07:49 EDT
Nmap scan report for 165.227.158.127
Host is up, received user-set (0.11s latency).
Not shown: 51 closed ports, 48 filtered ports
Reason: 51 resets and 48 no-responses
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack ttl 56
Как видно по полю Not shown, отличие только в ответе 443 порта.
TCP Traceroute на порт 443 останавливался на первом хопе провайдера:
$ sudo traceroute --tcp --port=443 --sport=12151 --interface=tap0 165.227.158.127
traceroute to 165.227.158.127 (165.227.158.127), 30 hops max, 60 byte packets
1 10.255.0.xx (10.255.0.xx) 39.280 ms 39.089 ms 38.883 ms
2 192.168.0.1 (192.168.0.1) 39.522 ms 39.864 ms 39.192 ms
3 1.240.c10008-a53.dsl-dynamic.vsi.ru (77.45.240.1) 60.545 ms 47.122 ms 46.858 ms
4 * * *
5 * * *
6 * * *
7 * * *
На данную минуту хосты опять доступны.
Нас тоже зацепило сегодня. Симптомы аналогичные, доступ к 22/80 портам был, к 443 не было.
Были жалобы с домру (Казань), таттелеком, ростелеком, билайн.
В течение дня проблема то появляется, то пропадает. Пока не могу с уверенностью сказать, что всё закончилось.
Наши хосты в подсетях:
104.248.192.0/20
165.22.192.0/20
134.122.48.0/20
Подтверждаю проблему с такими же симпотмами на хостах DigitalOcean, заметили 20.05.2022.
Третий день наблюдаю эти проблемы. С мобильного beeline msk и с almatel msk стабильно не доступен 443 в DO. С Теле2 мск переменно доступен.
Сообщают, что проблема еще наблюдается:
Новотелеком Новосибирск не доступен, всё так же как на картинках
Запустил ежечасную проверку RIPE Atlas со всех российских нод:
https://atlas.ripe.net/measurements/41329611/#probes
Сортировка там дурацкая, лучше всего сортировать по Majority, но всё равно сортируется неправильно.
Аналогичная ситуация: часть сайтов, которая на Digital Ocean (по 443) не доступна из, как минимум: 2КОМ (Москва), Ростелеком (Ставрополь), ДОМ.ру (Рязань). Проблемы наблюдаются с вечера 19 мая. Для конкретных сайтов / IP доступность то появляется, то исчезает. Буквально: «сейчас не доступен, через 10 минут работает, еще через 10 минут, опять нет». Все провайдеры отвечают, что с их стороны никаких блокировок или ограничений нет.
C 23:20 (мск) 19.05.2022 также столкнулись с недоступностью DigitalOcean
С 20 мая по сей день проблема наблюдается на всех наших проектах DigitalOcean.
С операторов мобильной связи носит периодический характер: то работает, то нет.
На некоторых провайдерах стабильно не работает. На некоторых стабильно работает
Заметил блокировку 45.55.41.223, когда заходил на sublimetext.com. ЭР-Телеком (Липецк). На Yota все работает.
nmap -n -Pn --reason 45.55.41.223 -F
Starting Nmap 7.92 ( https://nmap.org ) at 2022-05-24 15:36 MSK
Nmap scan report for 45.55.41.223
Host is up, received user-set (0.12s latency).
Not shown: 94 closed tcp ports (conn-refused)
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack
80/tcp open http syn-ack
135/tcp filtered msrpc no-response
139/tcp filtered netbios-ssn no-response
443/tcp filtered https no-response
445/tcp filtered microsoft-ds no-response
Nmap done: 1 IP address (1 host up) scanned in 1.77 seconds
sudo traceroute --tcp --port=443 45.55.41.223
traceroute to 45.55.41.223 (45.55.41.223), 30 hops max, 60 byte packets
1 _gateway (192.168.0.1) 0.397 ms * *
2 * * *
3 lag-2-435.bgw01.lipetsk.ertelecom.ru (109.195.8.18) 27.468 ms 27.458 ms 27.446 ms
4 ertelekom-ic-335559-mow-b4.ip.twelve99-cust.net (62.115.12.110) 21.495 ms * 21.511 ms
5 * * *
6 * * *
7 * * *
8 * * *
Заметил проблемы с доступностью репозитория https://repo.zabbix.com (пакеты deb и rpm) с многих серверов по IPv4 и https, он расположен в DigitalOcean, скорее всего связано с этим. При этом по IPv6 и https или http доступно нормально.
На Vultr наблюдаю подобную проблему. Недоступен сайт через https на сервере в Нидерландах
Сначала, около недели назад, отвалился доступ через обычного провайдера, сегодня на Tele2 и Yota
Возможно это связано с блокировкой VPN-сервиса Windscribe VPN-сервис Windscribe рассказал, что его могли заблокировать в России — пользователи жаловались на сбои в работе — Новости на TJ
2022-06-01T04:16:00Z проблема всё ещё наблюдается.
This post was flagged by the community and is temporarily hidden.
Domru Красноярск, аналогично. На Мегафон Красноярск - работает.
Хм, только позвонил в саппорт, начали переключать на вторую линию и оно починилось 
После обращения в техподдержу через несколько часов тоже стал работать.
Сервер v2ray на виртуалке Digital Ocean на 443 порту ( и сегодня то же самое было) - 15 минут все ок, 15 минут не работает, и так по кругу. Сменил порт и все окей.
Утром отлетел SS на сервера оракла. Параноик режим через cloudflare работает
Речь про блокировку на DigitalOcean или конкретно ss?
Привет всем. Наблюдаем аналогичную проблему для своих сайтов на DigitalOcean. Периодически возникает ERR_CONNECTION_TIMED_OUT на провайдерах: Билайн, Дом.Ру, Ростелеком. Проблема длится от минуты до часа. IP-адреса в списке блокировки РКН отсутствуют. Проблема только у пользователей, сервисы проверки доступности сайтов ничего не видят, поисковики ходят как обычно.
Я хотел бы писать официальное обращение-жалобу в Роскомнадзор от имени компании. На Хабре видел предположения, что это баги в работе ТСПУ. Есть ли ещё какая-нибудь техническая информация, на которую я могу сослаться? Есть ли у кого-нибудь желание присоединиться к обращению?
Домру снова сломал sublimetext.com
Пишите обращение. Прикладывайте все трассировки. Проблема действительно в работе ТСПУ.
Не припомню, чтобы Роскомнадзор кому-либо отвечал по существу в последние годы.
По-хорошему, если относиться к этому как к обычной сетевой проблеме, я бы на вашем месте сделал tcp traceroute на порт 443 вашего IP-адреса и рабочих соседних (чтобы можно было сравнить трассу), записал дамп трафика обращений на порт 443 и какой-либо другой с клиентской и серверной стороны, чтобы было видно, что запросы с клиента на порт 443 не доходят, а на любой другой доходят.
Это “баг” только если “зависает” весь адрес вместо сессии, на которую сработало условие в правиле для блокировки. Но правила не пишут вручную, а значит это поведение намеренное, или даже специальное, а из условий там таймер да случай. И блокируют подсеть, а не отдельный адрес.
Но писать надо, конечно, нужно улучшать механизм блокировок, чтобы он не мешал населению смотреть яндекс.новости.
У меня был успешный опыт общения с Роскомнадзором. Ответили относительно быстро и по существу, потому собственно есть надежда. tracetcp, к сожалению, особо ничего не показывает — схожие таймауты и на доступных сайтах видно и на «временно заблокированных». Сначала обращусь с IP-адресом хоста и доменом. Надежда была на «мясо» от провайдера, но там первая линия совсем не туда гнёт (ваш сайт лежит, потеребонькайте провод и пр.). Будем пока копить скриншоты.
Замечено, что «блокировка» работает от секунды до несколких часов — отсюда намёк на автоматическую природу явления. Любопытно, что Билайн Бизнес и Билайн для физиков (LTE) по-разному работают в одной и той же локации.
На запрос в РКН, мне подтвердили, что происходит блокировка порта 443 — ложноположительный результат сигнатуры Lanternvpn. Решения пока нет.
Можете переслать ответ в оригинальном вмде сюда или мне лично?
Как личное сообщение отправить?
Написал два обращения здесь https://rkn.gov.ru/treatments/ask-question/ и здесь https://eais.rkn.gov.ru/feedbackForm/, а так же на почту дежурного ЦМУ ССОП. Упомянул массовый характер проблемы и что ошибочная блокировка наносит вред нашему бизнесу и в целом ИТ-отрасли. Буду ждать ответов и отлавливать tracetcp.
Я не профи, но IP-адреса наших серверов статические и не меняются годами, наверное мог бы быть некий белый лист для проверенных хостов. 
Чтобы хотя бы по запросу резолвить ложные срабатывания.
Информирую общественность о результатах. Из всех каналов обращения в РКН, переписка с оперативным дежурным ЦМУ ССОП ФГУП «ГРЧЦ» оказалась самой продуктивной. Не в пример многим провайдерам, запросили техническую информацию и отследили результаты. Сейчас у наших серверов проблемы с доступом к DO не наблюдается. Хэппи энд. Респект и уважуха участникам.
Сдается мне, что не только 443 порт закрыли на DO, но и 22-й порт закрыли на DO и Linode.
Проблем последние 2 недели на DO замечено не было.
Наблюдаем проблемы с доступом к 22 порту на DO с некоторых операторов. Где-то с 21.07 в районе ±5 вечера мск
Подтверждаю. Остальные порты и пинг работают нормально.
@coldhamix, @Vanav, напишите конкретные IP-адреса для проверки.