Не понимаю почему здесь еще никто не создал эту тему.
29 мая начиная с 10.40 МСК Мегафон СПб не смог соединиться по l2tp ipsec с домашним сервером. Т.е блокировали соединения даже внутри РФ.
На сервере было видно что приходил запрос на соединение, но клиент не получал ответа.
Vpn туннель должен идти через tcp по 443 порту. Как минимум обычным фаерволом это не отфильтровать.
А лучше использовать туннель обернутый в https (shadowsocks + vray).
2022-05-30T07:21:21.892Z
anonymous32(anonymous32)
Похоже на “учения” или динамическую блокировку, которые заболтали через тг-каналы.
Писали про “баг, а не фича”, т.е. вроде как случайная ошибка, но без подробностей.
2022-05-30T07:44:08.847Z
vanyaindigo
Похоже на пиздежь Климарева, имхо
2022-05-30T07:53:01.599Z
vanyaindigo
GlobalCheck пишут:
По состоянию на 12:00 МСК, семейство протоколов IPsec остаётся заблокированным в некоторых регионах.
Мы утверждаем, что это не “случайная” блокировка - как минимум из-за того, что эти протоколы абсолютно однозначно блокируются любым DPI и их в принципе нельзя заблокировать “случайно”, а отмена их блокировки занимает не более 5 минут.
2022-05-30T09:03:36.516Z
anonymous32(anonymous32)
У провайдера, где стоит сервер, есть ТСПУ?
2022-05-30T09:16:39.297Z
ValdikSS
Это может быть фильтр по шаблону байтов, который затронул IPsec. Можете записать дамп в pcap?
2022-05-30T09:21:56.145Z
Elevator
Есть, но не на всех точках выхода.
Но блокировка точно была на мегафоне. Проверил так: попробовал подключиться через платный vpn сервис в режим ipsec. Соединение не устанавливалось. Через openvpn подключалось без проблем.
Это очень абстрактно, необходим конкретный пакет (данные пакета).
2022-05-30T11:02:47.240Z
ValdikSS
У меня есть только один канал, где не подключается IPsec: Корбина/Билайн Екатеринбург (as3253).
На этом канале блокируются все UDP-пакеты длиной более 1366 байт, независимо от содержания и порта. IPsec работает по UDP и использует пакеты более 1366 байт, поэтому не подключается.
При этом, на канале нет каких-либо проблем с MTU или с прохождением фрагментированных IP-пакетов (например, ping -s 1600 работает в обе стороны, т.е. и уходят, и приходят два IP-фрагмента, как и TCP с MTU 1500, без уменьшения TCP MSS на какой-либо из сторон).
2022-06-01T08:01:22.895Z
anonymous44(anonymous44)
Из эти тестов не ясно доходили (приходили) или нет большие не фрагментированные tcp или icmp пакеты? (с DF флагом)
2022-06-18T12:23:31.526Z
ValdikSS
MTU интерфейса был 1500 (обычный ethernet), TCP MSS 1460, в обе стороны проходили TCP-пакеты с payload 1460 байт без фрагментации.
2022-06-19T00:34:33.688Z
anonymous96(anonymous96)
С 7:26 фиксируется проблема с прохождением IP SEC трафика по разным регионам РФ. Большое количество обращений клиентов. Проблема в работе системы фильтрации ТСПУ. В ДЦОА обнаружили проблемы в конфигурации и работают над решением проблемы
В 9:40 примерно проблема была решена.
Свидетели есть? Что там было?
Нет ли на ТСПУ ограничений на протоколы сетевого и транспортного уровня?
2023-02-11T19:47:09.365Z
ValdikSS
Сейчас IPsec почти повсеместно используют с инкапсуляцией в UDP.
8 утра. Звонок из группы мониторинга с работы. Развалилась куча IPSec-тоннелей с контрагентами. Кое-как продираю глаза, сажусь за комп. Пытаюсь диагностировать. Ни хрена не понимаю. Все вражеские хосты пингуются, любой другой трафик ходит, но на UDP:500 очень многие не отвечают.
Отдельно насторожило то, что у меня из дома построен мой личный IPSec на одну VDSочку в другой стране. И он тоже развалился, хотя провайдеры с корпоративными нигде не пересекаются. Тут в голову начали закрадываться странные мысли насчет РКН, ТСПУ и всё вот это.
Письма в саппорт одному, другому, третьему. Прям моментально от них от всех пришел ответ типа “у нас на сети авария, чиним”. Ага, у всех, одновременно, в одно и то же время. Тут стало всё совсем ясно.
В 13:18 в Телеграм-канале “ЗаТелеком” (признан иностранным агентом, запрещен в РФ и всё такое) вижу сообщение про то, что таки да. Роскомпозор начал развлекаться в 7:26 по Москве и положил у всех IPSec-тоннели. Они там что-то на***вертили такого, что даже 4G у Мегафна местами перестал работать. Меня всерьёз зацепило где-то в 7:47. Где-то в 9:40 большая часть телекомов уже поднялась. Не знаю как. Может быть, стряхнули трафик с этих ТСПУ, может ещё как-то.
Мегафон отрапортовался, что якобы полностью всё поднял в 14:47 по Москве. Ни подтвердить, ни опровергнуть не могу, т.к. у меня большинство коннектов ходит по заранее непредсказуемым маршрутам, ибо своя PI AS. И диагностировать это всё крайне сложно, потому что доходит до смешного. Два соседних тоннеля до одного и того же контрагента с одним и тем же IP на той стороне. С моей стороны один из “концов” отличается от соседнего на одну цифру в последнем октете. Маршрутизируются одинаково. Но один работает, второй —нет. При этом всё отовсюду пингуется. Поди ж ещё разберись где собака порылась.