Вчера из РФ перестали открываться сайты, размещенные на хостинге Hetzner, которые отдают содержимое с него напрямую и не имеют других CDN по дороге. Через VPN других стран все работает.
Анализ трафика показывает, что пакеты SYN остаются без ответа. Пинги при этом проходят.
Пример сайтов для проверки:
Сам сайт и правда не могу открыть, но все ресурсы доступны. Провайдер МТС
И что самое занятное - и кеды и арч и файлзилла открываются без помощи чего бы то ни было.
Сам херцнер, да, сам хетцнер - протух.
Такое ранее в этом году уже случалось, через пару дней вернулось в норму (см. Блокировка HTTP/HTTPS в сторону Linode, OVH, Fastly, Digital Ocean, Scaleway)
Выглядит как очередные учения по борьбе с VPN.
Спасибо за информацию. То есть думаете РКН втихую накрыли все диапазоны хостинга? Тогда будем ждать.
У меня (https://www.hetzner.com/) открылся после добавления в автоблоклист Запрета.
Кстати да, хабр тоже нормально не открывается. Ресурсы с доменов habrastorage.org и assets.habr.com недоступны.
Тоже замечаю блокировку диапазонов хостинга Hetzner. К нескольким малоизвестным сайтам небольшого размера (о которых РКН ну точно ни разу не слышал) отсутствует доступ примерно с 17-18 часов по МСК.
Аналогично, отвалился сегодня Hetzner на мобильном Билайне, независимо от протокола или порта (HTTP, HTTPS, SSH). Пинги ходят.
Случайно обнаружил, что датчик температуры на ESP8266 все же как-то пробивает. Сравнил пакеты.
На клиенте выставил в ядре net.ipv4.tcp_window_scaling=0 - и заработало, траффик пошел.
Есть этому объяснение?
Сайт хостинга заблокировали ранее отдельным решением: РКН заблокировал сайты 8 хостинг-провайдеров в рамках закона о "приземлении"
Проверять блокировку лучше другими сайтами, например:
Ростелеком Урал, не сработало. Может разным провайдерам сказали по-разному блокировать, чтобы подобрать самое эффективное решение?
Мне не помогло.
Видимо конкретно вашу коробку ТСПУ это сбивает с толку.
Это очень странный способ блокировки, зачем коробке смотреть на какие-то флаги или сигнатуры, если вот он IP которого достаточно.
Я думал, какие-то глюки у провайдера, но судя по этой теме, отвалилось в разных регионах. Я в Сибири.
Йота, Нск.
https://www.hetzner.com/ не открывается, висит.
https://archlinux.org, https://filezilla-project.org, https://kde.org/ сначала открывались, потом перестали. Висят. https://w3techs.com/ тоже отвалился на момент проверки. Браузер New Moon без ECH и DoH, DNS провайдеровский.
Также не открываются https://2ip.ru/ и https://2ip.io/.
Под VPN всё открывается.
https://matrix.beeper.com/ и https://tilde.institute/ тоже не открываются, а https://wetdry.world/ ок.
Интересно. 2IP действительно на Hetzner, но в текущий момент у меня открывается.
Не открывается, но traceroute и ping ок.
sudo traceroute -I 2ip.ru
traceroute to 2ip.ru (188.40.167.82), 30 hops max, 60 byte packets
1 _gateway (10.0.0.1) 1.093 ms 1.044 ms 1.074 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 85.26.206.50 (85.26.206.50) 52.229 ms 51.417 ms 51.222 ms
10 2ip.ru (188.40.167.82) 138.995 ms * *
ping -c4 188.40.167.82
PING 188.40.167.82 (188.40.167.82) 56(84) bytes of data.
64 bytes from 188.40.167.82: icmp_seq=1 ttl=50 time=175 ms
64 bytes from 188.40.167.82: icmp_seq=2 ttl=50 time=129 ms
64 bytes from 188.40.167.82: icmp_seq=3 ttl=50 time=128 ms
64 bytes from 188.40.167.82: icmp_seq=4 ttl=50 time=166 ms
--- 188.40.167.82 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3007ms
rtt min/avg/max/mdev = 127.567/149.439/175.191/21.380 ms
При попытке открыть в браузере http://2ip.ru/ (без шифрования) в Wireshark через полсекунды приходят красные TCP Retransmission, а браузер чего-то ждёт. Потом они повторяются.
Похоже блок. т.к. сразу, а связность есть. Тем более, что по началу открывалось.
у нас сервис и примерно 20к клиентских сайтов, все на хетцнере
С 23 мск вчера пошли сообщения о недоступности от клиентов на разных провайдерах в РФ
День в поисках решения, но пока вариантов не особо, без больших телодвижений…
ECH тут 100% не при делах!
Все указанные сайты работают. Никаких блокировок не наблюдаю.
https://www.hetzner.com/ РТ Урал, не открывается без штучек, это DPI блокировка в чистом виде. Со штучками открывается с ECH или без него.
ещё днём проверил, не знаю что вы выяснить не можете это.
См. выше
это не связано с темой
сам хетцнер уже давно забанен, речь идет о сайтах, которые на нем хостятся
интересно было бы посмотреть пробивает ли это запрет по типу desync=syndata итд
Адреса OVH на некоторых провайдерах тоже блокируются, например: https://indieweb.social/
Открылись все сайты из шапки + сам www.hetzner.com. Причем, на самой слабой стратегии в Zapret. Провайдер МТС.
Проверил все сайты из шапки - нормально открываются без всяких обходов. Ростелеком
www.hetzner.com не открывался, сам добавился в автохостлист запрета и открылся.
Брат на ртк (нск) тоже говорит 2ip и archlinux открываются. У меня на йоте нет. В том же городе, ну почти.
Не открывается. https://nextcloud.com/ тоже. Жесть.
Присоединяюсь. Отвалились все сервисы Nextcloud находящиеся в Hetzner:
https://nextcloud.com/
https://apps.nextcloud.com/
https://download.nextcloud.com/
и CollaboraOffice в этот же список
https://www.collaboraonline.com/
В принципе заблокировать все диапазоны хостеров - простая и хорошая идея с т.з. боротьбы с интернетами. Зачем париться со сложными схемами? Если заблокировано, значит, не нужно и тлетворно.
Пробую всякие стратегии копипастой в byedpi - ничего не помогает. В ответ прилетает TCP Retransmission.
Однако, браузер New Moon без DoH, Kyber, http3 и прочих наворотов, в линуксе.
В моем случае точно не помогает. Как написано в первом сообщении, оно дропается еще на этапе TCP SYN. Там до установки HTTP-соединения и инспекции пакетов DPI дело даже не доходит.
Согласен. И обходить проще и ни какие списки по блокировкам создавать не нужно. Всё через туннель заворачивать кроме ru сайтов.
тоже самое, мгтс мск
Только наличие домена ru не показатель.
geoip и geosite в придачу, и тогда вообще нормас
Если не на ru хостинге расположен сайт с доменом .ru - иноагент! /сарказм
Habr затыкается на https://assets.habr.com/ (Hetzner). Как же всё полегло.
Я и не заметил, т.к. под VPN всегда.
Но проблема не массовая, т.к. здесь визга нет https://vk.com/yota
Может даже специально только ковыряльщиков накрыли.
Для обывателя здесь непонятно что происходит. Наткнувшись на такой сайт, большинство подумает, что просто сам сайт лежит. Остальной интернет ведь работает, какая причина бежать жаловаться?
Плюс сайты эти не самые популярные в рунете.
И вообще еще нужно догадаться найти общую связь между этими ресурсами. У меня только после анализа нескольких внезапно переставших работать ресурсов пазл сложился.
Вот такая схема у разработчика Calculate Linux
Habr и 2ip довольно популярные. Хотя, конечно, после бана Cloudflare нечему удивляться.
Интересно, что у меня первую минуту сайты открывались, а потом внезапно перестали. Первую минуту, когда я заюзал йота интернет для проверки, т.к. до этого сидел под vpn.
Я для теста запускаю виртуалку с сетевым мостом, она параллельно vpn.
Вот это очень весело. Потестил после перерыва. Сайты заработали. Но только на несколько секунд, а потом снова отвалилось и стал таймаут. Это явное вредительство.
Запустил ciadpi -d 2 -s 1, заработал сам hetzner и другие сайты на нём и на OVH, но потом опять отвалилось.
Заметил, что после перерыва первые несколько секунд ТСПУ не работает (не сразу просыпается). Например, ECH некоторое (недолгое) время работает (открываются заблокированные и незаблокированные сайты). Интересная особенность. Под перерывом (от нескольких минут до часов) я имею в виду, что гонится через йоту только vpn на один IP, а потом я начинаю тесты. И ТСПУ просыпается не сразу. Значит, доступ к Hetzner и OVH режет ТСПУ.
К примеру, первый запрос curl --http3-only --ech hard --tlsv1.3 --doh-url https://cloudflare-dns.com/dns-query -4 -v https://rutracker.org/forum/index.php успевает отработаться, а вторая попытка уже нет:
Failed to connect to rutracker.org port 443 after 121350 ms: SSL connect error
curl: (35) connection closed by idle timeout
Т.к. особого крика нет, думаю задеты только “плохие” абоненты. Похоже тем, кто гоняет много трафика зарубеж или часто пользуется VPN зарезали доступ к хостингам. Засранцы.
Опять ожило и умерло. 22 ssh порт тоже закрыт.
git clone git@invent.kde.org:accessibility/accessibility-inspector.git
Теперь я верю, когда люди говорят, что у них скорость на хостинги режут.
Я в их числе очевидно. У меня арч линукс ресурсы щас по ип забанены. whois показывает hetzner
Видно им не понравилось, что я гонял ютуб траффик через запрет напрямую по зарубежному ggc в /dev/null демоном
Но если им так жопу прорвало, значит мой план сработал и я нанес им прямой ущерб имуществу. Вины не чувствую, они сами это сделали заблокировав провайдерский ggc
Это лишь лишний раз подтверждает гипотезу, что провы такие же палачи и их нужно валить, они при всех “делах” и их “на нашей стороне все хорошо” больше не работает как оправдание.
У меня еще погода упала wttr.in
Жалко, гонять такое по прокси конечно суицид учитывая там настройки долготы и широты есть… близко к дому желательно.
Кто-то пробовал жаловаться провайдеру? Какое у них оправдание? Это просто невыносимо. Второй день что-то мутят непонятное, все сайты на Hetzner отвалились.
Что, вот прямо вот встать с дивана и что-то сделать?
У меня пока работает.
curl -is -4s --max-time 90 --retry-delay 3 --retry 5 https://pkgstats.archlinux.de/api/packages/pacman | head -n 2 | grep -i HTTP | awk '{print $2}'
200 спокоен как удав.
Но на тему “подписан”, конечно.
провайдер ничем не поможет) все действия производятся на тспу
ну провайдер может написать запрос в цму для снятия фильтрации (причем по срокам там было все очень быстро)
но я такое видел при работе с юриками в цод, про физ. лиц хз
Подтверждаю, на проводном домашнем интернете теле2 в Москве (т.е. по факту на Ростелеком) последние пару дней недоступны или частично недоступны или периодически недоступны ресурсы на hetzner (например *.archlinux.org) и на ovh. icmp ping проходит, но tcp ping на 443/80 порты нет.
Такая же картина, но уже достаточно давно (несколько месяцев) наблюдается на мобильном беспроводном интернете от билайн Москва.
При этом ранее на проводном интернете от теле2 и билайн Москва особенно в дневное и вечернее время было замечено также замедление (умышленное или нет, не знаю) ресурсов на ovh и oracle cloud которое выражается в увеличении времени отклика за запросы до нескольких секунд по tcp (и как следствие по http/https) по 80/443 портам, а также падение скорости.
Ни в коем случае, они этого и ждут. Сейчас ты у них в условном сером списке, если ты заявишся, то ты 100% подтверждаешь им что это ТЫ и ТЫ сейчас занимаешься перегоном траффика и занесут тебя уже в черный список абонентов и будут после этого отключать вообще все что захотят именно ТЕБЕ по нату.
Можно попробовать через левую симку, если начнут спрашивать номер договора и ФИО, то это конец.
Так по итогу есть блок или нет? Или задело какой-то процент людей? Некоторые пишут, что всё ок.
Скорее всего блок за TLS 1.3, поэтому всякие курлы и вгеты без него работают.
Нет.
У меня блок независимо от порта протокола. Не работают том числе и SSH подключения к ресурсам на Hetzner.
А можно хоть что-то кроме утверждений дамп или выхлоп curl.
Был блок примерно с 10 утра и до примерно 17:30 по мск. TCP подыхал сразу на SYN, udp просто в блэкхол, ICMP ходил. Существующие tcp/udp коннекты работали, но новые не устанавливались. Видимо где была запись в нате - там и ходило
UPD: tcp был аналогичен вот этому дампу из смежной темы
В среду в ~ 21 по мск пропал доступ, пров ТТК, сейчас все вернулось взад: ssр, http, https - все пашет
Там нечего показывать. Уходит пакет TCP SYN и в ответ тишина.
curl соответственно просто висит до таймаута.
Upd: стоило только это написать как внезапно все заработало. Похоже как и сказано в сообщении выше, видимо решили разблокировать.
Ну фиг знает у меня лично все и не переставало работать, а по чатам тишина (кроме новостных). Ну то есть если бы это как с ECH было все бы прибежали и просмотров было в разы больше в теме. По ним тоже стоит ориентироваться.
Какова вероятность, что это не результат действий РКН, а неожиданные последствия обновления оборудования самим hetzner`ом, которая была накануне?
Hetzner Online Status (2024-11-05 03:30 UTC+0)
Hetzner Online Status (2024-11-06 03:30 UTC+0)
Hetzner Online Status (2024-11-08 03:30 UTC+0)
никто в поддержку hetzner не писал?
Блок очевидно не у всех был. РКН любит эксперименты в отдельно взятых регионах/провайдерах.
В первом сообщении изначально была мысль об этом. Мера больно жестка даже для РКН. Но может поэтому блок и не был всеобщим - проверяли реакцию и что сломается.
ахаха что-то с ECH обосрались сами свой же сайт и похерили.
так ЕСН не разблокировали же, значит всё ок
Мск, ЗАО
открываются все сайты из шапки без “дурилок”. сайт Hetzner лежит, но его уже давно вроде блокнули
И млять с каких это пор их интересует, что сломается. Их походу вообще это не интересует. (Ещё бы примерно 17% сайтов от общего количества всех сайтов в интернете положили, да не у всех изначально был включен ECH так что не 17) Скорее всего проверяли как работает блокировка.
Да, буквально пол часа назад снова все заработало. По крайней мере у меня.
Нет ну мне пишут они же проверяют, что же в результате ихних блокировок они положат. Ну я и пишу что-то они там хуево проверяют)
Может вообще не проверяют.
В общем тут можно бесконечно спекулировать. Мы простые пользователи видим только конечный результат.
Мне тоже только что разблокировали, хотя ещё днём на вопрос прояснить ситуацию отвечали шаблонно: “Ограничений со стороны компании Ростелеком нет”
Да нифига они не проверяют, заблочили и всё. Не работает - значит не важно для чебурнета.
Ну проверяют заблочили или нет. А не то что после блокировок не работает.
“Ежемесячного взноса со стороны моего физического лица тогда тоже нету. Досвидания.”
Справедливости ради, много раз уже говорилось, что провайдеры не контролируют работу ТСПУ. Для них это такой же черный ящик.
У меня всё ещё ничего не заработало. Inet Lan, мелкий питерский провайдер. Отваливается на этапе ClientHello:
$ curl -v https://w3techs.com
* Host w3techs.com:443 was resolved.
* IPv6: (none)
* IPv4: 178.63.63.253
* Trying 178.63.63.253:443...
* Connected to w3techs.com (178.63.63.253) port 443
* ALPN: curl offers h2,http/1.1
* (304) (OUT), TLS handshake, Client hello (1):
* Recv failure: Operation timed out
* LibreSSL/3.3.6: error:02FFF03C:system library:func(4095):Operation timed out
* Closing connection
curl: (35) Recv failure: Operation timed out
Кажется, что режутся все пакеты после SYN-ACK от сервера. SSH (с -v) пишет, что соединился (Connection established), а потом отваливается по таймауту на обмене ключами.
Тебе повезло похоже.
upd и я в том плане что не ип блок, а есть tls хотя бы
Угу они сами в заложниках. По сути они размещают, а гос органы контролируют их работу. Закачивая туда зловредные обновления для народа.
чем больше сайтов будут переходит на ЕСН тем больше будет отваливаться интернета
вот тебе и “белые списки” и даже ТСПУ не надо сильно задействовать
Ну у меня пока ок
Ну так в том и суть. Они дали выбор и выбора 2
Отключить ECH или включить и сидеть в блоке не в зависимости есть там что-то запрещено или нет.
Я открою секрет, но обыватель не знает ни про curl, ни про dig, ни про whois. Блокировки выглядели слишком случайными, чтобы без диагностики можно было сопоставить два плюс два и выяснить причину. Провайдер всегда будет врать и отпираться. А раз проблема не всеобщая (в отличие от блокировки ECH, например), то никто и не напишет, ведь у кого-то всё работает.
я вчера реддит мониторил, но чет там тишина была, я думаю написали бы, а тут ток рф и ток несколько провайдеров получается
А быстро у тебя до Connected доходило? У меня вчера через раз, то таймаут до Connected то после было
Плюс-минус мгновенно
Речь идёт хотя бы о том, чтобы они объяснили что происходит и обрисовали примерные сроки. Сейчас нет даже этого, держат за полных дураков.
Сроки чего учений,теста блокировок?
Кому они нужны
Это выбор дали только ру-сайтам. Иностранные сайты ради России не будут отключаться от ECH. То есть интернет сам от нас заблокируется из-за блокировки одного домена рано или поздно.
Да. Arch Linux Один из самых популярных дистрибутивов, это по любому было бы замечено, особенно среди итишников
Блин даже их вики читают все не только те кто на арче, а это тоже в блоке было
Ммм надо тогда свои протоколы и свои браузеры сделать тогда и блокировать ничего не надо.
Вот ещё так могу показать
Там только можно приблизить идею о белом списке протоколов
Не настолько, чтобы вызвать массовый резонанс. И как уже сказано было
Да и в другой теме таки заметили.
Поспал, перезагрузил модем. Сайты заработали. Йота Нск.
В это раз дали посёрфить Hetzner сайты немного подольше, но всё равно опять словил блок.
Блочится, если открывать много Hetzner сайтов. Вот только я не знаю, что важно. Количество запросов, айпишников или объём трафика.
Сходил в магазин, вернулся, блок снят.
Решил с kde.org поскачивать что-нибудь тяжёлое (чтобы было мало запросов, мало айпишников, но много трафика). Пока гуглил артефакты их опять словил бан Hetzner сети.
Было интересно, что там с QUIC (UDP) - тоже таймаут, только ICMP пашет (ping, traceroute ок).
Есть теории:
- Блок прог по типу Psiphon, Lantern, у которых много коннектов на хостинговые IP.
- Блок впна на Hetzner. Теорию так и не проверил, т.к. не нашёл как скачать много трафика с Hetzner IP. Пока гуглил, словил бан. Да, и у многих проектов ведь зеркала в других местах.
- Тонкий намёк отказываться от зарубежных хостингов. После истории с ECH.
- Снижение нагрузки на зарубежные каналы (маловероятно).
Не уверен, что есть чёрные списки абонентов. Ведь блок снимается и появляется только если сёрфить много Hetzner сайтов. Хотя, может им и включают такое.
Поставил скрипт на крон, которые будут дергать каждые 5 минут файлы на Hetzer если ответ не 200 повод будет напрячься.
Может ночью втихую пилят, настраивают блокировки была такая гипотеза. А утром или вечером в прод и в массы народа.
Ну отписываюсь за скрипт поставил я его в 20:16 по Москве. Провайдер у меня проводной Ростелеком
Содержание такое скрипта:
date && curl -is -4s --max-time 90 --retry-delay 3 --retry 5 https://pkgstats.archlinux.de/api/packages/pacman | head -n 2 | grep -i HTTP | awk '{print $2}' && curl -is -4s --max-time 90 --retry-delay 3 --retry 5 https://download.filezilla-project.org/client/FileZilla_3.68.1_win64_sponsored2-setup.exe | head -n 2 | grep -i HTTP | awk '{print $2}'
Результаты по ссылке.
По результатам видно (я бегло просмотрел), что тайминги сохраняются (запускается каждые 5 минут) curl в retry не уходит, а значит у меня лично ничего не блокируется, но поддерживаю мысль, что у отдельно части провайдеров или отдельной части России тестируется блокировки.
В отношении Hetzner были санкции РФ это т.е не выдача сайта в Яндексе и блокировка главной страницы хостера. Ну вот в отношении OVH точно такое припоминаю.
Скрипт пока на дежурку оставлю.
поставил в Postman выполнение GET’ов ко всем сайтам в шапке, всю ночь проблем не было - сплошные 200. Мск, РТК
Делаю запросы с сервера выделенного на хетснере (cURL с OpenSSL), до Битрикс24 (там несколько серверов в разных регионах). Один из 3-4 запросов зависает. Вот так выглядит - Monosnap
Вот нормальные - Monosnap
Далее, делаю запросы со старой виртуалки на хетснере (cURL с NSS) и там пофиг на какие IP, все проходит. Но почему-то не пишет про TLSv1.3 вообще ничего (вот не знаю, может из-за того что NSS).
Как сообщалось здесь Блокировка HTTP/HTTPS в сторону Linode, OVH, Fastly, Digital Ocean, Scaleway для блокировки может потребоваться 3 условия:
Anyuta1166
По всей видимости это расширение динамических блокировок на ТСПУ, и блокировки применяются только при одновременном совпадении ряда условий:
- если запрос идет к определенным доменным зонам (com, net, org, ?)
- если IP-адрес назначения находится у определенных провайдеров (OVH и др.)
- если IP-адрес источника ранее неоднократно замечен в использовании “запрещенных” VPN-протоколов
Целью, вероятно, является блокировка VPN-протоколов, маскирующихся под http(s).
При этом я уже довольно давно не использую OpenVPN с Билайна, но до сих пор одной из первой получаю все новинки блокировок. Похоже, что мой билайновский IP-адрес попал в черный список ТСПУ на очень долгий срок, если не навечно.
Под “источником” я так понимаю имелся в виду пользователь.
Самого Валдика в июле подрезали, но он связался с провайдером и блок сняли.
ValdikSS
Проблема пришла ко мне на домашний канал, в 2024-07-06T18:31:00Z.
…
Мне по звонку «перенастроили ТСПУ на моей площадке», но не подтверждают, что у них что-либо работает нештатно. Отвечают, что необходимо заводить заявки в ДЦОА через техподдержку провайдера, в каждом случае.
18 Октября у мена тоже такое было. Из-за этого нужно было играть на серверах Майнкрафт через ВПН. Афигеть до чего докатились. Написал провайдеру что сервера Майнкрафт заблокированы, после этого все было ок. Сейчас вроде все работает, надеюсь так и продолжится.
Ну раз такая пьянка. Я дополню, что проект KDE и ранее жаловался на блокировки.
И я где-то читал, что ТСПУ не любит трех буквенные поддомены и домены в принципе {api,vpn} новость где-то была. Это дополнение о доменных зонах.
Ну дык, а запрещенные он все считает тех кто не в белом списке. Блокируют те, которые может ТСПУ заблокировать.
Ну, а Arch я давно в листы свои добавил глядя куда все скатывается
Вот если кому нужно:
archlinux.org
www.archlinux.org
accounts.archlinux.org
archive.archlinux.org
aur.archlinux.org
bbs.archlinux.org
bugs.archlinux.org
coc.archlinux.org
conf.archlinux.org
dashboards.archlinux.org
debuginfod.archlinux.org
dev.archlinux.org
discourse.sandbox.archlinux.org
git.archlinux.org
gitlab.archlinux.org
ipxe.archlinux.org
lists.archlinux.org
mail.archlinux.org
mailman.archlinux.org
man.archlinux.org
master-key.archlinux.org
matrix.archlinux.org
md.archlinux.org
monitoring.archlinux.org
mta-sts.archlinux.org
mta-sts.aur.archlinux.org
mta-sts.lists.archlinux.org
mta-sts.master-key.archlinux.org
openpgpkey.archlinux.org
openpgpkey.master-key.archlinux.org
package-maintainer-bylaws.aur.archlinux.org
packages.archlinux.org
patchwork.archlinux.org
ping.archlinux.org
planet.archlinux.org
quassel.archlinux.org
registry.archlinux.org
repos.archlinux.org
reproducible.archlinux.org
reproducible-notes.archlinux.org
rsync.archlinux.org
security.archlinux.org
sources.archlinux.org
state.archlinux.org
static.conf.archlinux.org
status.archlinux.org
terms.archlinux.org
tu-bylaws.aur.archlinux.org
whatcanidofor.archlinux.org
wiki.archlinux.org
Что-то совершенно не понятно, что делать в данной ситуации. Куда писать, кому… В OVH, что их заблокировали в РФ? Но блокировка какая-то частичная… Писать в РКН? Что говорить?
Писать на деревню дедушки
Напишешь в РКН в одиночку , станет сразу хорошо жить
В OVH - можно словить блок по гео
По сути идет борьба с ветряными мельницами
Ну если просто схавать блокировку целых дата центров, чебурнет наступит слишком быстро.
Именно по этому ни в коем случае не переходите на русские датацентры. Именно этого они хотят чтобы главной защиты антицензуры - collateral damage не было. Сейчас он есть. А вы же хотите на себя наручники надеть? Ркн хочет убрать collateral damage как феномен, и тогда да, действительно чебурнет. У вас сейчас есть шанс и он в ваших руках, максимизурейте урон, диверсанте русские сервисы.
Да нет не малейшего желания переходить на российские ДЦ. Но тут тоже, страдают ведь клиенты. Нужно подумать над следующим:
- Зная РКН и ТСПУ, данные ограничения в сторону ДЦ могут быть просто ошибкой или сопутствующим ущербом, который не планировался, ведь стало сильно больше таких случаев именно после ситуации с CloudFlare. Они сами могут не знать об этом. Как мне кажется, обязательно нужно донести до них эту информацию.
- Если все же ситуация не поменяется в ближайшее время в лучшую сторону, подумать, как вынести данную информацию о блокировках западных ДЦ в массы. Ибо сейчас проблема касается не так многих и расчитывать на то, что это вызовет резонанс в обществе - не приходится.
Также не понятна избирательность по направлению блокировок. Ладно Хетзнер. Он в списке для приземления, еще как-то можно понять. Но OVH даже нет в этом списке. Почему блокировка касается и его - не понятно. А например Диджитал Оушен - не касается.
Не то слово. Даже на лоре никакого упоминания Hetzner за последнее время. А там должны быть пользователи archlinux.
А YouTube в каком списке?)
Ой Господи упаси вас еще интересует еще и списки?
Привожу пример был Tor блокировали. Правозащитные организации добились его разблокировки продлилась идиллия не долго снова заблокировали (доебались по другой причине). Ну потому, что ВСЁ он как в кость в горле да и цензура плоховато работала бы.если его не подпилили.
Я бы не сравнивал блокировку сервиса/браузера и блокировку целого дата центра. Абсолютно разные уровни. Если в первом случае блокируется один не угодный сервис, то во втором блокируются в теории миллионы сервисов в интернете.
Кому не пофиг на “миллионы сервисов в интернете”. Главное чтобы население затерпело максимально, чтобы потом на белые списки даже никто не возмутился. Реакция граждан уже не первый год испытывается.
Стоит смотреть на то что на легких способах обхода не остановились. Душат сервисы до крайности вплоть до бана CDN. Риска нет, а значит и предела нет.
Ну так я и не сравниваю. Я вам просто пишу без суда и правовых актов тот или иной сервис положат и все.
Вот, а истории владельцев сайтов заблокированных слышали?
Чуть ли уведомление о заседании под дверь кладут чуть не перед самым взмахом молотка судьи . Чтобы суд это засчитал как отягчающие обстоятельства не явка ответчика. Чтобы решение было сразу было принято “правильное”. И таких решений знаешь сколько наштамповали? Дофига.
О том и речь, что если не задавать им вопросы, не забывать, не выносить на всеобщее обозрение происходящее - это затягивание гаек будет набирать не реальные темпы. Бюрократия порой работает не так, как нам может показаться. Когда концелярия заберется получать сотни обращений день, где-то в курилке, может быть решено, что мер с ними с этими OVH и Хентзером, пусть работают, достали эти обращения.
Я ни в коем случае никого не пытаюсь убедить в чем-то. Просто меня данный расклад не устраивает. Возможно кто-то знает, куда можно писать, как правильно объяснить происходящее с технической точки зрения.
Будто бы у государства имеются какие-то механизмы обратной связи? Телеграм вон блокировали, люди выходили на митинги об этом (тогда их даже согласовывали!), но разблокировали его как будто бы не потому что люди возмущались, а потому что сам телеграм научился обходить блокировку так, что её вообще почти не было заметно (последняя версия мтпрото прокси маскировалась под TLS неотличимо для внешнего наблюдателя), и в итоге сам РКН выглядел севшим в лужу.
Вы хотите сказать что телеграм не блокируют потому что не могут? Уже были случаи в Дагестане, когда по рубильнику упал телеграм в регионе.
Причина неблокировки телеграма в том что его научились эффективно парсить и деанонить кого надо. Спасибо братьям Дуровым за публичный ID пользователя и привязку к номеру телефона.
Про бесполезность митингов вы сами написали.
В смысле были. Я слышал там как месяц рубильник в on повернут. Телеграмм там не работает источник.
Так про телеграмм
Мне знакомый скинул. Так, что не знаю утка или нет.
"В Telegram ожидается государственный Fact Check😐
В исходном коде бета‑версии Telegram для Android нашли строки с новой функцией Fact Check («Проверка фактов»).
В рамках Fact Check мессенджер будет сотрудничать правительственными с агентствами, которые занимаются проверкой информации. Функция будет добавлять “поясняющую информацию к сообщениям”.
Предполагается, что власти в каждой стране смогут назначить агентство, которое будет проверять факты и полностью контролировать содержимое этих уточнений.
При этом у пользователей и администраторов, не получится влиять на происходящее."
проблема была.
ssh на недефолтный порт с ростелекома в хецнер - не работало.
сайт хецнера открывался при этом.
трейс проходит при этом до айпи.
примерно - на прошлой неделе.
сейчас - заработало (ссш подключился).
если крякает, как утка - скорее всего, это утка.
Не помогайте им этой неуверенностью “ой, вроде и не у всех, вроде работает, вроде не работает”.
Здоровая неуверенность - норм. Но не перебарщивайте.
не коннектит ssh - жалоба провайдеру.
спокойно долбить провайдера “меня не сильно колышет, что “на вашей стороне не блокируется”, я не могу подключиться по ssh к некоторым айпи-адресам (не уверен, что надо светить айпишники свои, чтобы не помочь им с сбором точно которые надо блочить айпишники - прим. ред.)/не могу открыть некоторые сайты/иное. Устраняйте, исправляйте, делайте, чтобы доступ был, либо показывайте офиц.документ, почему доступа нет.”
таким макаром на второй итерации “меня не колышет” - пров сказал, что нода тор блокируется на тспу (я играл в дурочку, оставив претензию “не могу подключиться к такому-то айпи”).
Так что бодритесь.
Их это бесит.
Тебе ответят тем, чтобы ты использовал отечественные аналоги, которые соблюдают законодательство.
Ну, И?
Не понял, чего собственно вы добились своим “неколышыньем” по факту?
Даже если пров изо всех сил хочет и готов вам помочь, на этом самом ТСПУ полностью заканчивается его компетенция.
А если он, под настроение, захочет вас встрольльнуть, он на серьёзных щах ответит в духе: “вы знаете, у меня тут тоже ТОР не работает”.
Их это не бесит. Их это веселит. А судя по тому, что вы написали – они ржут всем офисом.
По крайней мере на их месте я бы сделал именно так, уж не обижайтесь. )
В точку!
И это при условии, что в своих разбирательствах они вообще “дойдут” до Хетцнера.
Жаловаться нужно было когда фейсбук с инстаграмом блокировали…
я добился не-тишины.
Если будет тишина - все так и будут тихо сидеть в болоте.
А если тормошить их палкой - они будут нервничать.
После жалобы/претензии, если один пожалуется, второй претензию прову сделает, третий - пров занервничает и, возможно, пойдёт в интернет, в пиар, в ркн, и так далее, мол, алло, у меня тут жалобы на ваш тспу, тож давайте что-нибудь решайте.
то, что вы ржёте - я очень рад. Продолжайте в том же духе.
Немного оффтопик, но.
Пил пару недель назад пиво с бывшими коллегами из районного провайдера в маленьком Энске в ЦФО.
Ребята натурально состарились на 10+ лет за прошедшие два года, и панически ищут куда бы сбежать на другую работу, лишь бы не двор мести. От ситуации, когда тебя прессуют с одной стороны РКН, с другой - компетентные органы, и с третьей - пользаки которых запарило качество сервиса, всем уже хочется вешаться.
Могу сказать про того провайдера одно: вначале сотрудники может там и ржали, но сейчас, когда кто-то особо дотошный приходит и начинает шатать трубу и угрожать судом и\или прокуратурой - люди скорее в ужасе от перспективы. Иногда дешевле изобразить лёгкий блэкаут и кинуть всё через байпас.
Мораль тут какая: если решения суда о блокировке\замедлении не было - я бы прессовал провайдера до потери пульса, просто из природной гадливости. Чем я и занимаюсь каждый день.
Я понимаю ваши действия. И совсем не против них.
Вы добились нетишины - где? В диалоге с вами? Так это пффф. Более того - это вообще выглядит как отписка. Вас просто (пока) вежливо послали.
Да с чего вы это взяли!? )) У вас есть статистика? У вас есть случаи суицида сотрудников провайдера?
На второй-третьей итерации вас просто “пессимизируют” в ответах и реакции тех.поддержки.
Выглядит как слоупок.
Реальный слоупок на ручнике. Который вдруг решил проснуться с 2021-го года…
Я не против. Я даже, повторюсь, всецело поддерживаю.
Просто обрисовал перспективы.
Перспективы любого взаимодействия с саппортом и госорганами всегда выглядят так себе. Обычно помогают две вещи: отказ слышать слово “нет” и хорошая юридическая подготовка.
Однако это всё не имеет отношения к собственно сабжу. Благодарю за внимание.
Прям описал именно то что при ютубе было, там не то что жалобы, люди даже ДЕНЬГИ перестали провам платить, однако провам все равно пох было что их бизнес катиться. Вместо компетентных работников, у нас только лояльные в перспективе. И казалось бы что именно у них было больше всего шансов достучаться, но им тут же сказали: сука не мешай
Почему не имеет.
Хетцнер (кое-где) недоступен. Мы обсуждаем его эту недоступность. Реакцию техподдержки.
Не совсем так. Провайдеру просто дешевле игнорировать вас, чем игнорировать РКН. До определённого момента, пока абоненты не начнут уходить совсем табунами, провалив тем самым ARPU до полного днища.
После таких ситуаций - я их видел плюс-минус в реальном времени - сетевым инженерам обычно просто отдавался устный приказ всеми возможными способами исключить воздействие ТСПУ на конкретно ютуб, например.
Штрафы от РКН можно оспаривать долго, со вкусом, платить их сразу необязательно. А вот моментальный уход людей из суповой базы масштабный всегда болезненен.
“Куда ты денешься с подводной лодки?”
Пересядут на мобилу, например. Там ж до сих пор работает без проблем.
А с пакетными тарифами, где YouTube всё ещё безлимитен - так тем более без проблем.
Ну, тенденция такова, что скоро иностранные хостинги будут заблокированы как класс. Начали с крупняка, потом и ко всякой мелочевке придут. “Тогда судите за изнасилование. Аппарат же есть!”
Придётся заворачиваться в прокси-цепочки через дружественные страны.
А потом и это прикроют.
QUIC ~40 кбайт/с (браузер уже даже 720p не тянет). HTTP1/2 (TCP) почти труп.
Правда, у меня 4G, но десктопный тариф для модема.
Я не гадливый. И вы сами говорите, у них жизнь не сахар.
Модемные тарифы, по воспоминаниям, шейпятся куосами всегда сильнее чем обычная мобила, просто потому что. На всякий случай.
У меня на мобиле ютуб работает абсолютно стандартно, должен отметить.
Ну тут или шашечки или ехать, смотрите сами. Может быть я какой-то социопат, но я не испытываю никаких сожалений или угрызений совести когда я отжимаю поставщика в щщи за некачественный сервис.
Может, в этом дело. Хотя, всё равно на проводном интернете ютуб сильнее зарезан.
Здесь блок TCP обходится парой команд в byedpi, а на ртк постоянно перестраивали тспу и quic давно положили.
Я заметил тут вот какое интересное поведение - на тестовом провайдере есть разница в ширине полосы в зависимости от времени суток. Грубо говоря, с 08 до 22 часов - 50 мегабит симметрично, в остальное время - 100 мегабит.
И в эти разные временные отрезки применяются разные настройки ТСПУ. То ли трафик маршрутизируется через другие шлюзы, то ли коробка такой умной стала - но сам факт. Я был достаточно удивлён этим открытием, которое впрочем решилось тремя строками в кроне.
Только что мне после пары дней спокойствия опять отрубили Hetzner.
Прошлое отключение длилось 36 часов. Мне хотелось бы верить, что блокировки не инкрементальные.
Подтверждаю. Снова отрубили. Ведь кто-то был прав когда говорил, что на выходные рубильник выключили, а уже Понедельник - снова включили. Мда.
Oh shit, here we go again.
Подтверждаю отвал.
Бл, в пятницу хотя бы только одна локация Hetzner была недоступна (точнее замедлена как YouTube), а сейчас вообще ни на один из серверов (Финляндия, Штаты, Германия) зайти не могу с Ростелекома и на сайт не пускает. Все мои сервисы и сайты недоступны. Уйбкi)
Люди дайте домен хочу проверить. На сайт KDE с поддоменом больше не ведутся.
Ну так очевидно, что у них такой рубильник есть. С VPN все также, то off на проводном, то в положении on. Сейчас очевидно, что он в положении on.
Нужно каким-то образом убедиться, что информация о частичной недоступности OVH/Hetzner поступила к тем, кто обслуживает ТСПУ. Может доебать какого-то интернет-провайдера, не знаю… Хотя бы понимать, это ошибка в алгоритмах ТСПУ или теперь реалии и так планировалось.
Hetzner и OVH блокируются вполне целенаправленно, к сожалению.
По моему мнению, которое вполне может быть ошибочным, основная цель этой кампании - перетащить как можно больше ресурсов российского бизнеса хоститься внутрь страны внутрь, и заодно проредить ряды частных VPN.
Подобное делали в Казахстане ещё 10-15 лет назад. Из этого по сути выросло правило о том, что хостить сайт в зоне .kz нужно только физически внутри самого Казахстана.
У меня вообще что-то странное происходит. С утра хецнер всегда доступен, но через какое-то время (минут 15?) после того, как я это замечаю и начинаю пользоваться своим сайтом на нём, всё отваливается. У меня на роутере настроен впн через этот же сервер для обхода блокировок российских IP со стороны некоторых зарубежных сервисов, но вчера я его отключил — никакой разницы сегодня это не сделало, всё так же сначала было доступно, а потом исправно отвалилось.
Достало уже.
upd: а сейчас опять починилось ¯\_(ツ)_/¯
upd2: и опять сломалось
Ещё посмотрел, как это выглядит со стороны сервера. До сервера доходит только хендшейк самого TCP, а ClientHello уже не доходит. Имхо, было бы странно, если это не шалости ТСПУ.
Есть мысль, что оно у меня так может плавать, потому что у провайдера может стоять несколько ТСПУ с разными настройками и между ними происходит какая-то балансировка нагрузки. Поэтому иногда я попадаю на один, который пропускает, а иногда — на другой, который не.
habrastorage.org так же недоступен
Скорее всего, ТСПУ не сразу просыпается или вам с барского плеча даётся возможность немного посёрфить (по количеству трафика за единицу времени, например). Попробуйте чем-то разбавить трафик, например DHT.
Есть у меня такое ощущение, что hetzner отгородился от российских айпи, ибо у меня внезапно перестала работать нода Marzban, и сервер отшивает все попытки зайти по ssh с российского айпи. Через прокси всё работает.
Только это не hetzner отгородился, а российские IP от него.
С какой стати отгораживаться сайту погоды от literal who васяна нашего wttr.in?
Вряд ли. Я же там выше показал, как у меня это выглядит со стороны сервера. Если бы это сам хецнер отгородился, то, скорее всего, дропались бы все пакеты, а не вот так избирательно.
(не туда ответил, ответ был @yukipastelcat)
Мобильный интернет beeline в Ростове-на-Дону — Hetzner не работает.
IP пингуются, но любые TCP соединения режутся, включая SSH.
Недоступны, например, https://habrastorage.org/ или https://petobzor.com/ — оба хостятся на Hetzner в Хельсинки.
Вначале думал, что не работает только финский Hetzner, проверил с локацией в Германии — не работает тоже.
При этом работает Hetzner в Сингапуре, проверял адрес 5.223.47.245 (уже отключил его).
Возможно, что блокировка AS24940?
До этого начиная с августа наблюдал с мобильного билайна картину, при которой после определенных первых двух пакетов TCP соединение к Hetzner отрезалось на всех портах, кроме 22, 80 и 443. Тестировал много раз периодически, в какие-то дни не наблюдалось.
Чисто для статистики: МТС - petobzor.com работает норм, местный небольшой провайдер - пинг есть, сайт не открывается:
Не удаётся получить доступ к сайту
Сайт petobzor.com неожиданно разорвал соединение.
Попробуйте сделать следующее:
- Проверка подключения к Интернету
- Проверьте настройки прокси-сервера и брандмауэра
- [Запустить средства диагностики сети Windows](javascript:diagnoseErrors())
ERR_CONNECTION_CLOSED
Интересно, а если анонсировать в OVH российский пул IP-адресов, будет срабатывать ТСПУ или нет
Попинал я провайдера. Ничего внятного не ответили. Трассировка проходит, сказали у них всё открывается. Следовательно, напрашивается вывод, что некоторым из нас повезло оказаться в эксперименте РКН. Что может объяснить отсутствие шума по поводу данной ситуации… это задело не всех, а тех, кого задело, могут подумать, что это непосредственно сами сайты упали, а не целенаправленная блокировка от РКН. Ведь, очевидно, не все сайты расположены на Hetzner. Хотя, конечно, остаются вопросы о масштабах данного «эксперимента». У меня не работает ни с десктопного провайдера, ни с мобильного. GlobalCheck так же выдаёт всё красным. Нигде не доступно. Так что действительно интересно, почему эта ситуация не вызвала больше шума? И что, чёрт возьми, происходит?
Ну не надо подсказывать как поломать ру-сегмент злоумышленникам и РКН. И так этой фишки с доменами хватает.
Ради эксперимента перебираю ip адреса одного провайдера (путем смены mac-адреса wan-порта роутера).
На разных выдаваемых ip работают или не работают разные ресурсы на hetzner и ovh, на более удачных получаемых адресах первоначально работает всё, а на менее удачных - ничего. При этом работа части ресурсов может самостоятельно отвалиться или наоборот восстановиться через произвольное время.
Например сейчас на текущем ip не работает https://bbs.archlinux.org/ и https://wiki.archlinux.org/ хотя сначала после получения этого ip работали, зато работают https://archlinux.org/ и https://redirect.archlinux.org
А на предыдущем ip наоборот не работали https://archlinux.org/ и https://redirect.archlinux.org, но работали https://bbs.archlinux.org/ и https://wiki.archlinux.org/
Никакой очевидной закономерности по принципу и времени блокировки ресурсов на hetzner и ovh нет.
Вы у нас призрак? У нас вообще-то абонентов в РФ не только по паспорту вяжут(заключают договор), но и по mac оборудования привязывают. Поэтому купив новый роутер вы обязаны клонировать MAC-адрес иначе прохождение аутификация зафейлится.
Ссылка на закон, где юридически я обязан клонировать MAC-адрес (нет такого закона).
Технически же некоторые провайдеры (правда таких я встречал последний раз в 2006) действительно делают жёсткую привязку к mac-адресу и при смене оборудования надо либо клонировать старый mac либо звонить в ТП и называть новый, но конкретно на моём текущем провайдере такого нет и новые настройки применяются сразу после смены mac
Дык так и сейчас так)
у нормальных провайдеров - нет
А кто нормальные не крупняки? Ну так поглотят)
www.7-zip.org тоже на хецнере хостится и тоже не у всех провайдеров доступен.
У меня с мобильного как раз работало, потому что там интернет у меня бесплатный “на всякий чэпэ” поэтому там плохих роутов небыло. Я точно теперь уверен что это из-за запрета, но почему именно hetzner? И вообще почему они до пор не забанили кэш прова по айпи если все из-за этого? У кэша вообще ип провский, нахрена они вообще по сни банят, да и… почему они вообще его нахрен не отключат если они его скоммуниздили уже после тех писем про долги?
Ну как минимум - потому что Google он никогда не принадлежал.
Не из-за запрета. Я ни запретом, ни гудбаем даже не пользовался, ни разу с моего IP он не запускался, когда сайты, которыми я ежедневно пользовался, внезапно отлетели на прошлой неделе. У многих эта проблема. Некоторые не знают как её конкретно идентифицировать — не сопоставили. В телеге есть группа Hetzner — там люди, которые непосредственно хостят сайты на Хецнере. Там тоже у кучи людей отлетело. Сомневаюсь, что они пользуются запретом. Природа этой блокировки совершенно непонятна и выборка, кажется, совершенно случайна.
Точно?
$ host www.7-zip.org
www.7-zip.org has address 49.12.202.237
$ whois 49.12.202.237
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object
refer: whois.apnic.net
inetnum: 49.0.0.0 - 49.255.255.255
organisation: APNIC
status: ALLOCATED
whois: whois.apnic.net
changed: 2010-08
source: IANA
# whois.apnic.net
% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
% Information related to '49.12.0.0 - 49.13.255.255'
% Abuse contact for '49.12.0.0 - 49.13.255.255' is 'no-email@apnic.net'
inetnum: 49.12.0.0 - 49.13.255.255
netname: STUB-49-12SLASH15
descr: Transferred to the RIPE region on 2018-06-27T02:24:02Z.
country: ZZ
admin-c: STUB-AP
tech-c: STUB-AP
abuse-c: AS2444-AP
status: ALLOCATED PORTABLE
mnt-by: APNIC-STUB
mnt-irt: IRT-STUB-AP
last-modified: 2023-05-17T13:13:11Z
source: APNIC
irt: IRT-STUB-AP
address: N/A
e-mail: no-email@apnic.net
abuse-mailbox: no-email@apnic.net
admin-c: STUB-AP
tech-c: STUB-AP
auth: # Filtered
remarks: IRT for stub records.
remarks: We do not operate the referring network and
remarks: are unable to investigate complaints of network abuse.
remarks: For information about IRT, see www.apnic.net/irt
mnt-by: APNIC-HM
last-modified: 2024-01-24T04:04:44Z
source: APNIC
role: ABUSE STUBAP
address: N/A
country: ZZ
phone: +000000000
e-mail: no-email@apnic.net
admin-c: STUB-AP
tech-c: STUB-AP
nic-hdl: AS2444-AP
remarks: Generated from irt object IRT-STUB-AP
abuse-mailbox: no-email@apnic.net
mnt-by: APNIC-ABUSE
last-modified: 2024-01-24T04:05:14Z
source: APNIC
person: STUB PERSON
address: N/A
country: ZZ
phone: +00 0000 0000
e-mail: no-email@apnic.net
nic-hdl: STUB-AP
remarks: No contact information for stub records.
mnt-by: APNIC-HM
last-modified: 2019-09-23T04:53:33Z
source: APNIC
% This query was served by the APNIC Whois Service version 1.88.25 (WHOIS-UK3)
(у меня открывается, а хецнер всё ещё сломан)
Точно. У меня тоже не открывается. Проверьте трассировкой. Выдаёт 4 Хецнеровских сервера на пути к 7-zip.org
nslookup 49.12.202.237
Name: static.237.202.12.49.clients.your-server.de
Address: 49.12.202.237
вот волне себе русский сервис https://www.kodap.ru/ со статьями КоАП РФ (т.е. юридический справочник, ничего запрещённого)
хостится на hetzner и у меня сейчас без vpn не работает на одном из провайдеров (проводной теле2, т.е. Ростелеком Москва)
Ну вот сейчас оно снова починилось, я запустил торрент-клиент и он начал что-то кому-то раздавать. Кажется, что это ни на что не повлияло, оно всё равно отвалилось через несколько минут.
За последние дни мне это всё напоминает уже тактику.
Именно тактику.
Мелкого насёра в карман.
Мы не будем ничего блочить. Не будем уж совсем явно замедлять. Мы будем раз в пару минут отваливать коннект. Потом на десять минут, потом снова на три. Потом снова всё работает… Постепенно (а мы не торопимся) владельцев сайтов это потсаипёт и они перейдут на локальных провов. Остальных мы просто передушим.
Хочу ошибаться. )
У меня так и не заработало. Как отключили вчера в ~1 час ночи, так и не работает до сих пор. Круглые сутки. Какое же скотство.
С мобильного работает только archlinux.org
Остальное - глухо.
Да, всё так, с мобильного билайн в Ростовской области не работает тоже. Потестил еще, адреса Hetzner в США тоже не работают.
Только наоборот — мы будем включать доступность на несколько минут раз в несколько часов. А в остальное время делать вид, что сайт лежит, ну с кем не бывает. Даже если это ваш собственный сайт.
Сегодня написал мне мой приятель из Нигерии, который использует мои 3 буквы с Hetzner и говорит, что начал медленно работать, особенно сегодня и сайт Hetzner у него тоже не открывался. Зашел в ЛК hetzner и те 20 часов назад написали новость, что им известно о проблемах с сетью с 08.11.2024 и они работают над этим. Может все-таки не РКН, хз
"Increased Latency for customers of DTAG
Status: In progress
Affected systems: Network (Datacenter, vSwitch, Uplinks,
Backbone, Cloud-Network)
Start: 2024-11-08 20:50 UTC+0
Dear Clients
at the moment we see an increased latency with customers of Deutsche Telekom. Wer are already in contact with Deutsche Telekom and are working on a solution."
У меня та же история. То работает, то нет. Просто странно, что через немецкий ВПН все ок работает, с Амазоновского сервера тоже, но при этом странное совпадение, что в Нигерии тоже сегодня проблемы + это уведомление Hetzner вводят в заблуждение))
Обнаружил, что блокируют на ТСПУ и в правила они включают source ip тоже.
К примеру у меня адрес 1.1.1.2, для него условный nextcloud.com заблокирован, меняю адрес на соседний, например 1.1.1.1, или на 1.1.1.3 - доступ есть. Если начинаю фрагментировать пакеты до nextcloud.com, то и для условного 1.1.1.2 тоже открывается доступ.
А вот мой самодельный whois правильно определяет, хе-хе (минутка саморекламы) 
Спойлер
D:\Docs\golang\ResolveAndWhois>r www.7-zip.org
DNS: 1.1.1.1:53 (system)
URL: www.7-zip.org
IP: 49.12.202.237
HTTPv: not specified
ECH: NO
Whois record source: rdap.db.ripe.net
Handle: 49.12.192.0 - 49.12.207.255
Name: CLOUD-NBG1
Net Type: ASSIGNED PA
Country: DE
Registration: 12 Dec 2023 14:51:47 MSK
Entity 0:
Handle: HOAC1-RIPE
Full Name: Hetzner Online GmbH - Contact Role
Organization: ORG-HOA1-RIPE
Entity 1:
Handle: HOS-GUN
Full Name: HOS-GUN
Entity 2:
Handle: ORG-HOA1-RIPE
Full Name: Hetzner Online GmbH
Entity 3:
Handle: HOAC1-RIPE
Full Name: Hetzner Online GmbH - Contact Role
Organization: ORG-HOA1-RIPE
Господа, кто может ответить на вопрос. Тоже не получается подключиться к сайтам на Hetzner с Билайна. Однако, если с телефона раздавать интернет на другие устройства, то всё работает и ничего не заблокировано. В чём может быть причина работоспособности?
все сайты из шапки все предыдущие дни, когда люди жаловались присылали 200. сегодня - всё красное.
Мск, РТК
Подтверждаю, сегодня наглухо всё недоступно со всех операторов.
Больше на ТСПУ смахивает. У меня пока на проводном все спокойной, да и устальных с понедельника пока было все ОК.
Ну посмотрим если перекинется и на проводной. И ежу будет ясно, что это РКН рубильники дергает. Это так пока поворотником РКН сигналит не перерезая пути к переезду.
ЗАРАБОТАЛО. похоже РКН реально делает им искуственный даунтайм, чтобы люди уходили с Hetzner
“Гори оно всё синем пламенем - е***ь конём”
– РКН
Под этим предлогом можно как раз прову позвонить без подозрений, типа почему аур не работает, мне мешает работать на удаленке? На телефоне работает, а у вас нет, по трассировке видно что пакет теряется до тспу именно на вашей стороне.
Ну да можно, но хз таких сайтов знаете сколько? Это я про OpenWRT не сказал =)
cumу надо если то вот ихние понтсети вбил в некурей и всё заебумба пока что ато я уже заколебался то арч то хабр то 7з вбивать по домемам
Summary
116.202.0.0/16
116.203.0.0/16
128.140.0.0/17
135.181.0.0/16
136.243.0.0/16
138.199.128.0/17
138.201.0.0/16
142.132.128.0/17
144.76.0.0/16
148.251.0.0/16
157.180.0.0/17
157.90.0.0/16
159.69.0.0/16
162.55.0.0/16
167.233.0.0/16
167.235.0.0/16
168.119.0.0/16
171.25.225.0/24
176.9.0.0/16
178.212.75.0/24
178.63.0.0/16
185.107.52.0/22
185.126.28.0/22
185.157.176.0/23
185.157.178.0/23
185.157.83.0/24
185.171.224.0/22
185.189.228.0/24
185.189.229.0/24
185.189.230.0/24
185.189.231.0/24
185.213.45.0/24
185.216.237.0/24
185.226.99.0/24
185.228.8.0/23
185.253.111.0/24
185.50.120.0/23
188.245.0.0/16
188.34.128.0/17
188.40.0.0/16
193.110.6.0/23
193.163.198.0/24
193.25.170.0/23
194.42.180.0/22
194.42.184.0/22
194.62.106.0/24
195.201.0.0/16
195.248.224.0/24
195.60.226.0/24
197.242.84.0/22
201.131.3.0/24
204.29.146.0/24
213.133.96.0/19
213.232.193.0/24
213.239.192.0/18
216.55.108.0/22
23.88.0.0/17
37.27.0.0/16
45.145.227.0/24
46.4.0.0/16
49.12.0.0/16
49.13.0.0/16
5.75.128.0/17
5.9.0.0/16
65.108.0.0/16
65.109.0.0/16
65.21.0.0/16
78.138.62.0/24
78.46.0.0/15
85.10.192.0/18
88.198.0.0/16
88.99.0.0/16
91.107.128.0/17
91.190.240.0/21
91.233.8.0/22
94.130.0.0/16
95.216.0.0/16
95.217.0.0/16
брал отсюдова если щто не боисьтесь)
Куда чего вбил, можешь подробнее написать, а то не понятно.
Сменил IP-адрес на провайдере. Все заработало.
Таки да, некоторые IP в черном списке. По какому критерию, интересно?
в nekoray
llke this
Сегодня сажусь за комп. Провайдер Йота. Открылся только https://kde.org/ , а следующие клики словили блок Hetzner сети. Очень быстро сегодня.
Перестала запускаться звонилка Linphone. Пытается коннектится к sip11.linphone.org (176.31.149.179 OVH FR). Таймаут. Возможно поэтому, врядли специальный блок, очень она малопопулярна и раньше работала.
Ладно. Подключаюсь к VPN, звоню человеку в том же городе (он на Ростелекоме) с помощью Linphone. Звонок проходит, значит на Ростелекоме sip*.linphone.org не заблокирован (как и OVH хостинг). Поговорили минут 10 и тут я перестаю слышать собеседника. Через минуту слышимость вернулась. Поговорили ещё несколько минут и опять я перестаю слышать собеседника. Открываю Wireshark, вижу что в основном от меня идут только исходящие к 176.31.149.179:12206 UDP в этот момент (это тотже sip11.linphone.org, только UDP и порт 12206). Это значит, блок уже на Ростелекоме, т.к. я под VPN (напомню вам), а звонок идёт через французский OVH сервер. Так что проблема массовая уже.
Надо признать, что собеседник часто смотрит YouTube под VPN (я настрои ему так, детали раскрывать не буду что за VPN, но довольно хитрый), может поэтому он тоже в чёрном списке. А в остальном там обычный планшет, т.е. не всё через VPN идёт, только YouTube в отдельном браузере.
Впрочем, может это сам sip11.linphone.org глючит. Что-то он довольно долго коннектится к учётке даже под VPN. Но коннектится.
Что-то изменили. Раньше при проверке показывало доступно только из Билайна, а теперь доступно везде, кроме Билайна: Screenshot by Lightshot
Подтверждаю, тоже сервер на hetzner, раньше так же показывало только доступность в Beeline, а теперь все наоборот. По факту с прошлой среды, часть клиентов жалуется что недоступен сервер, через время у этой части клиентов начинает все самостоятельно работать, но у другой части клиентов все ломается) И так все по кругу.
Сейчас и с Билайна показывает доступность. Доступность 100% по всем провайдерам.
А у меня всё ещё ничего не работает. Опять же, с утра чуть поработало, потом быстро отвалилось, и с концами.
А у вас сервер где находится? У меня на hetzner так же до сих пор показывает недоступность билайна.
Но я не очень верю globalcheck , потому что если бы у меня и ранее была недоступность 80% с мобильных операторов, то кол-во заявок было бы в несколько раз больше.
Скорее всего как писали выше - блокировки происходят выборочно, возможно через globalcheck сейчас все проверяют доступность сервисов за границей, поэтому они постоянно попадают в выборочную блокировку, а на самом деле не у всех у кого Билайн сейчас наблюдается блокировка. Ранее сервис показывал недоступность с МТС и доступность с Билайна, есть клиент СПБ, там у него все наоборот, с МТС работало, с Билайна нет. Так что globalcheck - это не всегда то, что наблюдается сейчас у клиентов.
У меня появилась идея как можно попробовать исключить себя из списка “интернет-экстремистов”. Нужно подключить себе услугу белый(статический) IP-адрес у провайдера и изменить MAC-адрес маршрутизатора(роутера). Услугу можно будет отключить через месяц.
Не знаю как ещё коробка может идентифицировать пользователя.
У моего собеседника, у которого отвалился звонок через OVH, как раз белый статический IP.
Тоже была идея что НАТ делает тебя более анонимным и сливает с толпой лучше.
А на Йоте у меня динамический, но ТСПУ всё равно узнаёт меня. Модем я перезагружал. Правда, не отключая питания. Это не совсем жёсткая перезагрузка, IP мог остаться. Надо копнуть эту тему.
блокировки носят случайный характер
Перезагрузил модем, выдернув питание и подождав 10 минут. Вроде бы блок исчез и даже звонилка заработала. Правда, по началу на втором клике в kde.org начало было тупить как раньше, но отпустило. Прям, камень с души свалился.
Upd: А сейчас я включил VPN как всегда. Посмотрю что там будет с блоком Hetzner через несколько часов, отключив VPN потом.
В Ростовской области на мобильном билайне никаких изменений не было и нет, адреса Hetzner заблокированы. Заработал только habr, потому что, как я предполагаю, поставили прокси на pq.hosting перед своим хранилищем в Hetzner :))
Все верно, блокируют в разное время и на разные промежутки времени. Иногда утром на мобильном интернете не открываются никакие сайты на Hetzner иногда вечером на домашнем проводном интернете на 1 час блокируют Hetzner. Иногда можно переподключиться перезагрузив телефон или роутер и все работает. Самый натуральный Random. Один пользователь тут очень метко подметил эти блокировки - “поднасрали и убежали”.
Кто как не РКН пропагандирует нетрадиционные ценности. Подтверждаю рандом. То появляется, то пропадает. Ребут роутера делаю и появляется и через случайное время снова все отваливается
Друзья! Призываю каждого, кто испытывет проблемы с доступом, писать вашему провайдеру. Далее писать параллельно в РКН. Давайте не позволять замалчивать такие вещи.
Говно идея. У меня “подкроватный сервер” с белым статическим IP-адресом, от этих блокировок Hetzner не спасает никак.
Угу кто-то не знает, что они вяжутся по MAC. Так, что забейте. Если это, конечно, не оптический терминал с модемным устройством, но в таком случае они вяжутся как правило.
Не спасет, но будет легче.
Говно идея. Они спросят, открывается ли ВК. Если открывается, то на стороне провайдера никаких ограничений нет (технически правда), а раз других вопросов нет, то до свидания.
Пора или поднимать свой уровень сертификации, или переезжать в страну, где не запрещено смотреть на глупых котят в интернете.
думаешь пров не пишет запросы в ркн?
на моей памяти:
этой весной пров для юр.лиц напрямую общался с цму
второй раз 2 года назад пров для физ лиц (билайн) предлагал отправить запрос в ркн
Для юрлиц конечно есть нормальный способ связи, а для физлиц то, что было 2 года назад, не считается.
После начала блокировки YouTube объём жалоб провайдерам настолько возрос, что на задолбавшемся сотруднике колл-центра общение с провайдеров прервётся.
это да, я запросил от прова официальный ответ на бумаге по ютубу, так они даже фио умудрились неправильно написать в письме) 
Так и было сначала. Я просто долбал поддержку, жду теперь ответ от инженеров 
Конечно переезд в другую страну сработает, но это крайние меры
Да нет никакого чёрного списка. Более того, даже симка бабули, которая не знает слова VPN тоже не имеет доступа к сайтам Hetzner.
Тем более, каким образом человек говорит о том, что пользуется подобными вещами, ежели ему нужен доступ к обычным сайтам, расположенных на мощностях Hetzner. Бред в общем. Имхо: худшее, что можно делать сейчас - делать вид, что всё нормально и замалчивать проблему.
Потому что эта облава произошла именно у тех кто “что-то делал” это законамерно произошло у селективно взятых абонентов которые сейчас под лупой. У меня на телефоне для примера все нормально потому что интернет там не используемый.
Сейчас главное не попасться на корреляцию. Тут слишком много мнений было и если сейчас вот они вот сидят и читают вот это прям сейчас, а ты потом звонишь им с “у меня то-то не работает” то тебя сдеанонят с этого форума.
И еще, это на будущее всем: ни в коем случае не бегите и проверяйте если у ВАС работает что-то на других сетях, особенно после чтения ЭТОГО или ДРУГИХ СВЕЖИХ постов, это и есть корреляция. По той же причине разрабы тора всегда говорили не кликать клирнет ссылки СРАЗУ ПОСЛЕ СВЕЖИХ ПОСТОВ. Это и есть корреляция. А они явно делают сводки сейчас. В китае это уже было. Они начали обрывать интернет юзерам с “плохими” коннектами. Видно тут это только начало.
Боюсь, что это не совсем соотносится с реальностью. Кажется, корреляция между блокировками и используемыми ВПН-протоколами действительно есть, но… количество людей, которые от этого пострадали, измеряется не десятками и даже не сотнями – в лучшем случае это несколько тысяч. И это я сужу только по своим пользователям.
Никто не станет при таких масштабах проблем пытаться кого-то искать или деанонить. Более того, сейчас я рекомендую своим пользователям писать провайдерам, а большая часть из них едва ли что-то понимает в обходах блокировок и вряд ли когда-либо видели этот форум. Это самые обычные люди, и пытаться их брать “под лупу” едва ли имеет хоть какой-то смысл.
На этот раз бан длился уже 48 часов, так что возможно он инкрементальный. Что его триггерит - до сих пор не знаю.
Я уже начал писать коммент о том, что вы тут все отбитые параноики, думающие, что вас пасут, и вам пора сдаваться в дурку. Но решил проверить. И теперь уже не очень смешно и в дурку пора сдаваться мне.
- у меня (использую OpenVPN, но на хетцнере с 2022 года ничего не хостил, а до этого держал там веб-сервер (никак не связан с обходом блокировок)) - ресурсы, сидящие на хетцнере, недоступны
- у соседа (тот же провайдер, VPN он не пользуется и “вражеский ютуб” не смотрит прнципиально) - ресурсы доступны
- выключаю у себя VPN, возвращаю получение провайдерских DNS, чищу кэши - ресурсы недоступны
- передёргиваю своё подключение к провайдеру, динамический IP меняется - ресурсы становятся доступны
Вывод: фильтрация осуществлялась либо по конкретному IP-адресу источника, с которого замечены некие события (использование VPN и т.п.), либо по подсети (мне достался адрес a.bc5…, а был a.bc7…)
P.S. Прятаться нет смысла: по моему нику несложно нагугливаются ФИО, город и провайдер, а этих данных для деанона хватит с головой.
Не, ну я не знаю, может оно на zapret триггерится? У меня уже просто идей больше нет. VPN через этот сервер я отключил ещё несколько дней назад и с тех пор на этой сети им не пользовался, но всё равно всё продолжает отваливаться. Но логика странная, всё-таки — типа, ах вот вы (успешно) обходите блокировки одних ресурсов, значит давайте мы вам сломаем другие.
Сменить IP в локалке провайдера у меня не получилось. Несколько раз перетыкал провод, пробовал ждать между перетыканиями, всё равно даёт один и тот же.
Логика, разумеется, не такая. Логика может быть совсем проста: всем, уличённым в использовании <чего-то>, применяем фильтр на хетцнер и смотрим статистику уменьшения числа пользователей <чего-то>. Таким образом, делаем вывод о том, какой процент пользователей, использующих <что-то>, хостят это на хетцнере, соответственно, нетрудно подсчитать, какой профит даст блокировка хетцнера. Таким образом, например, можно выявить самый популярный хостинг <чего-то>, блокировка которого даст наибольший результат.
- <что-то> = маркер, на основе которого пользователь попадает в выборку (я не хочу называть его “VPN” или “zapret”, потому что мы пока не знаем конкретно)
Как вариант, это может быть некое A/B-тестирование по подсетям (мне достался адрес из другой подсети). Например, посмотреть, как много жалоб поступит от абонов и прочий ущерб. Если не много, то делается вывод о том, что можно распространить блокировку на всех.
Буду смотреть, как скоро “запомоится” новый адрес (если это случится, то это аргумент за версию “адрес источника получает штраф за использование <чего-то>”, а если это и правда A/B-тесты, то в ближайшие дни ничего, скорее всего, не произойдёт)
Блокировки носят случайный характер.
На ростелекоме периодически отваливаются некоторые из сайтов для проверки, потом снова становятся доступны, без перезагрузок роутера и прочих телодвижений.
Пытаются потихоньку заставлять бизнес отказываться от клятых западных хостингов, одновременно избегая массовых волнений среди простых пользователей, ведь
“у друга сайт работает, а у меня нет, наверное что-то на компьютере сломалось…”
Стратегия похожа на замедления произвольных зарубежных подсетей в вечернее время.
Существование продвинутых черных списков / технологий обнаружения сомнительно, ведь под раздачу попадает всё подряд, просто чтоб снизить привлекательность зарубежного сегмента интернета для обывателей.
Я пользуюсь vpn, но у меня сейчас бана нет (vpn wg, но через тспу проходит). Один раз вскоре после начала сёрфа появляется предбан, но отпускает (а раньше не отпускало). Т.е. на пару секунд перестаёт открываться kde или висит загрузка, я закрываю вкладку, пробую заново и всё дальше идёт как по маслу. Это один раз такое (но после перерыва лаг повторяется). А раньше завис не проходил. Вот интересная особенность. Там есть в сети что-то такое, что схватывает вас и думает отпустить или нет, меня стало отпускать.
Я почти не сёрфю в открытую, всё через vpn (кроме тестов, тогда vpn отключаю). Помог перезапуск модема с выключением питания.
Так что те, у кого работает, в начале сёрфа советую обратить внимание, есть ли у вас какой-то лаг (мини завис). Я обычно проверяю на kde.
Недолго музыка играла: хетцнер отлетел в бан и на новом адресе. Меньше 2 часов.
У соседа по-прежнему всё замечательно.
А какая версия некобокс?
Можете скинуть файлы геоайпи и геосайт дат свои, а то я несколько уже пробовал не заводится что-то
По поводу параноий и слежки из-за хетцнер - мб это просто серые динамик айпи за натом в ЧС попадают, а не блоки / тспу
Я имел в виду не сам факт наличия белого IP-адреса, а изменение IP на другой. Мой серый IP постоянно меняется, но локальный NAT IP-адрес в сети провайдера остаётся статичным независимо от манипуляций.
В общем никаких черных списков нет. Устройство не менялось, айпи тот же, к 3 буквам периодически пытаюсь подключаться, и всё сейчас заработало. На Global Check теперь тоже доступность kde 100%. Блокировки носят случайный характер и не связан с белыми или чёрными списками абонентов. Это скорее случайная выборка людей для тестов, как писали выше. Или какая-то другая проблема, которая даже не связана с блокировками…
версия неко 3.26, геоайпи вот отсюдова брал понтсовывал в папку куда распаковал неку, ето специяльные геоайпи там тока чисто антизапретовский список сайтов как я понел т.е. непосредственно фукнцию гео айпи оно потеряло при етом т.к. если задать geoip:DE оно не работает так потому что там в этих етого не осталось уже зато работает как антизапрет типа, а вобще рекомемдую ознакомится состатьями miracleptr там всё он понтдробно расписывал
OpenVPN и SOCKS5 не виноваты. После их отключения и получения нового IP-адреса (с которого хетцнер доступен), через полчаса он опять перестал быть доступен.
Трассировка до kde.org при доступном хетцнере
Трассировка маршрута к kde.org [85.10.198.55]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.1.1
2 1 ms 1 ms 1 ms 5x167x111x253.dynamic.tver.ertelecom.ru [5.167.111.253]
3 1 ms <1 мс <1 мс lag-3-438.bgw01.tver.ertelecom.ru [109.194.72.30]
4 38 ms 38 ms 39 ms sw01.fra.ertelecom.ru [188.234.72.52]
5 41 ms 38 ms 38 ms 188-234-140-9.ertelecom.ru [188.234.140.9]
6 42 ms 41 ms 41 ms core11.nbg1.hetzner.com [213.239.252.22]
7 51 ms 41 ms 41 ms ex9k1.dc1.nbg1.hetzner.com [213.239.203.222]
8 43 ms 41 ms 41 ms tyran.kde.org [85.10.198.55]
При недоступном
Трассировка маршрута к kde.org [85.10.198.55]
с максимальным числом прыжков 30:
1 <1 мс * <1 мс 192.168.1.1
2 1 ms 1 ms <1 мс 5x167x111x253.dynamic.tver.ertelecom.ru [5.167.111.253]
3 16 ms 9 ms 8 ms lag-3-438.bgw01.tver.ertelecom.ru [109.194.72.30]
4 53 ms 45 ms 41 ms 188x234x72x52.dynamic.omsk.ertelecom.ru [188.234.72.52]
5 53 ms 62 ms 50 ms 188-234-140-9.ertelecom.ru [188.234.140.9]
6 45 ms 44 ms 41 ms core12.nbg1.hetzner.com [213.239.252.26]
7 46 ms 46 ms 42 ms ex9k1.dc1.nbg1.hetzner.com [213.239.203.226]
8 41 ms 41 ms 43 ms tyran.kde.org [85.10.198.55]
Хорошо. Тут есть человек с мобильным интернетом, но статикой. Физикам его не дают. Только для Юр. лиц и на корпоративных тарифах.
Ну так чтобы проверить.
Кейс: я в роуминге, за пределами страны. Мобильный интернет от Мегафон.
Работал за компом с вайфая местного, разумеется всё норм.
Работал с телефона с мобильного интернета в роуминге, всё норм.
А вот как только я раздал интернет с телефона (Мегафон) на комп, тут же всё отвалилось и на компе и на телефоне. Через какое-то время, может быть час, отпустило.
Как по мне все выше сказанное просто гадание. У меня сайты перестают открываться примерно с 17-00 и до 24-00 каждый день. Трассировка утром и вечером 1 в 1 идентична. В этом время и включают фильтрацию трафика, скорее всего: либо все абоненты, либо рандомный пул абонентов попали под тестирование. (конкретно про своего провайдера говорю)
С поддержкой провайдера проверили доступность как со стороны провайдера, так и со стороны сервера. Никаких проблем у провайдера нет.
По поводу занесения в черный список. В поддержку десятки тысячи людей пишут по все возможным поводам. Это же самое нижнее звено, кому мы там нужны. Другое дело, если написать письмо в главный офис и т.д.
У меня в 7 утра не открывался kde.org и archlinux.org. Сейчас в (13:30) kde.org открывается, а archlinux.org всё также нет. Лол.
upd 14:10:
archlinux открывается, kde открывается
upd 14:20:
kde открывается, archlinux не открывается
upd 14:30:
тоже самое что в 14:20
upd 14:40:
тоже самое что в 14:10
забавно как за час меняется состояние. на этом я устал.
У Hetzner сейчас плановые работы: Hetzner Online Status
После 2024-12-06 это должно прекратиться: https://status.hetzner.com/
Так что в добавок к блокировкам возможно что сервера отваливаются со стороны Hetzner на пару часов в день.
Не не вяжется. Если плановые работы у меня бы сейчас код 200 не отдавался бы от pkgstats.archlinux.de и archlinux.org.
Ну это если чисто логически подумать если они на том серваке находятся у которого плановые работы.
То есть пишут с 12 до 14 по МСК у них работы.
А скрипт у меня по пропохал сутки даже больше. Никаких плановых работ по ответу и таймингу не видно.
Вот вам кусок лога за этот промежуток времени. Где типа тех. работы были по часам.
К тому же не объясняет почему у людей недоступны ресурсы, когда по планерке по часам их нет.
Не вяжется с тем, как оно себя ведёт. У меня работает ICMP, а TCP-соединения проходят хендшейк, а после этого пакеты начинают дропаться (TLS ClientHello до сервера уже не доходит, нешифрованный HTTP ведёт себя аналогично). И если для TLS ещё можно было бы подумать, что кто-то где-то налажал с MTU и пакет где-то по пути не пролезает, то с HTTP этот аргумент уже не сработает, пакет с запросом у меня получается всего 139 байт, должен пролезть куда угодно, но почему-то не пролезает.
upd: проверил на всякий случай обычный http со сниффером с обеих сторон, да, пакет с запросом до сервера не доходит.
Клиент:
Сервер:
ИМХО, случайно или вследствие неисправностей сетевого оборудования такое происходить никак не может.
Минутка статистики.
Для статистки пока затронуло Hetzner это 2720064 адресов
Если затронет других крупняков
OVH 4631892 адресов
Digital Ocean 2947502 адресов
Amazon 80086947 адресов
Сloudfront (Amazon) 4119384 адресов (типа как Cloudflare)
Akamai 14388212 адресов
Все вместе это 108894001 адресов.
Сколько это сайтов никто не скажет поскольку на одном IP может висеть несколько сайтов.
ICMP трассировка показывает только один из маршрутов, а их обычно множество, какой будет выбран зависит от вашего ip адреса, адреса назначения и/или source port
Немного оффтопа
Некоторое время назад в тг зателекома запостили подсети грчц, и я их хлопнул на тачках хетзнера
И вот с самого начала там было пусто, никто не стучался, и вот аккурат с момента начала этих попыток блокировок, может быть чуть раньше, внезапно появились DROP’ы
Chain PREROUTING (policy ACCEPT 945M packets, 1095G bytes)
num pkts bytes target prot opt in out source destination
1 28 1496 DROP 0 -- * * 185.224.228.0/22 0.0.0.0/0
2 0 0 DROP 0 -- * * 195.209.120.0/22 0.0.0.0/0
3 0 0 DROP 0 -- * * 212.192.156.0/22 0.0.0.0/0
К сожалению, ядро было собрано без модуля логов iptables’а, и не вышло залогировать куда и с каких конкретно адресов тыкались, вчера пересобрал его с ним, посему продолжаем наблюдение
И параллельно хлопнул все подсети с этого списка GitHub - C24Be/AS_Network_List: Blacklists generator of subnets of Russian government agencies for blocking them on one's servers.
p.s. из четырех серверов у хетзнера доступ блокировался только к одному IP на местечковом провайдере, с РТК при этом доступ был. С мобильного мертвый был полностью
А у меня есть клиент, который уже месяц писал о подобной проблеме, я думал что это у них проблемы с провайдером, связью и т.д., тем более они говорили что постоянно начинает работать самостоятельно и что они раздают интернет с мобильного. И вот сейчас такие же признаки у других клиентов. Предполагаю что это тестирование(эксперимент) от РКН работает уже примерно месяц, но в первую выборку попало совсем малое кол-во, возможно только те кто раздавал интернет. Сейчас по сообщениям таких тоже блокируют в первую очередь.
У меня первые признаки этого появились еще в августе с блокировкой YouTube. С мобильного интернета блокировались TCP соединения по определенным паттернам на порты отличные от 22, 80, 443. Тестировал на билайн и yota. Именно до Hetzner.
Поправка с 18:30 начинают блокировать. У меня пока второй день так, но переносить сервер как-то не хочется.
Знать бы еще куда переносить… 8 лет на hetzner и вот тебе раз…
Проводной интернет Билайн начал блокировать Hetzner, клиенты сообщили о недоступности адресов из Ростова-на-Дону и Ярославля. До этого на проводном интернете не блокировалось.
То есть это тебя волнует, а не то что какой-то wiki.archlinux.org не будет переносить свой сервер?
Хм, интересно, вот это у меня открывается, а остальной хецнер — нет 
У кото-то из ркна персоннела арч стоял и они забыли гайды
А может даже на самих ТСПУ стоит арч
И именно поэтому иногда у людей всё работает без обходов. Арч обновляется, всё отваливается, и пока РКН фиксит систему, все радуются.
Опять блок вернулся. Правда, только Hetzner, не OVH.
Теперь без впна не жизнь. Даже если захочешь отказаться и не откажешься. Чего они добиваются непонятно.
У меня с тех пор 3 дня уже полный блок без просветов.
Ну, будем по чесноку, вам дали целых 11 месяцев на решения-раздумия.
Причём, сАм Хетцнер.
Я жаловался по другой схожей ситуации: недоступны все сервисы гугла всегда в вечернее время и изредка днем. Это началось полтора месяца назад и до сих пор. Ответ провайдера до изумления прост: это зарубежные сервисы, мы к ним не имеем никакого отношения, на линиях у нас все работает, пишите в тп этих сервисов, во всем виноват Обама. Попытки доказать что-либо бесполезны.
Место действия - Сибирь. Тут и SS (включая SS-22) мертв уже пару месяцев. И есть подозрение, что проводится некий эксперимент в регионе.
Зато у меня был включен. Я могу их буйство фиксировать на протяжении 7-ми дней, но сервер не часто сканируют. А еще на домашний сервер лезут там что-то делают. Не каждый день, но все же.
Вот
Да и сейчас что-то там делают.
(P.S чувствительную информацию подрезал из лога)
Домашний сервер с белым тоже сейчас чекают.
(P.S чувствительную информацию подрезал из лога)
Хотя на дом. серваке на порту udp 31962 это торренты висят, но на vps ничего там подобно не висит.
Короче это очень странно и подозрительно.
Это очень вряд ли. Там главное стабильность. CentOS там какой-нибудь стоит, или что там сейчас вместо него наребрендили.
Вот теперь и у меня включен, и прям час назад ковырялись. Только на порту 6881, который ничего не слушает на тачке, и вообще INPUT по умолчанию весь сбрасывается
У меня тоже снимали блок, и опять включили.
Снова та же странная коробка: с net.ipv4.tcp_window_scaling=1 режет TCP на SYN, с net.ipv4.tcp_window_scaling=0 не режет и всё ходит. Сибирь, мобильный Билайн.
@naruto522ru @0x99 , я бы не обращал внимания. Очень маловероятно, что это РКН сканирует. Рандомные порты, TCP-флаги, меняющийся TTL. С вероятностью 99,9% это Internet background noise / Backscatter.
Можете логгировать подобный трафик со всего интернета, а не только из сетей РКН. Будет такая же картина. Выходит вашу VPS-ку весь мир сканирует?
Хорошо, допустим в этих случаях. Но прямо видел прямо с подсети ГРЦ с периодичностью 5± в сек. С не меняющим TCP-флагом SYN,которые подходит под описание “полуоткрытое сканирование”.
Такое списывать на шум… Ну не знаю.
Увидите еще раз - покажите.
При этом трафик на этот порт преимущественно и на VPS. Может ходили за торрентами через VPN и теперь к вам с левых source ломятся на тот же порт? Не может быть такого совпадения.
Я бывает отключаю VPN, а ко мне какое-то время долбится VPN сервер.
Так да на тот же. Да забыл, что как бы торренты и там есть на VPS просто там все это дело в контейнере, но порт там другой же не 31962 торрент клиент другой слушает. И там у меня нет никаких раздач просто открытый qb и все. Ну тупо из-за встроеного торрент-трекера в qb включенный. Крч см. скрин
И вот что странно и там и там source один и тот же и порты куда стучатся тоже те же самые. По логам это видно с двух серверов. Только вся разница один тут другой заграницей для VPN есстественно.
Хорошо обязательно.
А вот нашел старый кусок
Apr 14 01:15:27 nettop kernel: <IPT> ipset deny: RKN IN=ppp0 OUT= MAC= SRC=212.192.158.68 DST= LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=54321 PROTO=TCP SPT=34535 DPT=79 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 14 01:17:54 nettop kernel: <IPT> ipset deny: RKN IN=ppp0 OUT= MAC= SRC=212.192.158.70 DST= LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=54321 PROTO=TCP SPT=44247 DPT=1 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 14 01:18:03 nettop kernel: <IPT> ipset deny: RKN IN=ppp0 OUT= MAC= SRC=212.192.158.75 DST= LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=54321 PROTO=TCP SPT=36399 DPT=100 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 14 01:19:06 nettop kernel: <IPT> ipset deny: RKN IN=ppp0 OUT= MAC= SRC=212.192.158.73 DST= LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=54321 PROTO=TCP SPT=41704 DPT=1352 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 14 01:19:25 nettop kernel: <IPT> ipset deny: RKN IN=ppp0 OUT= MAC= SRC=212.192.158.74 DST= LEN=44 TOS=0x00 PREC=0x00 TTL=251 ID=54321 PROTO=TCP SPT=42451 DPT=5666 WINDOW=65535 RES=0x00 SYN URGP=0
Тут только hostname другой, а локация мой дом)
Вот я про это и говорил.
Судя по TTL 251 - это кто-то очень рядом. Всего 4 (255-251) хопа расстояние. Сделайте трассировку до 212.192.158.70.
У меня опять сняли блокировку как будто бы. IP не менялся ни локальный, ни глобальный.
Ну вообще-то 4 если не считать провайдерский шлюз.
Ну короче я верю, что они что там шуршат. Зачем это делают тоже хз. Видать бабки получат на модернизацию и будет у меня как последний кусок лога дискотека в логах хоть каждый день.
Это кстати не факт, что они там с ТСПУ этого не делают, а что в трассировке их не видно. Забанить практитески никак иначе сам себе чебурнет сделаешь. Как тогда в этом случае пирингом на раздачах заниматься и что-то качать.
Да, конкретно по этому случаю и IP-адресу точно можно сказать о сканировании при помощи этой утилиты: GitHub - zmap/zgrab2: Fast Go Application Scanner. Соседние адреса использовались под ту же самую задачу.
https://www.abuseipdb.com/check/212.192.158.74?page=3#report - смотрите report от 2024-04-11 16:11:44 (кстати, как у вас, в апреле), там раскрыт User-Agent.
Главное не путать реальные сканы и тупой шум.
Ну отрицать случайный шум тоже не нужно, но вот из забавного
В логах появился этот IP 80.247.33.214, src port всегда 443, dst port всегда разный, но кол-во пакетов на каждый порт имеет странную особенность. ttl в моем случае 54, меняется только dst port.
Но может быть это все параноидальные бредни))
Так значит по сути доменная маршрутизация все закат ее отправлять можно? Ну если все адреса хостинга “трогают”.
А сегодня у меня все работает. Отвалилось примерно в 18:30 и потом заработало.
Как альтернативу timeweb рассматриваю, надеюсь не дойдет до перезда.
Вот свежачки из моих журналов FW
212.192.158.164
212.192.158.169
212.192.158.173
212.192.158.176
212.192.158.68
212.192.158.71
212.192.158.76
77.37.134.97
78.108.197.186
И всё ещё не отвалилось с этого момента. Неужели совсем отлегло?
(а на этом форуме есть какое-то ограничение по времени на редактирование постов?)
примерно неделя, вроде как
77.37.128.0/17 это не правительственная подсеть, там полно резидентских адресов, её добавили в список на основании ЖЖ-поста 2014 года.
Отправила PR, чтобы убрали
Мне прилетали сканы 22-23 портов и прочих привилегированных даже с адресов ВГТРК ) причём системно и регулярно.
Открываешь новую vps и уже в течение суток её нащупывают.
То, что адреса хостят “новости”, не мешает разместить там сканеры известно кого, чтобы искать новые vps-ки с подозрительным портами )
В Ростове-на-Дону утром вернулся и сохраняется доступ к Hetzner на мобильном и проводном билайн, но остаётся блокировка TCP соединений к Hetzner по определённому (простейшему) паттерну (что я наблюдал здесь начиная с августа).
То есть работает, например, SSH, HTTP, HTTPS, но не работают кастомные протоколы на других портах, если пакеты попадают под паттерн. Для примера — Minecraft (он на TCP) не работает 
Но при этом с нее продолжают активно “щупать” тачки, и лично у меня только те, на которых сидит больше всего народу.
2024-11-15T10:40:12.721535+03:00 - kernel: [12530196.055079] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50178 WINDOW=64240 RES=0x00 ACK SYN URGP=0
2024-11-15T10:40:12.725715+03:00 - kernel: [12530196.059057] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50177 WINDOW=64240 RES=0x00 ACK SYN URGP=0
2024-11-15T10:40:12.977401+03:00 - kernel: [12530196.311102] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50179 WINDOW=64240 RES=0x00 ACK SYN URGP=0
2024-11-15T10:40:28.849117+03:00 - kernel: [12530212.183309] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50178 WINDOW=64240 RES=0x00 ACK SYN URGP=0
2024-11-15T10:40:28.852913+03:00 - kernel: [12530212.187292] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50177 WINDOW=64240 RES=0x00 ACK SYN URGP=0
2024-11-15T10:40:29.104942+03:00 - kernel: [12530212.439174] [IPSET BLOCKED] IN=eth0 OUT= MAC=- SRC=77.37.174.66 DST=- LEN=52 TOS=0x00 PREC=0x20 TTL=52 ID=0 DF PROTO=TCP SPT=443 DPT=50179 WINDOW=64240 RES=0x00 ACK SYN URGP=0
Что значит “щупать”? Никто так не щупает. Выше я показал как выглядит реальный скан.
А это классический пример backscatter. Все видно в вашем же логе. Кто-то отправил на 77.37.174.66:443 TCP SYN c source IP-адресом вашей VPS, и логично, что в ответ вам прилетел от него SYN+ACK.
Кстати, на этом IP-адресе висит некий https://hubzil.la (узел сети Friendica).
От того и банить не нужно? Разница в том, что она не в том сете из-за этой ошибки.
Может кстати и была в правительственной подсети. Просто не убрали из листа.
Хорошо логический вопрос какова вероятность, что при этом удаленный клиент инициирует соединение с 443 tcp порта? На сколько я знаю они рамдомно выбираются и причем не системные, но и также их можно самостоятельно задать, а если задается, то это злонамеренное действие. Причем по логу человека видно, что неоднократно было.
Вот есть на что смотреть у меня тор мост поднят на VDS для себя и нуждающимся за границей естественно.
Вижу классический dpt, который я задал. И вижу, что не один из 60 клиентов с 443 порта не инициирует соединение. Все порты не системные.
Хотя tor именно консольный позволяет изменить его. Тот который в браузере нет.
P,S Хотя да вспомнил, что я такие соединения дропаю , но вопрос остается вопросом.
Но при этом с нее продолжают активно “щупать” тачки
Ваш VPN уязвим к active probing? Или ssh выдаёт своё присутствие.
Это не инициация нормального TCP-соединения - иначе должен быть только SYN, без ACK. Это ответ на SYN (SYN+ACK).
В дикой природе можно встретить инициацию TCP соединения с привилегированного порта (ниже 1024). Например, в клиентах NFS, NTP. Но это не тот случай.
Если ставить себя на место человека, который хочет узнать, открыт ли порт, то так “сканировать” бессмысленно, поскольку независимо от того, слушает ли кто-то порт, в ответ придет TCP RST (конечно если трафик не порезан раньше firewall-ом).
Более того, в цитируемом случае это явно такой же человек с какой-нибудь виртуалкой, который увлекается темой Fediverse.
Это только со стороны сервера фикса по портам. Со стороны клиента с любого порта может инициировать соединение.
Это только со стороны сервека фикса по портам.
Которые опять-таки по RFC можно изменить скорее всего. Тому примеры DNS,DoT,DoH.
Само собой, что можно с любого. Я же говорю о нормальных соединениях. Чтобы не быть отфильтрованным, сканирующий должен стремиться быть максимально похожим на легитимного клиента.
Просто еще раз повторюсь, что пример выше с IP-адресом 77.37.174.66 по всем признакам не имеет ничего общего со сканированием.
я думаю можно хоть немного сдвинуть дело с мертвой точки если написать письмо в Роскомнадзор и попросить прокомментировать на основании какого документа или приказа или распоряжения они блокируют доступ к IP адресам Hetzner? Вот тут форма для заполнения: https://rkn.gov.ru/treatments/ask-question/
Писать кстати можно от вымышленного имени и с левого ящика, телефон указывать не обязательно.
Давайте напишем пару писем посмотрим что ответят (думаю шаблонно, что наша хата с краю и мы ничего не блочим). Кому не сложно, напишите спросите чего они беспределят и блочат IP?
Допустим, вам ответили такой строчкой:
Федеральный закон от 01.07.2021 № 236-ФЗ
Вот в теории можно подтянуть под блокировку и недоступность Hetzner эту статью, но вот проблема в том что только сам провайдер попадает под эту статью как иностранное лицо осуществляющее деятельность на территории России. В большинстве случает клиенты Hetzner с их сайтами - НЕ попадаю под эту статью. Как быть? Хостинг большой на него можно натянуть эту статью, а вот если брать по отдельности клиентов этого хостинга то нет.
Также можно сказать что IANA (от англ. Internet Assigned Numbers Authority — «Администрация адресного пространства Интернет») попадает под статью и вообще все IP адреса этой компании можно забанить, а это вообще весь интернет. Тут палка о двух концах, тут лучше спросить e РКН что они задумали и чем руководствуются? Если их не теребить они и дальше будут палки в колеса всем нам вставлять.
РКН туп, он рассматривает Хетцнер как бльшой ДЦ, у которого нет офиса в Москва-Сити и к которому нельзя прийти с грозящим пальчиком. Правда, с доказательной базой будут некие проблемы, но, я думаю, они “справятся”. )
Так ведь комизм ситуации в том, что к клиентам НЕТ вопросов.
Просто есть пул айпи, который блочится. Ибо думается, что владелец: вот он.
А клиенты вы или нет мы не в курсе. Мы только пул Хетцнер глушим.
У меня началось замедление fastly. Steam долго прогружает, в ваершарк посыпались ретрансмиссии. Понятия не имею войны ли это с сднами или признаки блокировки стима (у него помимо fastly был еще cloudflare и akamaihd)
Сейчас нахожусь за границей и есть возможность купить другой VPS для vpn. Какой лучше покупать? Есть загран карта
Все что угодно в дружественных странах. Смотри что ближе до тебя по сети, если ты живешь в европийской части РФ, то скорее всего это будет Сербия.
Блин забавно конечно. На выходных доступ был, а в понедельник ровно в 0:00 по МСК снова выключили.
Реально похоже сценарий “интернет только по праздникам”.
Билайн с утра пятницы и до сегодня не блокировал порты 22, 80 и 443, но блокировал остальные порты по паттерну пакетов. Сегодня снова полный блок TCP до Hetzner.
А у меня на мобильном интернете отвалился один сайт на Digital Ocean curl ответ не отдавал через VPN все ок. На проводном он же 200 отдает (без обходов). Не начало ли конца это?
Что-то тема заглохла. Неужели не у всех Hetzner заблочен?
У нас в ЛНР начали с понедельника блокировать. Финские и немецкие айпишники в блоке, остальные не проверял. Многие сайты не работают. Раньше хоть VPN протоколы блочили, а сейчас работают по площадям.
Как раз-таки наоборот если нет активности все делают обход ну или переносят сервера.
А что с этим делать? На билайне мобильном и проводном блок, знаю точно про Ростов-на-Дону и Ярославль. Любое TCP соединение режется. А в Москве работает. Да, не работают все сайты на Hetzner. Видимо, недостаточно это заметно для большинства пользователей.
Тут писали про параметр sysctl net.ipv4.tcp_window_scaling=0 после него начинает работать у человека из Саратова
Ну у меня всё полностью починилось, например
Мне помогло проксирование через Cloudflare. Если сервер используется для VPN можно использовать Xray-core, а в качестве транспорта WebSocket.
my.jdownloader.com и board.jdownloader.net
позавчера без прокси не работало. zapret, goodbyedpi не помогали.
вчера всё заработало без приседаний.
сегодня опять глухо.
Я начал строчить тикеты провайдеру, причем по каждому из известных недоступных сайтов на хетцнере отдельно, ссылаюсь на отсутствие домена в https://blocklist.rkn.gov.ru. Тикеты закрывают, мол с нашей стороны все ок, я просто сразу создаю новый. Надо создавать им нагрузку. archlinux.org завёл на мониторинг через http запрос, посмотрю статистику через неделю.
сегодня опять всё работает. качели какие-то
Обычно тогда просят спеца прийти для “настройки роутера” если проблема “на стороне абонента”
Можно подготовится. Убрать все сервера и компьютеры и оставить дефолтную прошивку с admin admin паролями и одним телефоном. Пусть спец разберется в таком случае
Кстати появилась тут возможность протестировать блок у соседей по сети. Та же часть города, тот же провайдер, то же все, но при этом блока нет.
Видимо это действительно индивидуальная дискриминация на основе какой-то активности со стороны пользователя. Вопрос какой именно.
И это может быть правдой.
Тут обнаружилось, что на одном провайдере в квартире сайты на хетзнере не открываются, при этом у того же провайдера в соседней квартире - открываются.
Обычно тогда просят спеца прийти для “настройки роутера” если проблема “на стороне абонента”
А на момент его прихода блок случайным образом пропадёт и получится газлайтинг. Суслика видишь? А он есть.
Но даже если зафиксируется недоступность, проверка покажет, что у вас и у провайдера всё работает. И это будет правдой. А проблема на другой стороне, у Hetzner или по пути.
Надо писать в РКН, но они будут отмахиваться: “не знаю, не ведаю” или Hetzner не соблюдает закон. Вот и весь разговор. Такое безобразие у нас творится.
Хотя, вспомнилась мне тут одна история. Как у белорусски, живущей во Франции, пропала возможность дозвониться в Беларусь маме.
Не могу дозвониться маме.
С белорусской стороны говорят, что звонок не доходит до Беларуси, Оранж говорит, что с их стороны все в порядке. Четыре года дозванивалась на стационарный и вот тупик.
Мой оператор здесь говорит, что это не с их стороны, потому что я могу дозвониться на другие белорусские номера.
…
Белорусская сторона проверяла. Отслеживали в Минске, как я звонила. Не доходит до Беларуси сигнал, говорят.
Оранж говорит, что они отслеживать не будут, ибо это нарушение частной жизни.
лол.
у билайна по крайней мере старшие сотрудники не работают по скриптам и вцелом с ними обсудить проблему можно. (по крайней мере мы касались вопросов по тспу по другому вопросу), но это уже как повезет и на кого попадешь из них
первые 2 линии там бессмысленно будет - да
И вот опять выходные, сразу как наступила суббота с 0:00 по МСК доступ снова резко появился. Прям заговор, не иначе.
Спустя 10 дней, найти закономерность так и не удалось.
После получения нового динамического IP-адреса от провайдера ресурсы на хатцнере становятся доступны, но где-то в течение получаса доступ блокируется.
Экспериментально установлено, что это не связано ни с клиентами, подключенными к роутеру (если отключить всех клиентов, доступ так же блокируется), ни с OpenVPN и SOCKS-клиентом, запущенными на роутере (если их отключить, доступ так же блокируется).
Можно было бы заключить, что блокировка не зависит от абонента, но в эту теорию упорно не вписывается тот упрямый факт, что у соседа с точно такого же провайдера хетцнер доступен все эти 10 дней.
Возможно, какие-то служебные соединения самого роутера триггерят блокировку (это Keenetic, который постоянно держит связь со своими серверами), но у меня нет запасного.
Когда взял первый кинетик, поставил его сразу по привычке за микрот и обнаружил, что на каждый всплеск трафика он начинает сам пропорционально звонить на свои сервера в Питере и ещё хз где. Такое ощущение, что сливает каждую сессию. Ну ладно, “обеспечивает мою безопасность”. Отрубил на нем все, что мог - не помогло. Собрал подозрительные адреса через микротовский динамический список и с тех пор кинетики стоят только как AP за файерволом. Наружу их не выпускаю, кроме ntp и сервера обновлений ( по большим праздникам).
Я это наблюдаю с где-то мая, но не конкретно на хетзнере, а на целой куче различных хостеров и CDN: Fastly, Akamai, Hetzner, OVH, etc. Выглядит так, словно помечается конкретный клиентский IP который замечен в попытках обойти блокировки и врубаются более суровые фильтры. Проблему наблюдаю на втором провайдере подряд, только тут нет такой простой возможности сменить IP, поэтому чуть поменял свой подход к обходу
Связано с этим думаю:
Татарстан, сервер Hetzner в Финляндии, с проводного МТС недоступен ни по какому протоколу, с Дом.Ру - полностью доступен.
Последние 2-3 недели похоже тестируют какое то сценарий блокировки.
Некоторые клиенты не могут установить TCP соединение до OVH, В Wireshark видно только первый SYN ну и ретрансмиссии. Не работает пока не получат новый динамический IP. Причем заметил что такая история только у мелких провайдеров. Из всех репортов клиентов заметил в виновниках Ростелеком в Красноярске только один раз.
Есть еще история что подключение есть, но TCP сессия отрубается ровно через 30 минут.
Как решать эти пробелмы кроме как хостится в РФ без понятия. Пробовать встраивать VPN в приложения? Или может поднять реверс прокси в России и стучатся уже по GRE например? Может знает кто, есть ли подобные проблемы на соединениях сервер-сервер?
Сегодня в автохостлист запрета упал ocsp.digicert.com, что довольно тревожно, т.к. это сервер проверки статуса сертификатов. Хостится вроде за edgecast, но саму cdn edgecast у меня вроде не блокируют. Странные дела.
А он по 443 не отвечает. Только по 80?
ПРЕДУПРЕЖДЕНИЕ: альтернативное имя субъекта сертификата не совпадает с именем
запрошенного узла ‘ocsp.digicert.com’
Что же светит всё провайдеру или там внутри шифрование.
Да.
Есть, блокировки на VPS в РФ почти такие же как и у ISP.
В соседней теме предположили, что триггером является SSH-соединение с авторизацией по ключу (не паролю). Возможно, нестандартный порт тоже влияет.
У меня такое соединение есть, и блокировка была. Хотя вот прямо сейчас нет.
Это предположение противоречит с наблюдением массовых жалоб на недоступность arma31.battleye.com у игроков, которые SSH не пользуются. Несколько дней не работает у одних, затем начинает работать и тут же перестаёт работать у других, и так уже две недели. Пятиминутное отключение роутера помогает у одних на пол-часа, у других доступность восстанавливается и не теряется (чаще всего). Больше похоже на случайное A/B тестирование для сбора статистики.
Не сильно разбираюсь что это, но если там свой протокол, то он тоже может попадать под ту же неведомую сигнатуру, по которой блочат.
UDP там, а почему всех тогда не блочат, а только примерно у 1% игроков проблема? Я тоже думал на паттерн пакета, но это происходит веерно случайным образом.
Тогда предположу, что тестируют белый список IP/протоколов, блокируя всё, что в него не входит. Но не массово, а для случайной небольшой выборки, чтобы по реакции и крикам понять, что зацепили, и насколько это чувствительно.
Эту версию подтверждает то, что по выходным блокировки нет - потому что нет определенных сотрудников, и некому быстро отреагировать при необходимости.
В общем, спустя десятки тикетов в поддержку мне подключили спеца постарше, видимо с третьей линии, с которым можно было разговаривать на техническом языке. Я ему вкратце описал проблему с хетцнером, привёл пруфы в виде дампов трафика неудачных попыток входа на легитимные сайты, и дампы с другого оператора снятые в то же время, где все работает. Он сказал, что все понял, 10 минут что-то смотрел, затем сайты на хетцнере стали доступны. Внешний адрес у меня при этом НЕ изменился, то есть, видимо, буквально вручную снимали фильтры примененные непосредственно к моему адресу.
После этого на мониторинге сайт арчлинукса не отваливался:
Сейчас в качестве эксперимента избегаю использования “классических” впн протоколов и ssh через этот канал, использую только vless-over-cdn. Посмотрим, вернется ли блок, как писали выше.
Так ты спросил что это было? Раз тспу крутить не могут, какая провайдерская железяка от хетзнера решила защитить и почему?)
Я спросил, мне ответили кратко “ошибка маршрутизации”, я конечно понимаю, что дело не может быть в этом, но уж не стал докапываться т.к. меня вся эта ситуация и общение с провайдером уже утомили. Скорее всего какие-то срочные запросы на корректировку фильтров они направлять могут, если дело не касается официально заблоченых ресурсов или ютуба.
Почему дело не может быть в этом? Хз где точно стоят тспу, но может быть их несколько на пути, на первом маршруте 1 конфиг, на втором маршруте другой конфиг (без блока hetzner). Здесь уже писали что для обхода блока некоторых сайтов через gdpi требуется ставить высокий ttl (8), что уже выходит за рамки сети провайдера
Может провайдер пустил разрешённые ресурсы в обход тспу, это тоже можно назвать маршрутизацией.
Последовал примеру и тоже написал провайдеру. Неожиданно, но это действительно сработало. После стандартных процедур “перезагрузите роутер” итд, что-то они у себя сделали и все заработало. Адрес тоже не менялся.
Теперь посмотрим сколько проживет.
Так что у кого проблемы - обращайтесь к провайдеру. Похоже это вполне поддается исправлению на их стороне.
Я и пологал что это именно пров делает, а не тспу. Пакет по трассе теряется ДО тспу. По курлу похоже на блок по ип (после резолва тишина, нету syn вообще) НО, я проверил реальные ип блоки для сравнения, там пакеты проходили через тспу по трассе. Поэтому тут 100% пров это делает. И кстати, тем кто звонил, поздравляю, вас добавили в черный лист. Вы теперь будете подопытными кроликами
Если так специально блочили, значит мы уже подопытные. У них есть договор с паспортными данными клиента, и всю историю трафика они хранят по закону. То есть от обращения здесь ни холодно ни жарко.
До этого ты был в сером списке (особенно если за дин ип или нат), а со звонком ты себя выявил
Это уже надуманная паранойя с изобретением 50 оттенков списков.
Да и хоть какой нат, провайдер прекрасно в курсе кто какой адрес в какой момент времени использовал. И судя по сообщениям о том, что в одной квартире может быть блок, а в соседней нет, внешний адрес тут даже и ни при чем.
В моем понимании “проблема с маршрутизацией” это полное либо частичное отсутствие сетевой связности по любым протоколам, а когда ICMP ходит и TCP сессия стабильно устанавливается, но сессия фризится на TLS ClientHello, это явно чьи-то проделки. У меня все симптомы были в точности как тут:
Между делом я вернулся домой и оказалось, что хетцнер снова в блоке. Отлетел в блок примерно через сутки после разблока. Ба дум тсс.
Написал этим товарищам последний тикет со ссылкой на предыдущий и сказал, что либо решают проблему окончательно, либо завтра еду к ним в офис разрывать договор. Дам им последний шанс, после этого скакну к другим и оформлю на другого человека, благо сейчас не на меня договор и есть еще люди.
Ха, у меня тоже отлетел. Синхронно. Очень странно это все.
А пробовал играться с net.ipv4.tcp_window_scaling=0 у Windows netsh interface tcp set global autotuninglevel=disabled
Еще не верите в черные списки?
потом верните на дефолт
netsh interface tcp set global autotuninglevel=normal
иначе будут проблемы со скоростью инета
Нет, тут явно автоматика отработала. И теперь уже явно, что это не сам провайдер делает. Будем продолжать разбираться.
Дом.ру Ростов-на-Дону.
В 12:00 сегодня пропал доступ к Hetzner, например:
https://archlinux.org/
https://www.7-zip.org/
http://kodap.ru/
https://petobzor.com/
Пинги есть, TCP — нет.
Поддержка предложила отключить статический IP.
Действительно, с отключенным статическим IP заработало. После включения обратно — снова нет доступа. Сказали, что «вероятно, сложности со статическим IP».
Оставили статический IP включенным, попросили сделать MTR до сайтов и прислать скрины.
Создали заявку другим специалистам, и внезапно всё заработало на статическом IP.
В итоге комичная ситуация, позвонил специалист, чтобы просто закрыть заявку, т.к. всё работает. Сказал, что «возможно, профилактические мероприятия предыдущих специалистов помогли».
Интересно.
Сегодня тоже снова было общение с провайдером. Переключили на более технического специалиста.
Подтверждают, что проблема носит общий характер и есть жалобы от людей, но пока не нашли источник проблемы. Передергивание подключений на их стороне похоже помогает, но ненадолго, тоже не могут понять почему.
Взяли трассировки и дампы, сказали будут разбираться.
Сегодня тоже обратился в техподдержку, сделали mtr, создали тикет, сказали перезвонят. Пока ждал , стал экспериментировать , вытащил wan кабель на 2 часа, ушел гулять. Прихожу, выключаю все обходы блокировок на всякий, ставлю днс провайдера, захожу https://archlinux.org - работает , думаю бинго, потихоньку включаю zapret на роутере, ipsec-antizapret для зарубежных блокировок. Минут 20 прошло блок. Думаю , ну ладно, выключаю опять , но уже минут на 30, выключаю все обходы , ставлю везде dot dns,потихоньку включил zapret, работает вроде, подключил ipsec-antizapret, пока 2 часа прошло работает , утром завтра обновлю , и вечером
UPD. Утро, пока работает.
Один пользователь попробовал жалобу написать на недоступность arma31.battleye.com, ему ответил саппорт провайдера:
То есть aur arch linux каюк? Не ну то что арч линукс был говном и так ясно, но просто как бы вот, такой вот ваш опен сурс… все равно нужно разворачивать свои репы выходит
ps: все что нашел вот этот пост https://lowendtalk.com/discussion/191182/hetzner-will-block-users-from-russia
contractual relationship with customers from Russia
Я каким-то образом заключал контракт на скачивание archlinux-2021.11.01-x86_64.iso образа с archlinux.org в прошлом???
А прокси и впны уже отменили?
Речь только о пользователях хостинга, то есть тех кто там свои ресурсы размещает. На простых прохожих никаких ограничений не накладывали.
На самом archlinux.org никакие образы вообще не хранятся, у арча куча зеркал по всему миру + раздается по торренту.
И хорош уже бессмысленный срач разводить. Если нечего сказать по существу темы, то лучше просто промолчать.
написано как будто школьником, уж извините ( я про весь текст целиком)
Тоже вызвало подозрение стиль изложения, но перепостил на всякий случай.
У арча зеркала есть, у aur нет.
А вообще aur может много куда обращаться. Вот заблочат github и тоже отвалится.
Несерьёзно это, конечно. Обычно дистрибутивы копируют всё нужное себе на зеркала, даже исходники.
то есть тех кто там свои ресурсы размещает.
Из-за чего на многих провайдерах домашнего интернета он не доступен, в ближайшее время он будет недоступен у всех провайдеров домашнего интернета.
Что-то не сходится эта логика. Тут куча людей писали именно про недоступность банальной вики wiki.archlinux.org
Hetzner которая закрывает свою деятельность в РФ
Ну тут допустим, если бы hetzner фильтровал ру ипишники, то сервер об этом сказал бы ошибкой 403, так геолок делают обычно. Тут же пакеты даже до тспу не доходили. Где пакеты, карл???
Ну так речь о том, что российские власти могут заблокировать целые сети иностранных хостингов под предлогом того, что хостинг отказался сотрудничать с Россией. Никто и не говорит, что Hetzner забанил подключения к себе из России. Они забанили клиентов из России, то есть отказались предоставлять услуги хостинга, закрыв с ними контракты.
Нужно читать внимательнее, это две разные вещи. Клиентов отказался обслуживать сам хостинг. А домашние блокировки доступа к сайтам на нем это уже проделки РКН на нашей стороне.
Конкретно арч никто не банил. Ему просто не повезло находиться именно на этом хостинге.
Сегодня (27.11.2024) временно перестал работать archlinux.org включая все остальные домены перечисленные выше в первом посте. Они не были доступны с как минимум с середины дня, такое уже было пару недель назад и само прошло на следующий день. И в этот раз тоже прошло к вечеру.
Пока еще они не были доступны я решил написать провайдеру, показал что syn пакеты остаются без ответа, но во время разговора они все думали что проблема на моей стороне потому-что они не могли подтвердить недоступность, с их стороны все работало, говорили они. В конце концов они сказали что передали информацию “сетевым администраторам” и завтра напишут ответ, но к этому времени все уже заработало.
У меня статический ip, один и тот же уже долгое время.
Оба раза синхронно с недоступностью Hetzner у меня переставал работать доступ к wss://socket4.lichess.org таким же образом, он как я понял находится на OVH, начал работать тоже совместно.
Подписываюсь под этим постом и постом ниже. Все так и есть.
Некоторые люди путают. Да отказались обслуживать, но они же сказали им же типа дайте документы из КЗ подтвердите и пользуйтесь дальше нашими услугами т.е даже не какие не русофобы как может показаться. Предложили такое, чтобы не попадать под закон о приземлении компаний. Все правильно сделали. Ибо РКН охренели лезут не в свой сарай.
Поздравляю не официально подтвердили подготовку к чебурнету.
Факт в том что это подтверждает тогда что вот этот
пост
является абсолютнейшим ВБРОСОМ.
Ему просто не повезло находиться именно на этом хостинге.
Это тут вообще не причем. Причем тут яблоки до апельсин? Я опять повторю, тут сайты вроде wiki.archlinux.org админы которых даже могут и не знать про
в ближайшее время он будет недоступен у всех провайдеров домашнего интернета
И если бы им сильно надавили hetzner сверху то они бы уже давно либо: 403 русских либо удалили бы противоправный контент. Про хостинг своих собстевнных серверов тут речи нету. В ОП тоже не было речи про это, была речь что сайты не открываюся, и не со стороны hetzner, а со стороны РКН
Следует вопрос на каком юридическом основание арч линукс недоступен? Там нет никаких русских серверов или “клиентов” которые “заключили договор” с hetzner.
aur тоже отвалился
Если это реальный ответ, то это не совсем вброс. Из ответа может показаться, что доступа нет из-за того, что «Hetzner которая закрывает свою деятельность в РФ», то есть якобы Hetzner закрывает деятельность и блокирует РФ. Но следует читать иначе — Hetzner закрывает деятельность в РФ, и поэтому РФ вводит ограничения. Но официально не признают, поэтому и эти качели, что что-то работает, что-то нет.
Смысл сие действий?)
Что-то они iphone не блокируют ведь тоже ушли же как и все остальные.
Айфон не может быть публичным VPN-сервером, а виртуалка на Hetzner может.
Опять же, какое это имеет отношение к погоде на wttr.in? Там нету никаких виртуалок, или смотреть погоду уже нельзя потому что американцы колдуют плохую погоду чтобы россия страдала?
Или это вообще уже бей своих чтобы чужие боялись? Вот этого я не понимаю. Если пролема в впн, то… почему они их не банят, а банят aur? Кто-то использует wttr.in как domain front что-ли???
И даже допустим банить aur еще ладно. Там пакеты тора есть, а на вики арча инструкции для обхода, ладно, допустим там можно банить… но погода-то тут причем?
Я имел Apple сервисы и т.п
Вы задаете вопросы о мотивации российских властей, на которые нет ответов у кого-либо здесь.
Вы спрашиваете «какой смысл этих действий», ответ неизвестен. Спросите у интернет-провайдера или РКН.
У меня на мобильном билайне с августа проблемы с соединением с Hetzner, около месяца полный блок TCP соединений. Не работают любые сайты на Hetzner, не говоря уже о других TCP соединениях, например, серверах приложений, игровых серверах и т.д.
Конкретно aur и wttr.in они не банят. Банят диапазоны IP-адресов. Этим ресурсам не повезло в них оказаться. Почему не банят VPN? Так сложно это. Вы купили виртуалку, подняли там какой-нибудь wstunnel - при некотором количестве усилий снаружи будет выглядить как обычный HTTP-сервер. Как они узнают, что это VPN? Ковровые бомбардировки - это всегда проще.
Это провайдер Цифровой Диалог, РнД.
До этого получал блок житель Севастополя, сейчас блок получил пользователь ПАКТ СПб. Блоки по UDP сетей из списка.
Наконец-то хоть какая зацепка. Значит ли это что это происходит только у тех кто эту самую виртуалку покупал и спалился путем корреляций вроде ссх туннелей или оплат с реальных банковских карт прочего в их сторону?
Тут кто-то может отписаться именно у кого сейчас не работает, имели ли вы “контракты” с hetzner когда либо? Если ответ да, то это correlation attack и тогда мне наконец-то будет понятно, а то я устал от этого псевдо законного бреда и прочих словесных поносов
Ничего не покупал, на РТ регулярно не работает тот же archlinux.org
На другом провайдере работает всегда.
Конечно нет. Те пользователи, которые получили блок используют интернет только для игр.
Тогда у меня абсолютно ничего в голове не укладывается, кроме как: бей своих чтобы чужие боялись.
всё
Еще раз: Hetzner не работает у людей, которые никогда не покупали ничего в Hetzner, не заходили никуда через SSH, не пользовались VPN и т.д.
Блокируется диапазон адресов, который скинули выше, из AS24940.
Нет каких-то «correlation attack», трафик просто отрезается в сторону указанных адресов.
Это не «чтобы чужие боялись», это может быть «чтобы свои пользовались своим, а не чужим».
Не это точно не может быть, тогда бы погода и аур работали бы, но я уже и так много про это говорил, одно дело созывать на свои хостинги блокируя например оплаты или сам сайт hetzner где эти контракты подписываются, другое дело доступ к банальной погоде к этому не имеет отношения.
Можете пояснить? Я не понимаю, что вы имеете в виду про погоду и аур. Я говорю, что могут, например, не дать пользоваться Hetzner, чтобы российские юзеры с него переезжали на другие хостинги, т.к. он не будет доступен в России.
archlinux теперь российский лол?
Я больше не могу don’t @ me
Нет, не российский. Какое это имеет значение, если возможная конечная цель — не дать Hetzner работать с российскими пользователями?
У меня на нск йоте блока вроде больше нет. Вообще, я всегда пользуюсь vpn. Но сколько ни загружаю для теста виртуалку в режиме моста (т.е. без vpn, напрямую от провайдера), сколько ни сёрфю там archlinux, kde, filezilla, пока открывается.
Арчем не пользуюсь. В виртуалке mageia cauldron (т.к. легко ставится).
Hetzner не покупал.
Рассуждать зачем они это делают бессмысленно. Есть факт коврового накрытия хостинга, им там наверху просто плевать на чужие рабочие процессы.
А я так постоянно натыкаюсь на ресурсы с него. То сборки LineageOS не скачать, их зеркальный сервер mirrorbits.lineageos.org. То софт на Meson не собрать, тянет пакеты с wrapdb.mesonbuild.com. Но кого там это волнует.
я уже который день “чиню” эту херню выдиранием wan кабеля из роутера на 15 минут , помогает стабильно , вот был блок , 15 минут без кабеля в роутере, включаешь , все работает. Помогает на длительное время, от суток . Вообще не понимаю как это работает. Так же не представляют почему блокирует опять , связываю с использованием впн, пробую разные варианты. Поддержка пока молчит , дня 2 назад оставлял заявку
Засек
У них короче это коробка кривая
В 18:31:40 ev.kde.org открывался т.е curl был отдан ответ, а в 18:36:59 уже все не открывается. Причем видно уже в retry ушел по тому как следующий пробный сайт получил ответ лишь в 18:40:24. Ответ был получен от ev.kde.org только в 18:52:53 и то не с первой попытки т.к эхо напечатал сам домен в 18:47:43, а ответ только был в 18:52:53.
И меж “сеансами” 18:36:59 и 18:52:53 был еще один в 18:47:43 на который ev.kde.org не ответил курлу.
P.S Да-да специально такой противный домен для ТСПУ взял.
P.S2 Надеюсь с таймингом ничего не перепутал.
P.S3 В выборке у меня если что 23 домена.
Только что проверил. Твой способ действительно сработал.
попробуйте сменить мак адрес сетевой карты + перезагрузка, думаю это тоже сработает
Я решил себе тоже поставить мониторинг доступа к archlinux.org с помощью uptime-kuma и произошло что-то странное. Либо доступ к Hetzner пропал почти в полночь сам по себе (не из-за моих действий), либо это произошло из-за того что за минуту до теста я попробовал подключиться к Tor без изпользования мостов или VPN (подключится естественно не удалось, я решил попробовать из-за спекуляций людей выше по теме о закономерностях).
Доступ пропадает таким же методом - SYN остается без ответа.
В полночь случился сбой в Европе, многое легло на разных провайдерах и хостингах.
(Пост из чата Aeza)
Сейчас гляну на это. Просто archlinux.org и все остальное с использованием VPN работает для меня, только напрямую не работает, с учетом сбоя так и должно быть?
P.S. у меня VPN кстати на серверах Аезы в нидерландах, но не думаю что это важно.
Как понимаю сбой был ни как не связан с моей ситуацией, я еще забыл заметить что сервера эти пинговались, только tcp соединение не устанавливалось. Плюс доступ к Hetzner et al у меня так и не вернулся.
Да, https до Hetzner недоступен от некоторых провайдеров, с 12:07 MSK в моем случае. Есть точный список подсетей, которые блокируются?
Заблокированные ресурсы были отсюда. Заблокированы не только TCP но и UDP.
Кто-нибудь кто лучше разбирается в сетях может мне подсказать? Если я сделаю трассировку mtr до сервера сначала без --tcp флага а потом с ним, в данном случае это поможет понять на каком этапе рубится соединение?
Вот например как это для меня выглядит до archlinux.org:
$ mtr -w -c 5 -b archlinux.org
Start: 2024-11-29T15:45:55+0300
HOST: ----------- Loss% Snt Last Avg Best Wrst StDev
1.|-- OpenWrt.lan (192.168.1.1) 0.0% 5 0.2 0.2 0.2 0.4 0.1
2.|-- 62.122.98.255 0.0% 5 0.7 0.7 0.7 0.8 0.1
3.|-- bgw0.link-region.ru (62.122.97.17) 0.0% 5 1.8 10.2 1.7 41.7 17.6
4.|-- 109.239.137.105 0.0% 5 36.9 38.5 36.7 45.3 3.8
5.|-- core31.hel1.hetzner.com (213.239.224.38) 0.0% 5 37.3 36.7 36.4 37.3 0.3
6.|-- spine15.cloud1.hel1.hetzner.com (213.239.228.2) 0.0% 5 37.0 36.8 36.6 37.0 0.2
7.|-- spine1.cloud1.hel1.hetzner.com (213.239.228.22) 0.0% 5 37.2 39.6 37.0 49.5 5.5
8.|-- ??? 100.0 5 0.0 0.0 0.0 0.0 0.0
9.|-- 13229.your-cloud.host (95.216.131.48) 0.0% 5 36.6 36.7 36.6 36.8 0.1
10.|-- archlinux.org (95.217.163.246) 0.0% 5 37.0 36.9 36.5 37.5 0.4
И с --tcp флагом:
$ mtr -w -c 5 -b --tcp --port 443 archlinux.org
Start: 2024-11-29T15:46:18+0300
HOST: ----------- Loss% Snt Last Avg Best Wrst StDev
1.|-- OpenWrt.lan (192.168.1.1) 0.0% 5 0.4 0.4 0.3 0.5 0.0
2.|-- 62.122.98.255 0.0% 5 0.9 1.0 0.9 1.2 0.1
3.|-- ??? 100.0 5 0.0 0.0 0.0 0.0 0.0
P.S. У меня кстати провайдер подвердил что на их стороне тоже перестал archlinux.org открываться, только не пойму у нас это синхронно или нет, раз раньше у меня не работало, а они писали на их стороне все нормально.
Мой провайдер после мучительно долгого разговора все таки попытался помочь разобраться в причине, только вот мне кажется они не правы?
В продолжение той истории:
Мне повторно “починили” хецнер, в этот раз произошла смена внешнего адреса. К сожалению, я позже обнаружил, что первый эксперимент по проверке условий блокировки был не чистым, я не использовал на проблемном канале детектируемых средств обхода и ssh, но забыл о том, что у меня с роутера строится ipsec туннель до квартиры родителей. Возможно, именно он и вызвал сработку фильтра блокирующего хецнер ровно через сутки.
В этот раз я лучше подготовился, увёл весь трафик на другой канал, а на “проблемном” операторе оставил только мониторинг сайта арчлинукса и одну виртуалку с провайдерскими dns, где в яндекс браузере бесконечно крутится рутуб и вк видео, чтобы был ощутимый трафик. Можно сказать, лабораторные условия.
Итог:
Хецнер стабильно доступен уже пятые сутки. Выжду ещё пару дней и попробую включить ipsec, по моей гипотезе это приведёт к отвалу хецнера в течение суток, и опровергнет теорию черных списков “злостных” абонентов.
Сорян за оффтоп не по теме, но у вас эта штукенция через докер стоит?
Просто ЛОЛ я поставил не через докер, а там веб-интерфейс совсем не такой)))
Похоже в моем случае триггером служит использование shadowsocks. На сервере, никак не связанном с Hetzner.
Что конечно очень странная схема - блокировать левый хостинг. Вместо того, чтобы банально заблокировать само подключение, раз уж они его детектят.
Да, я просто тут compose.yaml взял и с docker compose up -d запустил.
Сегодня ходила к маме и случайно обнаружила, что на её проводном интернете (местный провайдер) недоступны сайты на Hetzner, а из дома (РТК) одновременно те же сайты открывались.
Она иногда пользуется бесплатным VPN из гуглплея, чтобы открыть Нельзяграм. А кроме этого ничего такого, что могло бы спровоцировать блокировку.
Хотя сейчас, несмотря на его неиспользование, произошел кратковременный подблок.
Какая-то чертовщина с этим туда-сюда. Может влияет сразу несколько факторов.
В общем странно, что в докер более “причесанную” версию ложат. Не люблю я этот докер.
Сразу легли keenetic.com ubuntu.ru w3techs.com download.filezilla-project.org pkgstats.archlinux.de regex101.com pkgs.org хотя минут 20 (примерно) было все ок.
Ну тут веровать не надо - блокировки это. Лапшу со стороны РКН игнорировать просто надо.
UPD пинги проходят. В общем картина как у всех.
Проводной ртк в спб, работает
у меня на роутере крутится ipsec antizapret, уже более суток все работает, я перестал запускать amneziawg и vless/nekobox.
Ну, а у меня нет) В общем солянка как и говорилось где-то работает где-то нет.
Еще один намек на то что они нам голову дурят. Прекращение деятельности в РФ Hetzner ха-ха улыбнуло.
Пои чем если это имеет значение на роутере поднят wg до Московского сервака и vless до Нидерландов.
Да не рамдом. Как я переписывался с одним человеком пишет РТК дома не работает сходил на работу уже работает там РТК. Кто-то вообще пишет чуть ли не к соседу сходи там уже будет работать.
Статистика использования тестового port forwarding на сервера хецнера для небольшого игрового сообщества в несколько сотен игроков дала цифру 1.9% 4.3% пользователей с блоками.
Когда баны идут по диапазонам ip DPI разблокировка не поможет
Решил я попробовать как @DoplerEffect рекомендовал на 15 минут wan отключить. И на мое удивление, после того как я оключил его на 17 (в моем случае) минут, все опять заработало сразу же.
Upd:
И либо я каким то образом опять это все стригирил (я пытался), либо оно само пропало снова.
В любом случае, хотя бы можно поиграться, посмотреть как так получается теперь. Только конечно 15 минут без интернета сидеть…
Ну, так-то это испорченный телефон. И его обсуждения. Поэтому изначально и не может не улыбать…
Правда, там ещё вторая часть предложения есть, куда более неулыбательная, которую вы почему-то не процитировали. )))
А если серьёзно и без “хаха”, то тормазу Хетцнеру дали целый год. Перед смертью. Надышаться. А сейчас просто руки до него дошли. Взялись по-взрослому.
Не открыл офис по требованию – нахрен с пляжа. Вот перед нами на столе список-весь-пул твоих айпи, подержи наше пиво…
Попытался проверить получиться ли меньше 15 минут ждать, сначала попробовал 5 минут с выключеным wan - не сработало, 10 минут - тоже самое, опять подождал 17 минут - все вернулось.
Попробую теперь наверно минут 30 никак не тригеррить, что бы понять если оно само “заблокируется”.
Upd(22:32):
Ничего особого не делал, за исключением использования vless (он как я понял тут ни при чем), и как и ожидалось доступ не пропал.
Я думаю я был прав что мне блокируют доступ к Hetzner сразу после того как я пытаюсь подключиться к сети Tor без обходов. Я только что открыл Tor Browser и сначала нажал кнопку “Connect” и подождал секунд 20, а потом сидел целую минуту кликая кнопку “Connect”, потом “Cancel” и так раз 30. Буквально через 10 секунд после того как я закончил, доступ к archlinux пропадает, такое уже второй раз, в этот раз все просто чище в плане эксперимента.
Если кто-то может подтвердить наблюдения независимо, было бы неплохо. У меня теперь понятно как снимать “блокировку” и как ее получать, только не знаю что именно в процесе подключения к тору это все провоцирует. Плюс, это может быть не единственный триггер.
Ну и как я говорил раньше, в Tor Browser у меня не было мостов специально что бы все шло напрямую, естественно подключиться так не получается.
Еще раз смог воспроизвести блокировку, в этот раз я запустил Tor Browser и только один раз нажал на “Connect” и просто ждал пока заблокируется используя команду watch curl --connect-timeout 2 kde.org, блокировка произошла может через секунд 10-20.
Я все это еще записал с помощью Wireshark, надо будет потом посмотреть что там такое есть, что провоцирует блокировку.
Кстати у меня такое же было ради интереса проверил, когда хрен знает по какой причине словил его. UDP и TCP дальше шлюза не улетали. Только если эхо протокол, то да улетали.
немного оффтоп, но я у себя заметил, что ранее тор всегда работал, а сейчас ни один мост не работает, в том числе рабочие антизапретовские.
Problem bootstrapping. Stuck at 50% (loading_descriptors): Loading relay descriptors. (Connection timed out [WSAETIMEDOUT ]; TIMEOUT; count 10
9 connections died in state connect()ing with SSL state (No SSL object)
p,s с трудом подключилось через вебтуннель, все остальное то ли блочится, то ли я сам что-то сломал
p.s.s obfs4 тоже заработал 1 из 10 (а антизапретовские так и нет) , хетцнер сайты открываются после обычного коннекта
Я тоже примерно догадывался что меня блочит из за l2tp/IPsec или же за amneziawg, причем по ощущениям, IPsec у меня подключается сразу с роутером и висит днями и неделями, и вот когда ты подключаешься вместе с интернетом и тоннель работает потом долго, то все нормально, но если его порвет и произойдет рекконнект то сразу идет блок хетзнера. Т.е в первые минуты/секунды подключения интернета тспу как будто тебя не детектит ещё.
Завернул свой IPsec через zerotier, пока вроде хетзнер работает. Нужно дальше наблюдать. Моя теория, что когда детектят какие то ВПН/Тор и прочее запрещённое, к тебе применяют правила “серьезнее” в которых либо по ошибке, либо специально вся сеть хетзнера в блоке.
Интересное наблюдение. Ipsec у вас за границу? и при этом его не блокирует, но за него блокирует хетзнер? Или блокирует хетзнер за туннели внутри страны?
По поводу первых минут-секунд, идея поделать под запись траффика трассировки сразу после поднятия интерфейса и получения адреса. Может даже пробовать определать хоп, который даёт отлуп. Может чего интересного о тспу и маршрутизации узнаем
У самого пока тьфу тьфу таких симптомов нет
Каким образом ТСПУ отслеживает статус подключения? Если на 10 минут просто заблокировать весь исходящий траффик, то блокировка снимается?
в первые минуты/секунды подключения интернета тспу как будто тебя не детектит ещё
Могу подтвердить, что ТСПУ просыпается не сразу. Первые пару запросов запрещённых может пройти, например ECH. Причём, необязательно делать это сразу при поднятии интернета. Если ты не качаешь ничего запрещённого РКН, а качаешь/сёрфишь только разрешённое, т.е. ТСПУ тоже засыпает от скуки и потом не сразу продирает глаза, но вскоре оживляется. Это что касается вообще работы ТСПУ, необязательно применительно к Hetzner. Я уже рассказывал об этом наблюдении выше.
Интересное наблюдение, маленький Питерский провайдер at-home, подсеть hetzner’a недоступна с телефона и linux’a, но всё работало на windows.
Посмотрев в wireshark’e оказалось, что дело в TTL, значения по умолчанию в
- windows
128 - linux/android
64
Выставил на роутере 127 - всё снова работает.
Провёл эксперимент: добавил на 10 минут правила, блокирующие все исходящие подключения в сторону провайдера (таблицы OUTPUT и FORWARD). PPPOE Подключение к провайдеру не разрывал. После этого archlinux.org стал доступен.
Ну, что-то мне не нравится вот это дернул кабель на 15 минут,заблокировал соединения и т.д. Нам\Вам\Всем работать надо, а если дергать, блокировать, то интернета не будет.
В общем я покопался в wireshark и кажется я изолировал один из запросов который блокирует мне Hetzner. Вот он:
Для тех кому плохо видно, это подключение к ip 185.76.9.27 по tls с sni= www.phpmyadmin.net
Перед проверкой доступ к Hetzner у меня работал в норме, далее я открываю firefox ввожу www.phpmyadmin.net в адресную строку, сайт открывается, БАМ!, через секудну доступ к Hetzner пропадает.
Самое интересное, что даже после блокировки Hetzner сайт phpmyadmin работает нормально.
Кто-нибудь знает кстати зачем Tor туда подключается, что это за механизм?
del
Этот адрес не принадлежит домену.
Очевидно маскируется под обычный HTTPS трафик для обхода блокировок. По типу того же Xray/VLESS.
У меня просто заход на сайт не спровоцировал блокировку.
Странно, проверил через несколько ДНСсов. Все ip что выдаются, принадлежат CDN77, и никакого упоминания о hetzner во whois.
Но если смотреть на 2ip, то он выдает адрес 94.130.222.149, который принадлежит hetzner. Этот адрес в вашем дампе не проскакивал?
Разве?
Я имел в виду поконкретнее, Tor Browser это у меня делает, а просто системный tor нет, к тому же браузер это делает только через секунд 20, может быть после неуспешных попыток напрямую?
Вроде похожих нет.
Пойду что ли еще рас попробую с открытием вкадки браузера с phpmyadmin, только вот ждать 15 минут без интернета опять.
Хм, интересная ситуация. Похоже выдача от резолвера зависит.
$ dig +short www.phpmyadmin.net @8.8.8.8
1115546720.rsc.cdn77.org.
212.102.56.179
195.181.170.18
207.211.211.26
195.181.175.40
37.19.194.80
169.150.255.181
169.150.255.184
$ dig +short www.phpmyadmin.net @1.1.1.1
1115546720.rsc.cdn77.org.
185.76.9.27
185.76.9.12
Забавный факт: www.phpmyadmin.net и phpmyadmin.net резовлятся в абсолютно разные адреса.
$ dig +short phpmyadmin.net
94.130.222.149
Все резолверы согласны с этим. И вот при заходе уже на него, у меня интернет теперь отлетел в блок.
То есть вы подтвержаете мои наблюдения? У вас тоже самое поведение?
При заходе именно на phpmyadmin.net (без www), который резолвится на 94.130.222.149, похоже что да.
www.phpmyadmin.net на Datacamp (у него динамичные IP), а phpmyadmin.net на Hetzner (94.130.222.149).
Говорите только Tor браузер туда лезет, не консольный tor сам по себе? Tor браузер сто лет уже не запускал, консольный tor есть (тоже редко запускаю). А блок Hetzner был неоднократно. Значит, есть ещё какой-то триггер.
Может, phpmyadmin.net есть на каких-то сайтах в виде ресурсов?
у меня они попадаются но при второй попытки достучаться становятся доступными.
Спойлер
01.12.2024 18:48:06 : r11.o.lencr.org : profile 4 : client 192.168.1.8:62170 : proto http : retrans threshold reached
01.12.2024 18:48:06 : r11.o.lencr.org : profile 4 : client 192.168.1.8:62170 : proto http : fail counter 1/3
01.12.2024 18:48:06 : o.pki.goog : profile 4 : client 192.168.1.8:62172 : proto http : retrans threshold reached
01.12.2024 18:48:06 : o.pki.goog : profile 4 : client 192.168.1.8:62172 : proto http : fail counter 1/3
01.12.2024 18:48:06 : ocsp.digicert.com : profile 4 : client 192.168.1.8:62173 : proto http : retrans threshold reached
01.12.2024 18:48:06 : ocsp.digicert.com : profile 4 : client 192.168.1.8:62173 : proto http : fail counter 1/3
зашел по ссылке → мгновенный блок , тоже самое
Вот только при чем тут hetzner когда это cdn77? Где связь?
кто бы знал еще, самое забавное , что да, сам phpmyadmin прекрасно работает. Но у меня похоже триггерило что-то другое, может еще какие то такие же сайты есть.
Я проверил с друзьями , у которых все прекрасно открывалось всегда и все сайты хетзнера работали, они зашли на phpmyadmin и бах, у них ничего не открывается теперь ))
Домашний Билайн, смена TTL тоже помогла. Работает.
У меня никакого Tor нет, однако все равно тормозят и Hetzner, и PQ hosting. Так и не понимаю, почему периодически оба впн летают, а иногда нет. Что-то триггерит ТСПУ…
wireguard based vpn юзаете?
Нет, только xray с реалити
Плюсую тоже самое это без фиксации TTL Недоступность Hetzner - #432 by RFlipper из этого поста
С ним типа не срабатывает блокировка ТСПУ несколько раз тыкал ничего не было.
Вот теперь интересно проверить фиксация снимает блок этот или нет.
Ответ: нет
Замутил “форк” reflector для обхода выкидонов ТСПУ и РКН. Ставить можно вместе с оригиналом.
Сделал не особо аккуратно, но работает.
Печалька у Arch вся инфра на Hetzner лежит. С AUR также просто не выйдет сделать.
Тестировал свои vpn подключения, l2tp/ipsec - подключал и так и сяк, и через zerotier и напрямую, разрывал соединял опять, заходил на сайты, блока нет. AmneziaWG тоже самое, warp через него же тоже нормально все. Vless+Reality все отлично. Видимо есть какой то еще сайт, на который я изредка захожу и который вешает мне hetzner так же как www.phpmyadmin.net. Как бы отловить его еще
Может к домашнему вайфаю подключались какие-то юзеры, которые любят бесплатными впн баловаться на телефонах? Я у себя тут небольшое расследование провел, отловил по логам, что когда у меня впервые хецнер отвалился, у меня на гостевом вайфае был человек, который включил openvpn. Сейчас изучаю, какие протоколы вызывают сработку фильтра.
не, такого не было, похоже что это не впн. Во всяком случае, не те что я использую.
я посмотрел в логах днс, были разные обращения к cdn77 от разных сайтов, но блока не было, в блок уходило только от 1115546720.rsc.cdn77.org, причем если смотреть по 2ip
то на нескольких адресах висит блок ркна, но на страницу.
я попробовал добавить *.cdn77.org и phpmyadmin.net в zapret на роутере, потыкал на phpmyadmin.net, и блока на hetzner пока не прилетело, во всяком случае не сразу в первые секунды, проверю через часок еще.
UPD. Спустя 2 часа заход на phpmyadmin.net не убивает мне hetzner, добавление cdn77.org в zapret на роутере помогло мне. Буду дальше наблюдать
Подтверждаю ваши наблюдения.
я сегодня тех поддержке сломал хетзер через phpmyadmin, они удивились, передали в работу. У меня даже на мобильном интернете такое же поведение. Ответили только, что проблема оказалась массовой, не один я жаловался
Всем привет, позвольте вставить свои 5 копеек.
Я админ довольно крупного русскоязычного сайта, у нас около 20 серверов в hetzner с которых отдаётся контент. Написать этот пост побудило меня то, что я периодически сюда захожу и мониторю ситуацию; то что нас эти чудеса задели напрямую; а также какое-то сообщение выше с теорией о том, что ситуация вызвана тем что хоститься надо “тут” а не “там”. (А ещё тем, что меня бесит, что в последние пару недель без VPN у меня не работает половина интернета: просто совершенно случайные сайты из гугла не открываются.)
На протяжении октября (чем ближе к ноябрю тем чаще) нам в поддержку поступали жалобы от людей на то, что у них что-то не работает. Суть сводилась к тому, что не грузятся файлы: случайные файлы, со случайных серверов у случайных людей. При этом ни разу не было жалоб на то, что не открывается сам сайт, т.е. не работали именно файловые поддомены (у нас сайт, условно, site.com, и поддомены с файлами, условно, files1.site.com, files2.site.com и тд). Между людьми не было ничего общего, всё было разное - устройства, провайдеры, город, возраст, время дня и тд.
У меня и коллег всё работало и с домашнего интернета и с мобильного, я не мог воспроизвести проблему, по статистике и трафику никакого проседания не было, казалось что это буквально единичные случаи.
Я долго не понимал, что происходит, как раз до момента, когда на следующий день после бана ECH количество жалоб кратно возросло. Кажется это было плюс-минус когда стартовал этот топик, 7 ноября или около того.
Тут стоит сделать отступление и сказать, что я не зря уточнил, что никогда не было жалоб на доступ к самому сайту. Дело в том, что ещё когда-то очень давно, когда нас ддосили, я подключил сайт к конторе ddos-guard, думаю здесь никому не надо объяснять что это. Т.е. доступ к сайту шёл через их фильтрующую сеть, и всё работало прекрасно, а вот доступ напрямую в Hetzner, к серверам с файлами, отваливался.
Ну так вот, в тот прекрасный день, когда недоступность приобрела более-менее массовый характер, я вдруг увидел наконец эту связь, и поскольку нужно было срочно что-то предпринимать, я недолго думая решил завернуть в ddos-guard вообще всё. А для этого нужно купить у них тариф который в 4 раза дороже, иначе там нельзя привязать произвольное количество поддоменов. Однако это виделось (и видится до сих пор, в общем-то) меньшим из зол, потерять пользователей куда хуже.
Буквально через пару минут после обновления DNS зоны почти все наши сервера с гигабитным каналом в hetzner легли от, по сути, ддоса (что особо иронично, принимая во внимание название вышеупомянутого сервиса): настолько хороший был канал от пользователей до сети ддос-гард и от ддос-гарда до Европы (и настолько, надо понимать, отвратительный канал в hetzner напрямую). Короче говоря, скорость загрузки выросла во много раз, и наши диски легли под дичайшей нагрузкой. К счастью у этих ребят кеширующий CDN, поэтому прогрузив особо горячий контент они стали отдавать его из кеша, и серверы через пару часов начали приходить в себя (хотя, на самом деле, проблемы были ещё несколько дней, но это уже оффтопик).
Зато, о чудо – ни одной жалобы больше! Ни-од-ной! У всех всё работает! Просто заплати лишние 80 тысяч этой конторе.
К такой же мере был вынуджен прибегнуть как минимум ещё один сайтик, наш конкурент, видимо по тем же причинам. Я видел у него в соцсетях в комментах такие же жалобы про “не грузится”, а потом, по историческим данным dns (на securitytrails) обнаружил, что они тоже стали проксировать всё через ддос-гард.
Собственно, на этом всё. Не то чтобы я продвигаю тут какую-то конспирологию, но мне кажется есть над чем подумать.
С этим справиться любой CDN, а не только ddos guard, о чем, собственно, и сказано в начале темы
Плюс один ко всем вам. OVH частично попал как минимум.
Работает обычно по утрам до 12ч-13ч где-то, потом все.
ICMP доступно, остальное по нулям, что выше идет.
Вот так пакетики выглядит, как и описывали выше, TCP ретрансмишн и усе.
Я так понимаю под закон подтягивают. Все хостеры же обязаны будут РКН подчиниться и через ТСПУ идти. Но это ВСЕ местные. А зарубежных мы просто по 8, 24 маске побаним, можно в принципе и по 0 сразу, че уж там. Мдаааааааааааааааааааа.
Предлагаю следующий этап погружения - VPN over ICMP. =) Ток тулзы нужны, есть softether, но он оч кривокосой на самом деле.
Про TTL писали выше, посмотрим, интересная штука, только логика абсолютно не понятна, причем тут казалось бы он.
Если бы их просто забанили, то вопросов бы не возникло. Умерла так умерла. Но тут какая-то клоунада с персональными блокировками, которые непонятно по какому принципу работают. Порой при обращении к ресурсам, которые вообще не связаны с указанными хостингами.
Бредятина по-моему какая-то. Чем провинились посетители сайта www.phpmyadmin.net?
Эти домены прописаны в дефолтных настройках моста snowflake.
Спасибо, интересное наблюдение, но что-то по той же логике Amazon под нож не пошел.
А там есть домен на Amazon.
Баньте домены (по SNI) нахрена весь Hetzner трогать-то? Дофига проблем из-за этого.
Да, притом, что это первое соедениение можно пустить через прокси, а дальше snowflake продолжит работать напрямую без активизации блокировки.
Я как понимаю в Tor Browser запрос мостов тоже этот Domain Front использует, это не только snowflake
Это логика “один раз попался - теперь уже ничего не докажешь”.
РКН не рассматривает Хетцнер как хостера сайтов, он рассматривает его как провайдера ВПН’ов.
А по мелочам не разбирается.
Он будет работать даже если все сдны перебанить. Сам коннект использует очень хорошую технологию о которой может слышали, называется peer-to-peer, и сами прокси через которые бандвид идет, временные и никогда не засиживаются. И сам hetzner даже не связан с брокером
Подтверждаю.
На одном из своих провайдеров (провод) легко и непринужденно после перехода по ссылке https://phpmyadmin.net словил мгновенный блок на https://kde.org и https://archlinux.org.
Неприятно удивился если честно.
Блок снимается перезагрузкой роутера и, как следствие, сменой динамичного ip (белого естественно). Без перезагрузки - где-то через час, видимо, автоматически .
На другом провайдере (домру - провод) блок не триггерится подобным образом.
Билайн (мобильный) блок не триггерится.
Теле2 (мобильный) словил блок.
Похоже нашел еще один “вредный” домен, который провоцирует блокировку: adtidy.org, а точнее его поддомены (filters.adtidy.org и static.adtidy.org в моем случае).
Адреса принадлежат AdGuard, оттуда тянутся ресурсы типа фильтров для блокировки рекламы.
И видимо причиной тому
$ dig +short filters.adtidy.org
1278313086.rsc.cdn77.org.
37.19.203.48
Опять cdn77 всплывает.
Я сейчас решил проверить, и да, static.adtidy.org привел к блокировке, другие вроде нет, либо я мало подождал между ними.
Подтверждаю наблюдение про phpmyadmin.net.
Дом.ру, Тверь
Абонент максимально “гуманитарий”, обходом блокировок не занимается, доступ к Hetzner у него есть, я проверял на протяжении недели каждый день.
Сейчас подключился к его сети и зашёл на phpmyadmin.net. Выждал 10 секунд. Доступ к Hetzner пропал.
я думаю логика динамических фильтров ТСПУ такая, что подозрительный домен уводит в бан всю автономную систему. То есть пхпмуадмин - хостится на хецнере, уводит его в бан, фильтры адгуарда на сдн77 - тоже уводят его в бан. а если кто-то пропишет во фронтинг тора гугл…в рамках борьбы с тором ТСПУ положит и весь гугл.
у меня сейчас весь хецнер лежит, вообще ничего не открывается с него
этот хетзнер открывается только с обходом или с 3мя заветными настройками браузера(сами знаете с какими) смена ip не помогает или они по мак адресу блочат, видимо его навсегда у нас блокнули(ртк провод ср поволжье)
Опять я каким-то образом на свой ип словил блок, как же это достало =\ Т.е. опять все, ICMP only ходит.
Конечно я нашел как это обойти именно для себя, но не уверен, что эт надолго.
Статистика выросла до 6.4% пользователей с блокировками. Пользователи тором не пользуются.
это не страшно обходится развертыванием этого DNS-сервера на VPS пользуешься любыми фильтрами блок не ловишь.
Нужно проверить, уводит ли обращение к cdn77 в бан хетцнер. Если да, то ваша теория не верна (и при любом домене в бан отлетает несчастный хетцнер). А если нет (т.е. обращение к домену приводит к бану соответствующего хостера), тогда открывается очень интересная перспектива - уговорить Tor Project добавить туда, скажем, домен Яндекса и наслаждаться (либо жабогадюкингом между Яндексом и Роскомнадзором, либо работающим Snowflake, если Роскомнадзор забоится).
для яндекса подойдет yastatic.net и yandex.net )
Купил бы попкорн для такого.
Нет, не уводит. Обращение чисто по IP или открытие странички через алиас 1625341327.rsc.cdn77.org не провоцируют блокировку. То есть здесь однозначно играет роль именно домен.
И собственно на моем провайдере правильно настроенный анти-dpi с распилом домена на куски в разные пакеты предотвращает блокировку.
Из интересного, на прошлой неделе были проблемы с доступностью к хецнеру из сети одного краснодарского домашнего оператора.
Делаешь рестарт подключения в роутере, пару минут работает, подключаешься к серверу, любому в хецнере, например через wireguard, проходит снова пара минут и доступ пропадает ко всем тачкам в сети хецнера, вообще. Даже ssh не проходит.
И ощущение что триггер в моем случае это не подключение через wg и любой коннект к серверам приводил к блоку всей AS (4 тачки в разных подсетях хецнера, но одной локации)
Снова рестарт подключения, и такая же хрень. И такое только на нем (аванта телеком), у Ростелекома или мобильных все ок, такого не наблюдалось.
Делаешь рестарт подключения в роутере, пару минут работает
Советуют ждать 15 минут. Даже 10 не поможет.
а обращение к 1115546720.rsc.cdn77.org уводит в блокировку?
У меня через этот домен и в браузере и в curl открывается phpmyadmin без последующей блокировки Hetzner.
c hetzner таких проблем нет, но есть сайт на akamai
который заблокирован по sni, но если на него зайти без запрета или с запретом то сначала открывается, но через минуту появляется полный блок до него и пропадает через 15 минут примерно
сорри если офтоп
Нет. Но в браузере проверять нужно осторожно, на странице остаются некоторые ссылки на оригинальный домен. Какой-то ресурс может случайно подтянуться оттуда. Лучший вариант конечно просто curl-ом дергать.
Судя по теме с 15 минутами, используется тот же механизм блокировки.
Это просто невыносимо. Второй день что-то мутят непонятное, все сайты на Hetzner отвалились.
У меня тоже ничего из этого не открывается. и уже давно
win-rar.com тоже не откр. он кстати не на этом же хостинге?
2ip внезапно работает. ASN: [44546] [3216] вышестоящий Билайн видимо
Кто-то пробовал жаловаться провайдеру? Какое у них оправдание?
А никакого. создают заявку. появится инфа - перезвоним. месяц тишины и тикет списывается в утиль.
3накомый их доколебал. сказали- хотите идите в другой провайдер, но там не лучше.
Постоянно крч стало блочить к ovh, даже не пойму, что триггерит.
Будут идеи, что смотреть? Почти по 8-10 часов в блоке ип тупо и все, идут ток icmp.
Фигня конечно.
Пров видит, что не идет, но заявки закрывает и говорит обсуждать с хостером.
Хостер конечно же говорит у него все ок.
Вы не тем жалуетесь.
создают заявку. появится инфа - перезвоним. месяц тишины и тикет списывается в утиль.
3накомый их доколебал. сказали - хотите идите в другой провайдер, но там не лучше.
Что можно сделать им из вредности. Загрузить полосу на 100% 24/7 на зарубежку, в /dev/null.
Опять поговорили 9 минут в Linphone (без шифрования) через Proton VPN (я) - 176.31.149.179 (OVH) - Ростелеком и Ростелеком меня перестал слышать (я слышу). Пришлось перезвонить. Т.е. входящие от OVH на Ростелекоме отрубились (но не исходящие!). Я говорю Роскомнадзор нас разъединил. Уже и телефония страдает от этих блокировок. До проблем с Hetzner такого не было.
Битрейт opus 64+64 или 64+32, если дело в трафике. Т.е. около 10 мб должно было передаться.
Не обязательно, может сбойное оборудование например.
Не, слышимость вообще пропала в одну сторону. А до заварухи с Hetzner такого не было.
К 3% opus должен быть устойчив.
Может, тут ещё и блок webrtc.
Когда-то давно на ICQ (с нешифрованным webrtc) связь разрывалась, если горячие темы затронуть, вроде. Сейчас попробовал для интереса шифрование тоже отключить и вот 9 минут продержалось. А с шифрованием вроде больше.
Я правильно понял, что речь о VoIP сервисе? Отчётливо помню, что наезд на всё что с этим связано был еще летом, например. (Имхо лучше отдельные темы заводить для такого или в какую-то более релевантную, все же с Hetzner связь сомнительная.)
Интернет телефония, да. Связь с Hetzner отчётлива, т.к. раньше сбоев не было.
Но да, это немного другое. Блок не полный, только входящие пакеты рубятся.
очень может быть связано кстати. вся заваруха с хетзнер разве не началась от курлирования фронта тора? webrtc тут тоже при делах в таком случае. видно у ркн реально подгорело со сноуфлейка
Похоже на жесткую фильтрацию трафика в сторону некоторых провайдеров (Hetzner, OVH, Scaleway ?). Я в соседней теме уже упоминала про блокировку SSH-соединений при авторизации по ключу. А на днях обнаружила еще одну блокировку - не работает iperf3. Это просто измеритель скорости интернета, если что. Так вот, если сервер в OVH - происходит подключение к серверу и на этом все зависает. Данные не передаются. Через VPN, разумеется, все работает,
У меня есть подозрение на неправильно настроенный MTU сетевого интерфейса, ключи и iperf3 посылают длинный пакет который дропается. Мне иногда приходится двоичным поиском подбирать рабочее значение MTU, когда на дефолтных такое явление внезапно происходит (был случай когда дроп больших пакетов происходил редко, соединение статтерилось, уменьшил MTU и заработало нормально). А VPN MTU подрезает и соединение работает.
UPD:
Система строит PMTU на основе ответов ICMP Frag needed (в виндовсе можно посмотреть кэш командой netsh interface ipv4 show destinationcache), но когда эти пакеты обрезаются, то PMTUD ломается, а работать со статистикой дропов разных длин пакетов ОС пока не умеют и приходится чинить вручную.
Да можно, конечно. но с другой стороны всем логически понятно, что районному мелкому провайдеру в здравом уме нет смысла блокировать доступ к арчлинуксу\кде\винрару итд.
Хотя, сегодняшний их звонок меня просто добил. говорят “передали, что с нашей сторы блоков нет, а вас наверное по мак-адресу там везде забанили for some reasons”
Даже сразу и не сообразишь что на подобную тупость отвечать
передали, что с нашей сторы блоков нет, а вас наверное по мак-адресу там везде забанили for some reasons
Спросил у ChatGPT могут ли сайты видеть MAC адрес. Вроде бы нет. А вот провайдер мог передать эту информацию ТСПУ и ТСПУ забанил. Может быть ответ техподдержки это завуалированный coming out?
Про MAC:
Могут ли сайты видеть MAC адрес сетевой карты или его видит только ISP (провайдер интернета)?
ChatGPT said:
Сайты не могут видеть ваш MAC-адрес, поскольку он используется только на канальном уровне (Layer 2 модели OSI) для связи внутри локальной сети. Когда ваши данные покидают локальную сеть и идут в интернет, ваш MAC-адрес не передается. Вместо этого данные инкапсулируются в IP-пакеты, которые содержат ваш внешний IP-адрес.
Кто может видеть ваш MAC-адрес:
- Ваш компьютер и устройства в локальной сети: Например, ваш роутер, коммутатор или другие устройства в той же сети могут видеть MAC-адрес вашей сетевой карты.
- Ваш интернет-провайдер (ISP): MAC-адрес устройства, подключенного к их оборудованию (например, модему или роутеру), может быть доступен провайдеру. Это часто используется для идентификации устройств.
Кто не может видеть ваш MAC-адрес:
- Сайты и онлайн-сервисы: Они получают только ваш внешний IP-адрес (или IP-адрес VPN, если вы его используете). MAC-адрес остается скрытым, так как он не выходит за пределы вашей локальной сети.
Исключения:
- Если вы используете WebRTC (например, для видеозвонков), некоторые настройки или уязвимости могут позволить утечку информации о локальной сети, но даже в этом случае утечка MAC-адреса крайне маловероятна.
- Вредоносное ПО или специфическое программное обеспечение может получить ваш MAC-адрес локально и передать его третьим лицам, но это уже вопрос безопасности вашего устройства.
Через устаревший EUI-64 механизм формирования адреса IPv6 в SLAAC можно увидеть, но современные реализации уже лет как десять должны поддерживать секурный вариант.
На мобильном билайне в Ростовской области вернулся доступ к Hetzner, отсутствовал с 18 ноября.
Да, похоже этот динамический блок сняли, сейчас у меня вход на phpmyadmin и включение различных детектируемых протоколов VPN (тестирую wireguard, openvpn и IPsec) больше не приводит к отвалу Хецнера.
Видимо не у меня, больше недели блокировки Hetzner не было, решил проверить зайдя на phpmyadmin и она вернулась.
Немного поофтоплю ещё про webrtc, раз мы здесь эту тему обсуждали. В этот раз оба контакта использовали VPN:
Proton AWG на линуксе - Linphone звонилка (OVH UDP) - WARP AWG на планшете
и связь всё равно через 4 минуты пропала. В этот раз слышимости не стало в обе стороны. Хотя, звонок держался.
Значит, если предположить, что WARP (в виде AmneziaWG) проксирует и UDP, а я думаю проксирует, то дело не в РКН, а в Linphone.
Правда, странно, что раньше проблем не было.
Единственное, что WARP выходит в Санкт-Петербурге, в рунет вроде как, хоть и в довольно чистый. Разве что webrtc рубят даже на серверном интернете / пограничных каналах. Но это уж слишком притянуто за уши. Странно, в общем.
Две теории:
- Проблема в Linphone
- Всё-таки что-то в RU или посередине
А может быть банально энергосбережение на планшете какое-нибудь, а я голову ломаю. Или это вторая проблема, до кучи. Ведь может быть несколько проблем. Но когда я раньше слышал человека на планшете, а он меня нет, это же не могло быть из-за энергосбережения.
Приветствую, сегодня на провайдере Уфанет в Республике Башкортостан перестало подключаться к Hetzner’у. Через мобильный МТС всё работает, как и через VPN.
Сегодня наткнулся на эту тему. У меня подобный бан на Хецнер наблюдается с 12 декабря на провайдере Дом ру. Уже изучил вопрос, симптомы такие, относятся ко всем серверам Хецнера:
- Пингуется нормально
traceroute --icmp hetzner.deтрассирует через ping-запросы корректноtraceroute hetzner.deпоказывает только первый хоп до роутера и далее * * *wget hetzner.deзависает на этапеConnecting to hetzner.de (hetzner.de)|213.133.116.44|:80...- Недоступны никакие порты, включая 22, 80 443, естественно в бразузере не открывается hetzner.de (и все прочие сайты на хецнере).
Теперь имеем второй договор того же Дом ру в том же городе. Там всё работает, включая traceroute через UDP, где второй хоп тоже выдаёт * * * но далее все ок. Естественно всё открывается и работает.
И всё указывает на неправильно сконфигурированный провайдерский свитч, который виден в трассировке по ICMP на втором прыжке.
Казалось бы, виновник найден, нужно довести данную информацию до дом ру и они починят, думал я.
Как же я ошибался. Более конченной технической поддержки мне встречать не приходилось. После долгих кругов по их дебильному чату с вопросами типа пробовал ли я выключить и включить роутер мне даже удалось в какой-то момент дойти до специалиста, который дал ссылку на страницу проверки коннекта, которая естественно ничего не показала, даже подключал компьютер нарпямую к кабелю без роутера, с тем же результатам.
Не уверен, что железобетонные аргументы с traceroute его в чём-то убедили, но в итоге он уверил, что назначат мастера и он позвонит. Через несколько дней мастер так и не нарисовался, но в чате уже значилась, что по адресу будет проводиться удалённая диагностика без визита.
Все просьбы просто выслать техника всячески пресекались, с совершенно замечательным аргументом: что на своей стороне они проблем не видят, что мне нужно по этому поводу общаться с (!) Хецнером, и что визит мастера ничего не изменит (!!!). Впрочем с последним спорить наверное не стоит - действительно может ничего не изменить.
Когда я сказал, что сам как-нибудь решу, изменит что-то визит или не изменит, что мне просто нужно назначить визит иначе я всерьёз задумываюсь поменять провайдера, на это был дан замечательный клиентоориентированный ответ:
Благодарю за ожидание,уточнила информацию, к сожалению, визит техника не исправит ситуацию, так как с нашей стороны ограничения по предоставлению доступа к сайтам нет.
Для дальнейшей консультации по вопросу расторжения договора, я переведу чат на старшего специалиста. Не закрывайте, пожалуйста, чат
Т.е. настолько отбитых скриптов общения нужно подыскать, типа “ну и валите пожалуйста, сейчас переведу на специалиста по этому вопросу”.
Ну тогда, пологаю, меня бы на тспу по маку для всего блэклиста ркн забанили бы… твиттер итд это всё
Кстати в субботу вечером всё открывалось часа два. (после решения посмотреть жив ли тор с его мостами у меня на провайдере)
На утро и до сих пор уже ничего не открывается. и тор никак не влияет. не знаю что там триггерит блок\анблок
Да с провайдером такая же ситуация + общаться приходится не с техником\админом, а оператором, который вообще не в курсе что такое курл, трейсроут, арчлинукс кде… итд
на своей стороне они проблем не видят, что мне нужно по этому поводу общаться с (!) Хецнером, и что визит мастера ничего не изменит
но я бы даже такой ответ принял, что “с нашей стороны блока нет, это наверное \выщестоящий провайдер\ркн\хостинг провайдер\ спортлото\байден\ пишите туда”
А не ерунду по поводу мак-адреса. Я ж понимаю что им самим нет смысла это всё блочить.
может даже ось быть. у меня заход на гитхаб автоматом блочился недавно из-за винды и браузера по непонятным причинам. сам браузер и агент одинаково спуфится как виндоуский и на линуксе, однако блок только прилетал с самой винды. как понять чем блок триггенрится я хз
TLS Fingerprint? Были случаи, когда по нему соединение рвали.
И как такой глюк можно объяснить? Это они выборочно делают блокировку?
Так тему почитайте. Да, это индивидуальные блокировки. Триггером является заход на некоторые домены.
в моем случае на github.com с винды? ни с курла ни с линукса так не было. мне аж пришлось установить git на винде из-за этого чтобы миновать
GitHub не на Hetzner, обсуждаемая здесь блокировка его не затрагивает. То есть ваша проблема никак не связана с данной темой.
Открывал у себя: www.phpmyadmin.net потом filters.adtidy.org и static.adtidy.org ждал пару минут потом открывал сайты на хетзере, вроде блокировки нет и все норм. Возможно это из-за того что у меня все запросы к DNS идут через DoH и провайдер не видит домены.
: www.phpmyadmin.net потом filters.adtidy.org и static.adtidy.org
Ни разу в жизни на эти домены не заходил, а всё равно
- connect to 95.217.163.246 port 443 from 0.0.0.0 port 11085 failed: Timed out
- Failed to connect to archlinux.org port 443 after 21172 ms: Could not connect to server
PS. час назад оператор передал классический ответ админа умвр (у меня всё работает)
Передал ещё попробуйте наши локальные dns’ы по dhcp которые, а не гугловские. говорю - прописал ваши не открывает всё равно. спасибо мы перезвоним.
Людям в теме (и мне в том числе) для снятия блокировки помогало отключение интернета на 15 минут. То есть отключить роутер или дернуть интернет-кабель из него.
И да, именно количество времени здесь играет роль. Нужно минимум 15 минут ждать, иначе не сработает, таймер сбросится и придется ждать заново.
Похоже на TLS отпечаток. А curl бывает разный. Попробуйте тот, который использует TLS стек винды (schannel).
Да было бы так просто( я то за натом со стат.айпи везде. и хоть час жди не помогает
Если этот админ со мной в одной подсети, как они говорят, то почему у них всё работает. или врут хз. надо ему как-то всунуть этот phpmyadmin. Больше у меня идей нет. Очень странный глюк ркновских коробок
Проблема не связана с изменением IP. На статическом адресе проверяли - работает.
А вы попробуйте.
Кстати насчет этого. Заход на домен это не обязательно явное открытые страницы в браузере. Мне например малину портил AdGuard, в фоне проверявший обновления со static.adtidy.org.
То есть “я не заходил” не показатель, нужно мониторить всю сетевую активность.
@basososas Вот вчера даже на ночь всё выключал. адгвард тоже не юзал. юблок-ориджин лучше. какой то ещё триггер есть наверняка, надо снифать, но для начала надо чтоб оно заработало.
Ну хоть админ оказался нормальный человек в итоге час общались заходил через ремоут десктоп, а-уел от ситуации, делал запрос выщестоящему прову, предложил бесплатный прямой ип на неделю. в итоге сам пришёл к выводу что это чёртова гос-коробка с каким-то хитрым фингерпринтом и нужен впн.
Кстати у него триггер на адгвард и phpmyadmin не сработал. и у тёти-оператора тоже.
Иногда заходил в эту ветку и не верилось, что может блокать доступ к hetzner просто зайдя на сайт.
Но у меня иначе произошло.
- Взял влесс конфиг из рандомного бота в тг
- Скачал на мак GitHub - KaringX/karing: Simple & Powerful proxy utility, Support routing rules for clash/sing-box
- Импортировал конфиг, запустил впн
В этот момент у меня был запущен свой прокси клиент и я увидел, как пинг начал падать 5…1…0. Потестировал как работает Каринг, выключил его и понял, что доступ к моим хезнер серверам пропал, не коннектит по SSH, не заходит на phpmyadmin.net и т.п.
Это временный бан? У кого через сколько отпускало?
Тот кто сталкивался с баном хезнера по триггерам, напишите в лс, если она тут есть, дам бот этот, протестируйте эту же связку на предмет бана хезнера)
Вангую, что эти тг боты могут мониторить цензоры и триггернул коннект к серверу влесса, SNI или вебпанель каринга https://yacd.haishan.me:
vless://UUID@nl.node.aibotfox.com:443?security=reality&type=tcp&headerType=&flow=xtls-rprx-vision&path=&host=&sni=colorlib.com&fp=chrome&pbk=*****&sid=****
В такое совпадение я не верю, что прям в точности до миллисекунды при вкл кнопки Каринга, мой провайдер обрубил мне хезнер сервера.
П.с. пишу с утюга сейчас.
P.S. минут 15 сидел через расшаренный моб инет, вернулся на вафлю, доступ к хезнер появился, щас еще раз повторю связку для теста.
karing активировал tun адаптер который перехватывает все icmp запросы и возвращает фейковый ответ (для совместимости с играми и прогами которым нужны icmp ответы)
Спойлер
Кстати спасибо. Давно было интересно, почему в tun режиме пингуется tun адаптер, но только я не совсем понимаю: а зачем? Если не возвращать фейковый ответ, то что произойдет? icmp ответ не вернется с сервера? А почему?
Vless/ss и большинство других проксей поддерживают только tcp и udp, icmp не поддерживают.
Если не возвращать ответ то некоторые игры или проги могут не соединяться с сервером из-за провала пинга.
Пздц и правда после перехода на https://www.phpmyadmin.net через 5 секунд отрубается доступ к хезнер серверу, при этом сайт этот остается доступен.
Переключаюсь на моб инет, возвращаюсь через мин 10 на домашний инет и доступ есть.
Забавно конечно, что за триггер такой странный.
What will happen after visiting other websites that use CDN77? For example:
www.sport1.de
cdn.userway.org
pull-flv-f77-va01.fcdn.eu.tiktokcdn.com
tags.creativecdn.com
cdn.consentmanager.net
а есть ли какой то список подсетей hetzner чтобы на роутер поставить и забыть?
Люди из TOR Project почему-то рекомендуют не размещать на хостинге Hetzner
сайты для WebTunnel мостов.
А какие варианты есть эту проблему пофиксить, только впн? Как я понимаю запрет тут не поможет так как заблокированы ip hetzner
мне кажется, если дурить через запрет то, что триггерит эту блокировку - то ее не будет.
но тут никто такое не тестил
Я тему прочитал, Я на эти сайты даже не заходил что могли вызвать блокировку она просто сама по себе появилась недавно
можно попробовать дурить весь пул айпи адресов hetzner
чисто для тестирования. чтобы посмотреть будет ли повторяться блокировка после снятия бана
у меня такого не было, это просто мысли вслух
Благодарю за наводку. Тоже обратил внимание на то что в шайтан системе всё открывается, а в линуксе нет. Изменил ttl на 128 и всё заработало.
Такой вариант тоже сработал:
net.ipv4.tcp_timestamps = 0
Взял из конфига ximper linux’а:
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_timestamps = 0
Тут несколько параметров и хз нужны ли все. Заработало с последним.
Думаю, цензор обращал внимание скорее на android, чем на линукс. А указание 128 в линуксе не ухудшит ли что-то другое?
Не знаю. Поставил значение как в винде, пока всё ок. В виртуальной машине на 67 завелось.
Зависит от того, где дурить и кто её триггерит. Условно говоря, если zapret на одном устройстве, а находящийся в этой же локалке другой клиент вызвал срабатывание блокировки, то ой.
Судя по всему это блокировка не провайдера, а со стороны hetzner.
У меня есть несколько договоров МТС/МГТС - два в соседних домах буквально, 3-й в другом городе 40-50км. Блокировку я ловлю судя по всему, если случайно под VPN (который в HZ) начинаю качать торренты. Причем, в последний раз я качал образы убунты. Все равно блок поймал.
При пойманой блокировки zapret не находит ни одной стратегии для хостов (я проверяю хосты по работе, их нет в РКН списках - это служебные вещи). При этом успешно находит стратегии для инсты, рутрекера и прочего.
В этот же момент, в соседнем доме все hetzner хосты работает без проблем, как и в другом городе.
Сбросить бан hetzner (как я думаю, это именно он) - помогает отключение роутера или выключение WAN коннекта на не менее 15 минут (в моем случае это всегда в интервале 15-20 минут).
Не любят в hetnzer торренты. =/
посты выше не читали совсем? сделайте tcp трассировку
nmap -Pn --traceroute -p 443 7-zip.org
От чего же, прочитал много постов. Ради вас только что опять в блок попал и сделал несколько traceroute , отсидел 20 минут в бане и вернулся поделиться.
Результат traceroute
❯ sudo nmap -Pn --traceroute -p 443 meduza.io
Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-14 00:48 MSK
Nmap scan report for meduza.io (188.114.99.224)
Host is up (0.025s latency).
Other addresses for meduza.io (not scanned): 188.114.98.224
PORT STATE SERVICE
443/tcp open https
TRACEROUTE (using port 443/tcp)
HOP RTT ADDRESS
1 1.65 ms 192.168.1.1
2 3.74 ms XXXX
3 5.20 ms 10.109.11.125
4 12.68 ms 10.109.11.126
5 3.34 ms mag9-cr03-be12.51.msk.mts-internet.net (212.188.1.5)
6 3.34 ms a197-cr11-be5.msk.mts-internet.net (212.188.28.148)
7 ... 8
9 2.80 ms a197-cr03-ae0.16.msk.mts-internet.net (212.188.55.2)
10 2.98 ms a197-cr03-ae0.16.msk.mts-internet.net (212.188.55.2)
11 3.09 ms 195.34.49.174
12 4.15 ms a197-cr08-eth-trunk21.msk.mts-internet.net (212.188.42.120)
13 4.15 ms a197-cr08-eth-trunk21.msk.mts-internet.net (212.188.42.120)
14 116.22 ms 185.140.148.153
15 171.18 ms 185.140.148.155
16 23.53 ms 172.68.8.53
17 47.59 ms 188.114.99.224
Nmap done: 1 IP address (1 host up) scanned in 3.36 seconds
❯ sudo nmap -Pn --traceroute -p 443 rutor.info
Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-14 00:51 MSK
Nmap scan report for rutor.info (193.46.255.29)
Host is up (0.046s latency).
rDNS record for 193.46.255.29: hostingmailto176.statics.servermail.org
PORT STATE SERVICE
443/tcp open https
TRACEROUTE (using port 443/tcp)
HOP RTT ADDRESS
1 1.61 ms 192.168.1.1
2 3.34 ms XXXX
3 10.76 ms 10.109.11.125
4 ...
5 3.78 ms mag9-cr03-be12.51.msk.mts-internet.net (212.188.1.5)
6 3.37 ms mag9-cr02-be13.77.msk.mts-internet.net (195.34.53.206)
7 8.09 ms a197-cr01-ae7.0.msk.mts-internet.net (212.188.28.151)
8 3.65 ms a197-cr02-be2.msk.mts-internet.net (212.188.42.121)
9 3.81 ms a197-cr02-be2.msk.mts-internet.net (212.188.42.121)
10 2.72 ms 195.34.49.178
11 ... 12
13 36.87 ms ae3-4.rt.dpx.bud.hu.retn.net (87.245.233.225)
14 36.87 ms ae3-4.rt.dpx.bud.hu.retn.net (87.245.233.225)
15 46.48 ms hostingmailto176.statics.servermail.org (193.46.255.29)
Nmap done: 1 IP address (1 host up) scanned in 3.42 seconds
❯ sudo nmap -Pn --traceroute -p 443 hetzner.de
Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-14 00:53 MSK
Nmap scan report for hetzner.de (213.133.116.44)
Host is up (0.041s latency).
rDNS record for 213.133.116.44: static.213-133-116-44.clients.your-server.de
PORT STATE SERVICE
443/tcp filtered https
TRACEROUTE (using proto 1/icmp)
HOP RTT ADDRESS
1 1.32 ms 192.168.1.1
2 4.66 ms XXXX
3 4.59 ms mpts-ss-51.msk.mts-internet.net (212.188.1.6)
4 4.70 ms mag9-cr03-be12.51.msk.mts-internet.net (212.188.1.5)
5 3.46 ms a197-cr11-be5.msk.mts-internet.net (212.188.28.148)
6 37.54 ms a197-cr01-ae7.0.msk.mts-internet.net (212.188.28.151)
7 4.79 ms a197-cr08-eth-trunk16.msk.mts-internet.net (212.188.56.136)
8 38.03 ms anc-cr03-ae3.77.ff.mts-internet.net (195.34.59.50)
9 38.08 ms static.213.133.118.145.clients.your-server.de (213.133.118.145)
10 38.91 ms core1.fra.hetzner.com (213.239.245.125)
11 42.01 ms core11.nbg1.hetzner.com (213.239.245.249)
12 ...
13 41.50 ms static.213-133-116-44.clients.your-server.de (213.133.116.44)
Nmap done: 1 IP address (1 host up) scanned in 5.14 seconds
❯ sudo nmap -Pn --traceroute -p 443 7zip.org
Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-14 00:55 MSK
Nmap scan report for 7zip.org (49.12.202.237)
Host is up (0.043s latency).
rDNS record for 49.12.202.237: static.237.202.12.49.clients.your-server.de
PORT STATE SERVICE
443/tcp filtered https
TRACEROUTE (using proto 1/icmp)
HOP RTT ADDRESS
1 1.10 ms 192.168.1.1
2 3.30 ms XXXX
3 2.94 ms mpts-ss-51.msk.mts-internet.net (212.188.1.6)
4 3.35 ms mag9-cr03-be12.51.msk.mts-internet.net (212.188.1.5)
5 5.04 ms mag9-cr02-be13.77.msk.mts-internet.net (195.34.53.206)
6 3.01 ms a197-cr08-eth-trunk14.msk.mts-internet.net (212.188.42.42)
7 40.21 ms anc-cr03-ae3.77.ff.mts-internet.net (195.34.59.50)
8 35.81 ms static.213.133.118.145.clients.your-server.de (213.133.118.145)
9 35.96 ms core4.fra.hetzner.com (213.239.245.85)
10 38.74 ms core12.nbg1.hetzner.com (213.239.245.246)
11 40.14 ms spine16.cloud1.nbg1.hetzner.com (213.239.239.142)
12 40.50 ms spine5.cloud1.nbg1.hetzner.com (85.10.250.78)
13 ...
14 39.98 ms 18439.your-cloud.host (168.119.216.141)
15 42.96 ms static.237.202.12.49.clients.your-server.de (49.12.202.237)
Nmap done: 1 IP address (1 host up) scanned in 5.12 seconds
❯ sudo nmap -Pn --traceroute -p 443 archlinux.org
Starting Nmap 7.95 ( https://nmap.org ) at 2025-01-14 00:56 MSK
Nmap scan report for archlinux.org (95.217.163.246)
Host is up (0.024s latency).
PORT STATE SERVICE
443/tcp filtered https
TRACEROUTE (using proto 1/icmp)
HOP RTT ADDRESS
1 0.61 ms 192.168.1.1
2 2.27 ms XXXX
3 2.05 ms mpts-ss-51.msk.mts-internet.net (212.188.1.6)
4 3.15 ms mag9-cr03-be12.51.msk.mts-internet.net (212.188.1.5)
5 2.85 ms mag9-cr02-be13.77.msk.mts-internet.net (195.34.53.206)
6 2.75 ms a433-cr06-eth-trunk15.msk.mts-internet.net (212.188.28.102)
7 16.27 ms mmon-cr01-be1.spb.mts-internet.net (212.188.2.53)
8 23.05 ms radio-cr01-ae3.0.hel.mts-internet.net (212.188.29.109)
9 21.22 ms 213-133-114-9.clients.your-server.de (213.133.114.9)
10 21.67 ms core32.hel1.hetzner.com (213.239.224.26)
11 23.75 ms spine15.cloud1.hel1.hetzner.com (213.239.228.6)
12 23.89 ms spine1.cloud1.hel1.hetzner.com (213.239.228.22)
13 ...
14 23.29 ms 13214.your-cloud.host (95.216.131.66)
15 24.22 ms archlinux.org (95.217.163.246)
Nmap done: 1 IP address (1 host up) scanned in 5.21 seconds
а ради меня не надо… надо ради того чтобы понимать что происходит.
nmap не подходит, оказывается когда нет доступа он перескакивает с tcp трассировки на icmp, но раз у вас линукс то тогда уже сделайте mtr -T -P443 7-zip.org
Чего-то у меня больше не помогает 15 минут посидеть с отключеным интернетом. Либо каждый раз что-то моментально тригеррит, либо перестало это работать у меня, хотя я специально пытался все повыключать что-бы бана не было после 15 минут.
Торренты тут не при чём.
Уже неоднократно подтверждено и лично проверено, что достаточно стукнуть браузером на определённый домен. Сомневающиеся могут это сделать с какого-нибудь LiveCD.
Если у вас проблему вызывает торрент-клиент, возможно, существует какой-то ещё адрес, который триггерит блокировку, и на который ломится ваш клиент.
полная чушь. у arch linux (который на hetzner) первая из загрузок это их магнет и .torrent, они наоборот хотят чтобы их юзеры имели клиент с dht и к этому их приучают с первого же посещения download ветки
Summary
Release Info
The image can be burned to a DVD, mounted as an ISO file, or be directly written to a USB flash drive. It is intended for new installations only; an existing Arch Linux system can always be updated with pacman -Syu.
Images for installing Arch can be downloaded via BitTorrent or right here in your browser from one of the Arch HTTP(S) mirrors down below.
- Current Release: 2025.01.01
- Included Kernel: 6.12.7
- ISO Size: 1.1 GB
- Installation Guide
- Resources:
Existing Arch Users
If you are an existing Arch user, there is no need to download a new ISO to update your existing system. You may be looking for an updated mirrorlist instead.
BitTorrent Download (recommended)
If you can spare the bytes, please leave the client open after your download is finished, so you can seed it back to others.
A DHT capable client is required. A WebSeed capable client is recommended for fastest download speeds.
- Magnet link for 2025.01.01 !
- Torrent for 2025.01.01 !
Попросил знакомого с подобной проблемой проверить под Cloudflare Warp(дабы геоип не менялся) триггернуть блокировку доменами или торрентами и вот чудеса Hetzner его не банит, но стоит тоже самое провернуть не скрывая трафик от DPI так сразу же блок. Как это вписывается в теорию о блоках торрентов со стороны Hetzner’а?
Никак не вписывается. Я написал “похоже”, и написал почему так подумал - потому что zapret не находит ни одно стратегии обхода от слова совсем.
Я никого не убеждаю и вполне могу быть не прав (а по вашему проверкам, это так и есть).
Чего накинулись-то? Я РКНу песни не пою.
zapret не находит ни одной стратегии обхода от слова совсем
Блок по IP всего хостинга. Однако, кроме ICMP (ping, traceroute). VPN over ICMP можете использовать на Hetzner. Правда, не знаю как ваш провайдер отнесётся к большому количеству ICMP трафика, не подумает ли, что поведение зловредное.
Это печаль(
сдается мне, проще завернуть все подсети hetzner в vpn сразу и не показывать их совсем (как выше писали).
Техники обмана DPI не работают в этом случае ибо судя по моим наблюдениям просто дропается TCP до подсетей Hetzner(ICMP при этом ходит). По поводу “накинулся” извиняюсь если сообщение показалось токсичным ибо я писал без цели задеть, а с целью поставить максимально острый вопрос дабы не растягивать обсуждение этой теории
У меня как будто блокировка пропала, видимо благодаря моему провайдеру? И я имею в виду не просто пропала, а она больше не тригеррится вышеперечисленными доменами.
Я со своим провайдером вел беседу c ноября, сначала было много отписок, но после многих разговоров, в один момент они написали что они отправили запрос в Роскомнадзор и сказали ждать, а потом через много дней что они проводят диагностику с Роскомнадзором, и вдруг вчера archlinux.org начинает работать сам по себе, а чуть позже и все остальное (типа wiki.archlinux.org или kde.org). И после этого они связались со мной, узнать решилась ли проблема.
история не забудется. спасибо что постанул на тор форумах об этом. люди должны знать что происходит
Сегодня у меня отвалился https на как минимум одну из подсетей хецнера (потестил свой айпишник несколько соседних). Причём не так, как в прошлый раз:
- Остальные порты (80, 22) работают
- HTTPS без SNI работает
- А если SNI есть, соединение отваливается после ClientHello
- С включенным ByeDPI тоже всё работает
- Тем не менее AmneziaWG через UDP не работает. Возможно, имеет смысл завести уже отдельный сервер под это дело. Вообще хз, было ли у кого-то так, что ТСПУ банит сразу подсеть (/24?) за то, что кто-то сходил на один из её адресов “запрещённым” или просто неопознанным протоколом?
upd: отключил VPN на роутере, посмотрим, восстановится ли доступ
Из странного:
Сегодня * Connection #0 to host kde.org left intact
Без всяких простоев езернет-кабеля итп
Остальное на хетцнере и ovh:
- Recv failure: Connection was reset
- TLS connect error: error:14FFF3E7:SSL routines:(UNKNOWN)SSL_internal:unknown failure occurred
плюс ко всему перестал открываться ping-admin.com на scaleway
upd: ping-admin сам по себе заработал часов через пять %
upd2: а, не, это он в autohostlist zapret’a попал и поэтому открывался
upd3: всё что на хетцнере и ovh сейчас вдруг доступно. аптайм ~ неделя. кабель не вынимался. возможно спасибо провайдеру @temhelk за письмо в ркн. будем посмотреть
С VPN как будто не связано — отключил и проверил, что отключено. Не помогло.
Выключить роутер на 15 минут тоже не помогло.
Иногда сервер становится доступен, но ненадолго, на несколько минут. После этого блокировка возвращается.
ByeDPI на андроиде пробивает эту блокировку, но zapret на роутере, который с этими же настройками успешно обходит вообще всё остальное — нет.
Как же достало уже.
upd: как минимум один сайт на OVH тоже не открывается с точно такими же симптомами, https://iosdev.space
Заметил, что недоступны сайты Apple discussions.apple.com и support.apple.com, как минимум. Хостятся на Akamai.
Эти у меня доступны. А хецнер всё так и не починился 
Ночью написал провайдеру. Полчаса назад хецнер починился и (пока, тьфу тьфу тьфу) не отваливался. Провайдер ничего не ответил. Роутер я вообще не трогал, у него аптайм 2 суток. Интересная дичь, конечно…
upd: рано возрадовался, обратно отвалилось
upd2: и обратно починилось?!..
Да, вот сегодня доступны.
Как минимум 2025-01-21T21:00:00Z появились такие же проблемы[1][2] (предположительно) после попыток настроить torsocks. Провайдер, вроде бы, пытался помочь, но “у них все работало”. Не позднее утра 2025-01-23T21:00:00Z ограничения пропали.
Некоторые писали, что у них переставали работать, например, archlinux.org и wiki.archlinux.org, но почему-то у меня они как раз работали без перебоев, хотя bbs.archlinux.org и gitlab.archlinux.org отвалились. Еще на AS24940 работал как минимум openoffice.org.
У меня Hetzner и OVH всё ещё работают с перебоями. И блокировка всё такая же — только 443 порт и только с SNI. Иногда может починиться на несколько часов, а потом снова пропасть. Иногда, наоборот, может несколько часов подряд не работать, а потом поработать 2 минуты и снова отвалиться.
@quantalFox
У меня всё тоже самое, то появляется доступ, то пропадает, после обновления стр., например. Я уже просто не пишу об этом. но кде.орг доступен стабильно
после попыток настроить torsocks.
У меня после попыток прорваться в тор, где-то вечером недели три назад , как раз появился доступ. потом где-то утром пропал во время простоя
Мой домашний провайдер похоже с концами вчера забанил хезнер, обычно отпускало, но щас до сих пор блок.
Есть ощущение, что хецнер отваливается у меня из-за того, что какие-то другие абоненты моего же провайдера постоянно делают что-то, что триггерит эту блокировку.
У моего провайдера есть особенность, что он чуть ли не вообще всех пускает в интернет из под одного айпишника с большим и бесячим NAT. И до где-то лета 2023 у меня вообще не было блокировок. Предположу, что вот тогда как раз у вышестоящего провайдера поставили ТСПУ. Который видит всех абонентов моего провайдера как одного, потому что айпишник-то общий.
тспу нужно выделись гос буджет для своего stun сервера
У меня кстати до того как мой провайдер разблокировал мне hetzner тоже блокировка перестала сниматься, хотя я ждал и по часу без интернета несколько раз.
А какая сейчас ситуация с доступностью/недоступностью Hetzner в России?
Прямо сейчас поставил vless на hetzner’овский сервак в Хельсинках. Скорость не режет, пинг хороший.
Лучше, чем в ноябре и декабре. Мобильный Билайн, который ранее агрессивно блокировал TCP трафик в сторону ASN Hetzner, перестал это делать. Или, по крайней мере, это стало не таким распространённым событием. В этой теме я писал, что наблюдалось у меня и других пользователей, в истории сообщений можно посмотреть.