не-открывается-сайт-с-openvpn-connect-на-пк-7104

Ник	Пост	Дата
dmitryarch(Dmitryarch)	Тип настройки: VPN Тип проблемы: не работает НЕзаблокированный сайт Что с сайтом: сайт просто не открывается Используемый браузер: Chrome 121.0.6167.161 На компьютере при включенном OpenVPN Connect и конфигом antizapret не открывается сайт open.spotify.com, не открывается и в другом браузере Edge 121.0.2277.106. Просто висит и в итоге ошибка ERR_CONNECTION_RESET. В консоли пусто. Если отключить OpenVPN Connect то соответственно все начинает работать. И с браузерным расширением тоже все работает. А с OpenVPN нет. Еще с OpenVPN в Хроме не работает CDN Akamai и например в стиме не грузятся картинки. См. скриншот 3968×995 79.2 KB На другом сайте тоже не грузятся картинки 4826×510 12.2 KB Что странно, если заходить в стим из браузера Edge, то картинки грузятся с других адресов CDN Cloudflare и соответственно все работает. 5863×613 142 KB Ну и как я сказал если выключить OpenVPN то все начинает работать. Для браузеров конечно можно пользоваться и расширениями, но мне нужен OpenVPN для программ, на которые расширение не поставишь…	2024-02-09T17:33:33.424Z
ValdikSS	Отключите VPN, установите DNS `1.1.1.1` в системе или на роутере. Если в такой конфигурации сайты не открываются, то это блокировки вашего провайдера.	2024-02-09T17:45:42.702Z
dmitryarch(Dmitryarch)	С DNS 1.1.1.1 сайты работают. Спасибо. Это значит что мой провайдер блокирует сам Антизапрет? Или что мой провайдер блокирует, если эти же сайты работают при отключенном VPN и с DNS от самого провайдера?	2024-02-09T18:08:19.880Z
ValdikSS	dmitryarch: С DNS 1.1.1.1 сайты работают. Спасибо. А работать не должны. Значит, отдаётся другой набор адресов, которые заблокированы в РФ. Посмотрю, но не сегодня.	2024-02-09T18:09:21.457Z
dmitryarch(Dmitryarch)	Ну имеется в виду что я прописал DNS и включил OpenVPN и оно стало работать. С выключенным оно и без VPN и без DNS работает.	2024-02-09T18:16:22.037Z
ValdikSS	Выключите VPN и впишите DNS `1.1.1.1`. Если сайт перестанет открываться без VPN, то проблема точно в провайдере. Подобные блокировки не редкость.	2024-02-09T18:33:28.571Z
dmitryarch(Dmitryarch)	Сайты работают при выключенном VPN и включенном DNS 1.1.1.1 Вот все комбинации: Нет VPN, нет DNS - работает. Нет VPN, есть DNS - работает. Есть VPN, есть DNS - работает. Есть VPN, нет DNS - не работает.	2024-02-09T18:41:01.633Z
dmitryarch(Dmitryarch)	Наверно вы что-то делаете с этой проблемой? Потому что перестало работать и с DNS 1.1.1.1 при включенном VPN. Проверил также 8.8.8.8 - тоже не работает.	2024-02-09T20:36:20.310Z
ValdikSS	Я ничего не делаю, это ваш провайдер.	2024-02-09T20:42:22.869Z
dmitryarch(Dmitryarch)	Вы так и не ответили что именно делает мой провайдер. Блокирует Антизапрет? Потому что если отключить VPN то эти сайты сразу работают. Если провайдер блокирует Антизапрет, то почему с VPN не работают только эти сайты, а все остальное, включая “запрещенные” работает?	2024-02-09T21:03:39.693Z
dmitryarch(Dmitryarch)	Кстати Spotify как выясняется тоже находится у Akamai 6711×148 3.49 KB	2024-02-09T21:28:58.579Z
borouhin(Alexander Borouhin)	Если я правильно понял, Вы попали на довольно типичную проблему с выборочной маршрутизацией через VPN и геораспределёнными сервисами / CDN. И проблема тут не в Антизапрете и не в Вашем провайдере, а в таком сервисе (Spotify в Вашем случае). Потому что сервис в зависимости от локации пользователей через DNS выдаёт им разные IP-адреса, и пускает на эти адреса пользователей только из тех локаций, для которых они предназначены. Иными словами, Вы через DNS провайдера получаете IP для России (ну или какие там по умолчанию отдаются всем прочим странам после ухода Spotify из России), а стучитесь на них из Голландии (или где там Ваш VPN-сервер). Почему оно работает с 1.1.1.1 без VPN? Потому что 1.1.1.1 поддерживает EDNS и передаёт информацию о локации запрашивающего IP пользователя дальше по цепочке. Т.е. 1.1.1.1 при обращении из России даст Вам те же IP, что и провайдерский DNS, а при обращении через VPN - другие. Чтобы проверить гипотезу - dig Вам в руки, смотрите, что когда отдаёт.	2024-02-10T08:16:36.410Z
ValdikSS	borouhin: через DNS выдаёт им разные IP-адреса, и пускает на эти адреса пользователей только из тех локаций, для которых они предназначены Нет, наоборот: один из наборов отдаваемых адресов блокируется провайдером (ТСПУ) borouhin: Потому что 1.1.1.1 поддерживает EDNS Как раз не поддерживает, из-за чего именно с `1.1.1.1` выше вероятность, что набор адресов отдастся заблокированный.	2024-02-10T08:44:09.844Z
borouhin(Alexander Borouhin)	В этом случае непонятно, почему у dmitryarch всё работает без VPN что с провайдерским DNS, что с 1.1.1.1. Разве что провайдер перехватывает запросы к 1.1.1.1 и перенаправляет на свой сервер. В любом случае, дабы телепатией не заниматься, dig в разных сценариях посмотреть бы.	2024-02-10T08:46:48.297Z
dmitryarch(Dmitryarch)	Пожалуйста объясните популярно как мой провайдер может что-то блокировать если полностью без всяких VPN и DNS те же самые сайты работают, значит мой провайдер их не блокирует? А как только включаю VPN то начинает блокировать? Я бы может обратился к самому провайдеру с этим вопросом. Нужно только понять о чем вообще спрашивать. Так чтобы не говорить им про VPN. А то они скажут все VPN запрещены и ничего не знаем.	2024-02-10T08:53:44.646Z
bolvan	dmitryarch: Пожалуйста объясните популярно как мой провайдер может что-то блокировать если полностью без всяких VPN и DNS те же самые сайты работают, значит мой провайдер их не блокирует? А как только включаю VPN то начинает блокировать Когда вы куда-то заходите по домену (https://rutracker.org), то сначала идет ресолвинг домена в IP адрес через систему DNS. Каждому домену может соответствовать 1 адрес, может 2, может 10, а может 65536. Представьте, что из 65536 заблокировано 4096 адресов. Сегодня да, завтра да, послезавтра нет, после-после завтра опять да, с VPN через раз да или нет Такая штука, что домену соответствует много адресов, применяется на cloudflare и других CDN. Точнее сказать, обычно выдается 2 адреса в ответе DNS, но на практике с течением времени они “прыгают” в широких пределах. Хотя 1 DNS сервер может выдавать постоянный ответ в течение некоторого времени, другие выдают другие ответы Antizapret проксирует не все адреса, но DNS берется от antizapret, потому может идти напрямую даже с подключенным антизапретом	2024-02-10T08:57:15.929Z
dmitryarch(Dmitryarch)	К сожалению я никогда раньше не работал с инструментом dig. Если бы вы подсказали что надо проверить и в какой конфигурации DNS и VPN, я бы попробовал.	2024-02-10T08:57:49.130Z
dmitryarch(Dmitryarch)	Теперь понимаю. И если провайдер блокирует часть адресов, то с этим ничего не сделать? Как получается что именно используя antizapret я попадаю на запрещенные адреса, если есть и другие не заблокированные адреса?	2024-02-10T09:01:38.601Z
bolvan	dmitryarch: Как получается что именно используя antizapret я попадаю на запрещенные адреса, если есть и другие не заблокированные адреса? С сервера A-Z возвращается один ответ, с провайдера в RU - другой. Представляете как это все время следить какие адреса заблокированы, а какие нет ? Блокировки все больше идут непрозрачно, внереестрово. Потому Валдику и надоело это поддерживать, чтобы вы ни о чем не парились, нажимая одну простую кнопку Если проксировать весь cloudflare, то кто будет платить за требуемую немеряную пропускную способность ? Вариант есть использовать вместо PAC вместо VPN. Там фильтрация идет по домену. Но и с PAC проблемы есть, достигнут лимит 1 Мб для хроме броузеров, и это поддерживать тоже становится все сложнее	2024-02-10T09:04:29.337Z
borouhin(Alexander Borouhin)	Да просто запустите во всех 4-х сценариях “dig open.spotify.com” и покажите ответ. Для сценариев с подкюченным сторонним DNS можно 1.1.1.1 в качестве DNS не включать системно, а запустить “dig @1.1.1.1 open.spotify.com” У меня, скажем, мои собственные DNS-серверы (рекурсивные ресолверы, один в России, другой в Голландии) для этого хоста оба выдают 23.76.204.147 и 23.76.204.132. 1.1.1.1 из России - 188.43.78.57 и 188.43.78.67, 1.1.1.1 из Голландии - 104.97.14.88 и 104.97.14.106.	2024-02-10T09:05:47.047Z
dmitryarch(Dmitryarch)	Ну то есть теоретически это можно поправить со стороны конфигурации antizapret? Могу я это самостоятельно как-то сделать?	2024-02-10T09:06:26.687Z
borouhin(Alexander Borouhin)	Даже имея свой VPN-сервер и свой DNS-сервер это, в общем случае, достаточно геморройная задача.	2024-02-10T09:10:43.963Z
dmitryarch(Dmitryarch)	Ну из разговора уже и так стало понятно что адреса даются разные. Если это что-то даст, то я проверю позже. Просто я опять не совсем понимаю. Вроде как Spotify официально в России властями не заблокирован (в реестрах я его не нашел). Это они сами уши из страны. В описании antizapret говорится что VPN обрабатывает только заблокированные адреса и не трогает остальные. Значит получается не совсем так? Можно сделать так чтобы antizapret не обрабатывал подключения к Spotify и другим адресам из темы? Чтобы соединение шло напрямую через моего провайдера. P.S. Не ожидал что попаду на ограничение отправки сообщений на середине общения. Пришлось отдохнуть 8 часов.	2024-02-10T18:28:44.298Z
spcfox(Viktor Yudov)	Антизапрет через OpenVPN определяет, заблокирован ли сервис, при обработке DNS запроса. Если сайт не заблокирован, то возвращается его реальный адрес, и дальше антизапрет никак не влияет, весь трафик идёт напрямую к сайту. Но для этого, чтобы это работало, весь dns трафик должен идти через антизапрет. И вот тут кроется это «не совсем так». Само по себе это влиять не должно, но, так как ответ dns может отличаться, то есть шанс возникновения таких спецэффектов. Например, если, по невезению, он вернул именно тот адрес, который по каким-то причинам блокируется вашим провайдером	2024-02-10T18:38:25.182Z
borouhin(Alexander Borouhin)	Так в том числе поэтому и хотелось увидеть, какие адреса Вам выдаёт, чтобы проверить их наличие в списке заблокированных. Spotify, конечно, не блокируют, но Вы же сами правильно заметили, что они хостятся у Akamai, и какой-то блок адресов мог попасть в блок (в реестр или во внереестровую блокировку на ТСПУ) за “грехи” совершенно другого сервиса. Плюс, насколько я понимаю, разные провайдеры по-разному обрабатывают реестр РКН в части доменов, кто-то берёт те IP, которые в реестре, а кто-то делает ресолвинг сам, и тут тоже могут вылезти нестыковки.	2024-02-10T18:58:45.582Z
dmitryarch(Dmitryarch)	Начал проверки и выяснилось что сайт начал работать и под VPN. Либо проблема плавающая, либо провайдер продолжает что-то крутить, либо в конфиге antizapret этот момент исправили… Проверки выложу все равно раз уж сделал. Нет VPN, нет DNS. Сайт работает. image727×424 11.9 KB Нет VPN, DNS 1.1.1.1. Сайт работает. image741×425 11.5 KB Включил VPN antizapret. DNS отключил. image731×422 11.8 KB VPN + DNS 1.1.1.1 image720×436 11.9 KB	2024-02-10T19:41:14.946Z
borouhin(Alexander Borouhin)	Ни один из выдаваемых Вам IP в реестре РКН не числится, но есть попадания прямо близко (в той же сети /24). Возможно, провайдер хулиганит и для экономии ресурсов делает суммаризацию (не знаю, встречается ли такое). У меня, к слову, вся AS16625 (Akamai), в которой эти IP, маршрутизируется через Голландию. Не помню уже, из-за чего я это правило создал, вероятно, что-то не работало нормально.	2024-02-10T20:00:08.791Z
dmitryarch(Dmitryarch)	Сегодня при подключении к VPN сайт снова не работает. В dig выдаются другие адреса. Прописывание DNS ситуацию не меняет. image725×430 11.8 KB	2024-02-11T09:07:49.511Z
dmitryarch(Dmitryarch)	Выяснилось вот еще что. Если при подключении к VPN я соединяюсь с айпи например 51.158.187.25, то сайт не работает. Если переподключаюсь и соединяюсь например с 51.75.75.245, то сайт работает. Значит пока буду действовать так. Раз других решений нет. По другим адресам до этого статистику не собирал, но дальше могу посмотреть. Я в течение дня могу несколько раз подключать и отключать VPN.	2024-02-11T09:48:00.779Z
borouhin(Alexander Borouhin)	Вот, видимо, из-за подобных приколов я когда-то и завернул весь Akamai оптом в VPN	2024-02-11T11:19:06.828Z
spcfox(Viktor Yudov)	Похоже, блокируется http и https до 104.109.143.4 и 104.109.143.8	2024-02-11T11:28:57.163Z
spcfox(Viktor Yudov)	@ValdikSS в списке внереестровых блокировок нет	2024-02-11T11:34:26.426Z
spcfox(Viktor Yudov)	увидел, что об этом уже писали Не работает сайт Valorant и Steam antizapret.prostovpn.org Какого-то хорошего общего решения для этой проблемы я пока придумать не могу. Разве что можно попробовать выявить все проблемные IP-адреса и сделать маппинг на работающие — этот способ применялся для обхода блокировок отдельных IP-адресов Cloudflare, но в случае с Akamai я не уверен, что из front-end позволит делать то же самое. Добавил перенаправление с отдельных проблемных IP-адресов (104.109.143.31, 104.109.143.4, 104.109.143.28) на почти что случайные другие, проверьте. А вообще, заблокиров…	2024-02-11T16:38:02.292Z
dmitryarch(Dmitryarch)	Понятно. Ну какую мог информацию, я предоставил. Все еще не понятно где корень этой проблемы. По всем проверкам провайдер не должен блокировать эти адреса. И я так и не убежден что это делает провайдер. Для меня это выглядит как лотерея при подключении к VPN если я попаду на “хороший” адрес, то все работает, если попаду на “плохой”, то нет. Для меня это выглядит как проблема с этими адресами, а не с провайдером. Может я и не прав. Но более менее решение найдено - надо несколько раз переподключиться пока не попадешь на “хороший” адрес.	2024-02-11T22:04:31.853Z
spcfox(Viktor Yudov)	Судя по всему, это блокировка со стороны Роскомнадзора	2024-02-11T22:13:39.995Z
_Shift	У меня всё работает. Значит, дело не в клиенте. В конфиге или настройках браузера. Может, самое простое? Почистить кукисы?	2024-02-13T10:40:14.855Z
ValdikSS	dmitryarch: Все еще не понятно где корень этой проблемы. Хабр В России сохраняются проблемы с доступностью сайтов, но никто их не замечает TL;DR : Из-за блокировок Роскомнадзора большое количество ресурсов, находящихся на Amazon CloudFront и Akamai, периодически становятся кратковременно недоступны. Проблема вызвана частой сменой...	2024-02-15T14:03:05.613Z