Блокировка порта 443 на части хостов DigitalOcean

Сегодня в течение нескольких часов на малой части подключений малой часть провайдеров с ТСПУ (Ростелеком Воронеж, Билайн Москва, Дом.Ру Москва) наблюдалась недоступность порта 443 на ряде IP-адресов в разных диапазонах хостинга DigitalOcean (159.89.0.0/16, 165.227.0.0/16). Недоступность проявлялась в отсутствии какого-либо ответа на TCP SYN-запрос, при этом все остальные порты функционировали корректно.

Пример с IP-адресом 165.227.158.127, удобным для сканирования: часть портов у него возвращает TCP RST, часть — заблокирована firewall’ом.

# Напрямую
$ sudo nmap -n -Pn --reason 165.227.158.127 -F

Starting Nmap 7.70 ( https://nmap.org ) at 2022-05-20 07:49 EDT
Nmap scan report for 165.227.158.127
Host is up, received user-set (0.041s latency).
Not shown: 51 closed ports, 47 filtered ports
Reason: 51 resets and 47 no-responses
PORT    STATE SERVICE REASON
22/tcp  open  ssh     syn-ack ttl 56
443/tcp open  https   syn-ack ttl 56

Nmap done: 1 IP address (1 host up) scanned in 24.59 seconds


# Через Ростелеком Воронеж
$ sudo nmap -n -Pn -e tap0 -S 10.255.0.1 --reason 165.227.158.127 -F

Starting Nmap 7.70 ( https://nmap.org ) at 2022-05-20 07:49 EDT
Nmap scan report for 165.227.158.127
Host is up, received user-set (0.11s latency).
Not shown: 51 closed ports, 48 filtered ports
Reason: 51 resets and 48 no-responses
PORT   STATE SERVICE REASON
22/tcp open  ssh     syn-ack ttl 56

Как видно по полю Not shown, отличие только в ответе 443 порта.

TCP Traceroute на порт 443 останавливался на первом хопе провайдера:

$ sudo traceroute --tcp --port=443 --sport=12151 --interface=tap0 165.227.158.127
traceroute to 165.227.158.127 (165.227.158.127), 30 hops max, 60 byte packets
 1  10.255.0.xx (10.255.0.xx)  39.280 ms  39.089 ms  38.883 ms
 2  192.168.0.1 (192.168.0.1)  39.522 ms  39.864 ms  39.192 ms
 3  1.240.c10008-a53.dsl-dynamic.vsi.ru (77.45.240.1)  60.545 ms  47.122 ms  46.858 ms
 4  * * *
 5  * * *
 6  * * *
 7  * * *

На данную минуту хосты опять доступны.

Нас тоже зацепило сегодня. Симптомы аналогичные, доступ к 22/80 портам был, к 443 не было.
Были жалобы с домру (Казань), таттелеком, ростелеком, билайн.
В течение дня проблема то появляется, то пропадает. Пока не могу с уверенностью сказать, что всё закончилось.

Наши хосты в подсетях:
104.248.192.0/20
165.22.192.0/20
134.122.48.0/20

Подтверждаю проблему с такими же симпотмами на хостах DigitalOcean, заметили 20.05.2022.

Третий день наблюдаю эти проблемы. С мобильного beeline msk и с almatel msk стабильно не доступен 443 в DO. С Теле2 мск переменно доступен.

Сообщают, что проблема еще наблюдается:

Новотелеком Новосибирск не доступен, всё так же как на картинках

Запустил ежечасную проверку RIPE Atlas со всех российских нод:
https://atlas.ripe.net/measurements/41329611/#probes
Сортировка там дурацкая, лучше всего сортировать по Majority, но всё равно сортируется неправильно.

Аналогичная ситуация: часть сайтов, которая на Digital Ocean (по 443) не доступна из, как минимум: 2КОМ (Москва), Ростелеком (Ставрополь), ДОМ.ру (Рязань). Проблемы наблюдаются с вечера 19 мая. Для конкретных сайтов / IP доступность то появляется, то исчезает. Буквально: «сейчас не доступен, через 10 минут работает, еще через 10 минут, опять нет». Все провайдеры отвечают, что с их стороны никаких блокировок или ограничений нет.

C 23:20 (мск) 19.05.2022 также столкнулись с недоступностью DigitalOcean

С 20 мая по сей день проблема наблюдается на всех наших проектах DigitalOcean.
С операторов мобильной связи носит периодический характер: то работает, то нет.
На некоторых провайдерах стабильно не работает. На некоторых стабильно работает

Заметил блокировку 45.55.41.223, когда заходил на sublimetext.com. ЭР-Телеком (Липецк). На Yota все работает.

nmap -n -Pn --reason 45.55.41.223 -F
Starting Nmap 7.92 ( https://nmap.org ) at 2022-05-24 15:36 MSK
Nmap scan report for 45.55.41.223
Host is up, received user-set (0.12s latency).
Not shown: 94 closed tcp ports (conn-refused)
PORT    STATE    SERVICE      REASON
22/tcp  open     ssh          syn-ack
80/tcp  open     http         syn-ack
135/tcp filtered msrpc        no-response
139/tcp filtered netbios-ssn  no-response
443/tcp filtered https        no-response
445/tcp filtered microsoft-ds no-response

Nmap done: 1 IP address (1 host up) scanned in 1.77 seconds

sudo traceroute --tcp --port=443 45.55.41.223
traceroute to 45.55.41.223 (45.55.41.223), 30 hops max, 60 byte packets
 1  _gateway (192.168.0.1)  0.397 ms * *
 2  * * *
 3  lag-2-435.bgw01.lipetsk.ertelecom.ru (109.195.8.18)  27.468 ms  27.458 ms  27.446 ms
 4  ertelekom-ic-335559-mow-b4.ip.twelve99-cust.net (62.115.12.110)  21.495 ms *  21.511 ms
 5  * * *
 6  * * *
 7  * * *
 8  * * *

Заметил проблемы с доступностью репозитория https://repo.zabbix.com (пакеты deb и rpm) с многих серверов по IPv4 и https, он расположен в DigitalOcean, скорее всего связано с этим. При этом по IPv6 и https или http доступно нормально.

На Vultr наблюдаю подобную проблему. Недоступен сайт через https на сервере в Нидерландах

Сначала, около недели назад, отвалился доступ через обычного провайдера, сегодня на Tele2 и Yota

Возможно это связано с блокировкой VPN-сервиса Windscribe VPN-сервис Windscribe рассказал, что его могли заблокировать в России — пользователи жаловались на сбои в работе — Новости на TJ

2022-06-01T04:16:00Z проблема всё ещё наблюдается.

This post was flagged by the community and is temporarily hidden.

Domru Красноярск, аналогично. На Мегафон Красноярск - работает.

Хм, только позвонил в саппорт, начали переключать на вторую линию и оно починилось

После обращения в техподдержу через несколько часов тоже стал работать.

Сервер v2ray на виртуалке Digital Ocean на 443 порту ( и сегодня то же самое было) - 15 минут все ок, 15 минут не работает, и так по кругу. Сменил порт и все окей.