Сегодня в течение нескольких часов на малой части подключений малой часть провайдеров с ТСПУ (Ростелеком Воронеж, Билайн Москва, Дом.Ру Москва) наблюдалась недоступность порта 443 на ряде IP-адресов в разных диапазонах хостинга DigitalOcean (159.89.0.0/16, 165.227.0.0/16). Недоступность проявлялась в отсутствии какого-либо ответа на TCP SYN-запрос, при этом все остальные порты функционировали корректно.
Пример с IP-адресом 165.227.158.127, удобным для сканирования: часть портов у него возвращает TCP RST, часть — заблокирована firewall’ом.
# Напрямую
$ sudo nmap -n -Pn --reason 165.227.158.127 -F
Starting Nmap 7.70 ( https://nmap.org ) at 2022-05-20 07:49 EDT
Nmap scan report for 165.227.158.127
Host is up, received user-set (0.041s latency).
Not shown: 51 closed ports, 47 filtered ports
Reason: 51 resets and 47 no-responses
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack ttl 56
443/tcp open https syn-ack ttl 56
Nmap done: 1 IP address (1 host up) scanned in 24.59 seconds
# Через Ростелеком Воронеж
$ sudo nmap -n -Pn -e tap0 -S 10.255.0.1 --reason 165.227.158.127 -F
Starting Nmap 7.70 ( https://nmap.org ) at 2022-05-20 07:49 EDT
Nmap scan report for 165.227.158.127
Host is up, received user-set (0.11s latency).
Not shown: 51 closed ports, 48 filtered ports
Reason: 51 resets and 48 no-responses
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack ttl 56
Как видно по полю Not shown, отличие только в ответе 443 порта.
TCP Traceroute на порт 443 останавливался на первом хопе провайдера:
$ sudo traceroute --tcp --port=443 --sport=12151 --interface=tap0 165.227.158.127
traceroute to 165.227.158.127 (165.227.158.127), 30 hops max, 60 byte packets
1 10.255.0.xx (10.255.0.xx) 39.280 ms 39.089 ms 38.883 ms
2 192.168.0.1 (192.168.0.1) 39.522 ms 39.864 ms 39.192 ms
3 1.240.c10008-a53.dsl-dynamic.vsi.ru (77.45.240.1) 60.545 ms 47.122 ms 46.858 ms
4 * * *
5 * * *
6 * * *
7 * * *
Нас тоже зацепило сегодня. Симптомы аналогичные, доступ к 22/80 портам был, к 443 не было.
Были жалобы с домру (Казань), таттелеком, ростелеком, билайн.
В течение дня проблема то появляется, то пропадает. Пока не могу с уверенностью сказать, что всё закончилось.
Наши хосты в подсетях:
104.248.192.0/20
165.22.192.0/20
134.122.48.0/20
Запустил ежечасную проверку RIPE Atlas со всех российских нод: https://atlas.ripe.net/measurements/41329611/#probes
Сортировка там дурацкая, лучше всего сортировать по Majority, но всё равно сортируется неправильно.
Аналогичная ситуация: часть сайтов, которая на Digital Ocean (по 443) не доступна из, как минимум: 2КОМ (Москва), Ростелеком (Ставрополь), ДОМ.ру (Рязань). Проблемы наблюдаются с вечера 19 мая. Для конкретных сайтов / IP доступность то появляется, то исчезает. Буквально: «сейчас не доступен, через 10 минут работает, еще через 10 минут, опять нет». Все провайдеры отвечают, что с их стороны никаких блокировок или ограничений нет.
С 20 мая по сей день проблема наблюдается на всех наших проектах DigitalOcean.
С операторов мобильной связи носит периодический характер: то работает, то нет.
На некоторых провайдерах стабильно не работает. На некоторых стабильно работает
Заметил проблемы с доступностью репозитория https://repo.zabbix.com (пакеты deb и rpm) с многих серверов по IPv4 и https, он расположен в DigitalOcean, скорее всего связано с этим. При этом по IPv6 и https или http доступно нормально.
Сервер v2ray на виртуалке Digital Ocean на 443 порту ( и сегодня то же самое было) - 15 минут все ок, 15 минут не работает, и так по кругу. Сменил порт и все окей.