Открытие чаще можно словить, если не дожидаться таймаута, а нажать Ctrl+C и повторить попытки. Тогда несколько будет успешных попыток, но всё равно с редиректом на 403.
upd: выяснилось, что редирект на 403 из-за user agent curl, с браузерным user agent открывается, но тоже 50/50.
Я тоже проверял на colo=HEL loc=RU, тут дело даже не в WARP, а в сломанном маршруте до сайта. Как я понял у OVH нет заглушек своих, как у Akamai или CF, поэтому непонятно какие выводы делать.
Обыскал весь форум по всем ключевым словам которые пришли в голову, но ничего не нашел.
У кого-нибудь наблюдается рандомный дроп самого первого же пакета до некоторых IP cloudflare на 443 порт? Тут, например, даже до хендшейка не доходит.
$ curl -v --connect-to ::8.47.69.0:443 https://saucenao.com
* Connecting to hostname: 8.47.69.0
* Connecting to port: 443
* Trying 8.47.69.0:443...
* connect to 8.47.69.0 port 443 from 0.0.0.0 port 59023 failed: Timed out
* Failed to connect to 8.47.69.0 port 443 after 21028 ms: Could not connect to server
* closing connection #0
curl: (28) Failed to connect to 8.47.69.0 port 443 after 21028 ms: Could not connect to server
Если спамить курл (или hard reload в браузере), то рано или поздно соединение-таки устанавливается и живёт.
И вот ещё несколько айпишников для теста 104.26.7.195, 104.20.43.5, 172.105.4.254. Последний из них это вообще Akamai, на нём kernel.org, изначально пакет лосс я заметил только до него, а на следующий день началась такая же ебень с клаудой.
Дропает исключительно 443 порт, на 8443 и 80 проблем нет.
Похоже, что этой ночью 16кб блокировку OVH заменили на полный блок, даже 16кб данных не проходит, после Client hello замирает. При этом теперь вместо белых SNI как будто сделали белые IP. lichess.org доступен, причем коннекты на его IP проходят с любыми SNI. Zapret перестал пробивать OVH через фейк.
тоже самое с digitalOcean, блок только по https, белых sni найти не смог.
блочится https не на всех их айпи, а только на части. (и ovh и DO)
на примере bm11.osu.ppy.sh как будто убрали белый список на http протоколе, любой домен проходит, айпи не в белом списке тспу.
по счастливой случайности был запущен мониторинг ресурса на заблок. диапазоне, вот так выглядит график доступа (красная линия - есть доступ, без линии - нет доступа, высота не имеет значения)
На некоторых адресах digital ocean, с ростелекома - как был 16 кб блоктак и остался. Легитимные сайты прогружаются чуть чуть и останавливаются (например https://unms.septagon.com). Также проверил на hetzner - там также остается 16 кб блок что для TCP, что UDP трафика в сторону ростелекома. С hetzner - также любой из сайтов что там хостится начинает открываться и встает - пример https://organon-is.de/ .
Вчера несколько раз ловил полную блокировку OVH и DigitalOcean, но пока что склоняюсь, что это динамическая блокировка на что-то сработала, ибо держалась она минут 10-20 примерно, потом прошло, потом через какое-то время снова на неё попал, и снова прошло
как будто выкатили новую версию сиб блока, которая активируется только после триггера, теперь блочится весь https независимо от фингерпринта, но иногда запросы проскакивают, короче пока плохо тестил, позже буду, проверял на fornex
Не, мне показалось, это не сиб блок, а просто триггер блок который блочит хттпс. Видимо балансировка тспу давала такой эффект. Как минимум fornex теперь в ненадёжных хостерах
