Недоступность Hetzner

Интересное наблюдение, маленький Питерский провайдер at-home, подсеть hetzner’a недоступна с телефона и linux’a, но всё работало на windows.
Посмотрев в wireshark’e оказалось, что дело в TTL, значения по умолчанию в

  • windows 128
  • linux/android 64

Выставил на роутере 127 - всё снова работает.

Провёл эксперимент: добавил на 10 минут правила, блокирующие все исходящие подключения в сторону провайдера (таблицы OUTPUT и FORWARD). PPPOE Подключение к провайдеру не разрывал. После этого archlinux.org стал доступен.

Ну, что-то мне не нравится вот это дернул кабель на 15 минут,заблокировал соединения и т.д. Нам\Вам\Всем работать надо, а если дергать, блокировать, то интернета не будет.

В общем я покопался в wireshark и кажется я изолировал один из запросов который блокирует мне Hetzner. Вот он:


Для тех кому плохо видно, это подключение к ip 185.76.9.27 по tls с sni= www.phpmyadmin.net

Перед проверкой доступ к Hetzner у меня работал в норме, далее я открываю firefox ввожу www.phpmyadmin.net в адресную строку, сайт открывается, БАМ!, через секудну доступ к Hetzner пропадает.

Самое интересное, что даже после блокировки Hetzner сайт phpmyadmin работает нормально.
Кто-нибудь знает кстати зачем Tor туда подключается, что это за механизм?

del

Этот адрес не принадлежит домену.

Очевидно маскируется под обычный HTTPS трафик для обхода блокировок. По типу того же Xray/VLESS.

У меня просто заход на сайт не спровоцировал блокировку.

Странно, проверил через несколько ДНСсов. Все ip что выдаются, принадлежат CDN77, и никакого упоминания о hetzner во whois.
Но если смотреть на 2ip, то он выдает адрес 94.130.222.149, который принадлежит hetzner. Этот адрес в вашем дампе не проскакивал?

Разве?
image

Я имел в виду поконкретнее, Tor Browser это у меня делает, а просто системный tor нет, к тому же браузер это делает только через секунд 20, может быть после неуспешных попыток напрямую?

Вроде похожих нет.

Пойду что ли еще рас попробую с открытием вкадки браузера с phpmyadmin, только вот ждать 15 минут без интернета опять.

Хм, интересная ситуация. Похоже выдача от резолвера зависит.

$ dig +short www.phpmyadmin.net @8.8.8.8
1115546720.rsc.cdn77.org.
212.102.56.179
195.181.170.18
207.211.211.26
195.181.175.40
37.19.194.80
169.150.255.181
169.150.255.184
$ dig +short www.phpmyadmin.net @1.1.1.1
1115546720.rsc.cdn77.org.
185.76.9.27
185.76.9.12

Забавный факт: www.phpmyadmin.net и phpmyadmin.net резовлятся в абсолютно разные адреса.

$ dig +short phpmyadmin.net         
94.130.222.149

Все резолверы согласны с этим. И вот при заходе уже на него, у меня интернет теперь отлетел в блок.

То есть вы подтвержаете мои наблюдения? У вас тоже самое поведение?

При заходе именно на phpmyadmin.net (без www), который резолвится на 94.130.222.149, похоже что да.

www.phpmyadmin.net на Datacamp (у него динамичные IP), а phpmyadmin.net на Hetzner (94.130.222.149).
Говорите только Tor браузер туда лезет, не консольный tor сам по себе? Tor браузер сто лет уже не запускал, консольный tor есть (тоже редко запускаю). А блок Hetzner был неоднократно. Значит, есть ещё какой-то триггер.

Может, phpmyadmin.net есть на каких-то сайтах в виде ресурсов?

у меня они попадаются но при второй попытки достучаться становятся доступными.

Спойлер

01.12.2024 18:48:06 : r11.o.lencr.org : profile 4 : client 192.168.1.8:62170 : proto http : retrans threshold reached
01.12.2024 18:48:06 : r11.o.lencr.org : profile 4 : client 192.168.1.8:62170 : proto http : fail counter 1/3
01.12.2024 18:48:06 : o.pki.goog : profile 4 : client 192.168.1.8:62172 : proto http : retrans threshold reached
01.12.2024 18:48:06 : o.pki.goog : profile 4 : client 192.168.1.8:62172 : proto http : fail counter 1/3
01.12.2024 18:48:06 : ocsp.digicert.com : profile 4 : client 192.168.1.8:62173 : proto http : retrans threshold reached
01.12.2024 18:48:06 : ocsp.digicert.com : profile 4 : client 192.168.1.8:62173 : proto http : fail counter 1/3

зашел по ссылке → мгновенный блок , тоже самое


изображение
изображение

Вот только при чем тут hetzner когда это cdn77? Где связь?

кто бы знал еще, самое забавное , что да, сам phpmyadmin прекрасно работает. Но у меня похоже триггерило что-то другое, может еще какие то такие же сайты есть.
Я проверил с друзьями , у которых все прекрасно открывалось всегда и все сайты хетзнера работали, они зашли на phpmyadmin и бах, у них ничего не открывается теперь ))

Домашний Билайн, смена TTL тоже помогла. Работает.

У меня никакого Tor нет, однако все равно тормозят и Hetzner, и PQ hosting. Так и не понимаю, почему периодически оба впн летают, а иногда нет. Что-то триггерит ТСПУ…

wireguard based vpn юзаете?

Нет, только xray с реалити