Недоступность Hetzner

Постоянно крч стало блочить к ovh, даже не пойму, что триггерит.

Будут идеи, что смотреть? Почти по 8-10 часов в блоке ип тупо и все, идут ток icmp.

Фигня конечно.

Пров видит, что не идет, но заявки закрывает и говорит обсуждать с хостером.
Хостер конечно же говорит у него все ок.

Вы не тем жалуетесь.

создают заявку. появится инфа - перезвоним. месяц тишины и тикет списывается в утиль.
3накомый их доколебал. сказали - хотите идите в другой провайдер, но там не лучше.

Что можно сделать им из вредности. Загрузить полосу на 100% 24/7 на зарубежку, в /dev/null.

Опять поговорили 9 минут в Linphone (без шифрования) через Proton VPN (я) - 176.31.149.179 (OVH) - Ростелеком и Ростелеком меня перестал слышать (я слышу). Пришлось перезвонить. Т.е. входящие от OVH на Ростелекоме отрубились (но не исходящие!). Я говорю Роскомнадзор нас разъединил. Уже и телефония страдает от этих блокировок. До проблем с Hetzner такого не было.

Битрейт opus 64+64 или 64+32, если дело в трафике. Т.е. около 10 мб должно было передаться.

Не обязательно, может сбойное оборудование например.

Не, слышимость вообще пропала в одну сторону. А до заварухи с Hetzner такого не было.
К 3% opus должен быть устойчив.
Может, тут ещё и блок webrtc.

Когда-то давно на ICQ (с нешифрованным webrtc) связь разрывалась, если горячие темы затронуть, вроде. Сейчас попробовал для интереса шифрование тоже отключить и вот 9 минут продержалось. А с шифрованием вроде больше.

Я правильно понял, что речь о VoIP сервисе? Отчётливо помню, что наезд на всё что с этим связано был еще летом, например. (Имхо лучше отдельные темы заводить для такого или в какую-то более релевантную, все же с Hetzner связь сомнительная.)

Интернет телефония, да. Связь с Hetzner отчётлива, т.к. раньше сбоев не было.
Но да, это немного другое. Блок не полный, только входящие пакеты рубятся.

очень может быть связано кстати. вся заваруха с хетзнер разве не началась от курлирования фронта тора? webrtc тут тоже при делах в таком случае. видно у ркн реально подгорело со сноуфлейка

1 Like

Похоже на жесткую фильтрацию трафика в сторону некоторых провайдеров (Hetzner, OVH, Scaleway ?). Я в соседней теме уже упоминала про блокировку SSH-соединений при авторизации по ключу. А на днях обнаружила еще одну блокировку - не работает iperf3. Это просто измеритель скорости интернета, если что. Так вот, если сервер в OVH - происходит подключение к серверу и на этом все зависает. Данные не передаются. Через VPN, разумеется, все работает,

У меня есть подозрение на неправильно настроенный MTU сетевого интерфейса, ключи и iperf3 посылают длинный пакет который дропается. Мне иногда приходится двоичным поиском подбирать рабочее значение MTU, когда на дефолтных такое явление внезапно происходит (был случай когда дроп больших пакетов происходил редко, соединение статтерилось, уменьшил MTU и заработало нормально). А VPN MTU подрезает и соединение работает.

UPD:
Система строит PMTU на основе ответов ICMP Frag needed (в виндовсе можно посмотреть кэш командой netsh interface ipv4 show destinationcache), но когда эти пакеты обрезаются, то PMTUD ломается, а работать со статистикой дропов разных длин пакетов ОС пока не умеют и приходится чинить вручную.

Да можно, конечно. но с другой стороны всем логически понятно, что районному мелкому провайдеру в здравом уме нет смысла блокировать доступ к арчлинуксу\кде\винрару итд.
Хотя, сегодняшний их звонок меня просто добил. говорят “передали, что с нашей сторы блоков нет, а вас наверное по мак-адресу там везде забанили for some reasons”
Даже сразу и не сообразишь что на подобную тупость отвечать

передали, что с нашей сторы блоков нет, а вас наверное по мак-адресу там везде забанили for some reasons

Спросил у ChatGPT могут ли сайты видеть MAC адрес. Вроде бы нет. А вот провайдер мог передать эту информацию ТСПУ и ТСПУ забанил. Может быть ответ техподдержки это завуалированный coming out?

Про MAC:

Могут ли сайты видеть MAC адрес сетевой карты или его видит только ISP (провайдер интернета)?

ChatGPT said:

Сайты не могут видеть ваш MAC-адрес, поскольку он используется только на канальном уровне (Layer 2 модели OSI) для связи внутри локальной сети. Когда ваши данные покидают локальную сеть и идут в интернет, ваш MAC-адрес не передается. Вместо этого данные инкапсулируются в IP-пакеты, которые содержат ваш внешний IP-адрес.

Кто может видеть ваш MAC-адрес:

  1. Ваш компьютер и устройства в локальной сети: Например, ваш роутер, коммутатор или другие устройства в той же сети могут видеть MAC-адрес вашей сетевой карты.
  2. Ваш интернет-провайдер (ISP): MAC-адрес устройства, подключенного к их оборудованию (например, модему или роутеру), может быть доступен провайдеру. Это часто используется для идентификации устройств.

Кто не может видеть ваш MAC-адрес:

  1. Сайты и онлайн-сервисы: Они получают только ваш внешний IP-адрес (или IP-адрес VPN, если вы его используете). MAC-адрес остается скрытым, так как он не выходит за пределы вашей локальной сети.

Исключения:

  • Если вы используете WebRTC (например, для видеозвонков), некоторые настройки или уязвимости могут позволить утечку информации о локальной сети, но даже в этом случае утечка MAC-адреса крайне маловероятна.
  • Вредоносное ПО или специфическое программное обеспечение может получить ваш MAC-адрес локально и передать его третьим лицам, но это уже вопрос безопасности вашего устройства.

Через устаревший EUI-64 механизм формирования адреса IPv6 в SLAAC можно увидеть, но современные реализации уже лет как десять должны поддерживать секурный вариант.

На мобильном билайне в Ростовской области вернулся доступ к Hetzner, отсутствовал с 18 ноября.

Да, похоже этот динамический блок сняли, сейчас у меня вход на phpmyadmin и включение различных детектируемых протоколов VPN (тестирую wireguard, openvpn и IPsec) больше не приводит к отвалу Хецнера.

Видимо не у меня, больше недели блокировки Hetzner не было, решил проверить зайдя на phpmyadmin и она вернулась.

Немного поофтоплю ещё про webrtc, раз мы здесь эту тему обсуждали. В этот раз оба контакта использовали VPN:
Proton AWG на линуксе - Linphone звонилка (OVH UDP) - WARP AWG на планшете
и связь всё равно через 4 минуты пропала. В этот раз слышимости не стало в обе стороны. Хотя, звонок держался.
Значит, если предположить, что WARP (в виде AmneziaWG) проксирует и UDP, а я думаю проксирует, то дело не в РКН, а в Linphone.
Правда, странно, что раньше проблем не было.
Единственное, что WARP выходит в Санкт-Петербурге, в рунет вроде как, хоть и в довольно чистый. Разве что webrtc рубят даже на серверном интернете / пограничных каналах. Но это уж слишком притянуто за уши. Странно, в общем.

Две теории:

  1. Проблема в Linphone
  2. Всё-таки что-то в RU или посередине

А может быть банально энергосбережение на планшете какое-нибудь, а я голову ломаю. Или это вторая проблема, до кучи. Ведь может быть несколько проблем. Но когда я раньше слышал человека на планшете, а он меня нет, это же не могло быть из-за энергосбережения.

Приветствую, сегодня на провайдере Уфанет в Республике Башкортостан перестало подключаться к Hetzner’у. Через мобильный МТС всё работает, как и через VPN.

Сегодня наткнулся на эту тему. У меня подобный бан на Хецнер наблюдается с 12 декабря на провайдере Дом ру. Уже изучил вопрос, симптомы такие, относятся ко всем серверам Хецнера:

  1. Пингуется нормально
  2. traceroute --icmp hetzner.de трассирует через ping-запросы корректно
  3. traceroute hetzner.de показывает только первый хоп до роутера и далее * * *
  4. wget hetzner.de зависает на этапе Connecting to hetzner.de (hetzner.de)|213.133.116.44|:80...
  5. Недоступны никакие порты, включая 22, 80 443, естественно в бразузере не открывается hetzner.de (и все прочие сайты на хецнере).

Теперь имеем второй договор того же Дом ру в том же городе. Там всё работает, включая traceroute через UDP, где второй хоп тоже выдаёт * * * но далее все ок. Естественно всё открывается и работает.

И всё указывает на неправильно сконфигурированный провайдерский свитч, который виден в трассировке по ICMP на втором прыжке.

Казалось бы, виновник найден, нужно довести данную информацию до дом ру и они починят, думал я.

Как же я ошибался. Более конченной технической поддержки мне встречать не приходилось. После долгих кругов по их дебильному чату с вопросами типа пробовал ли я выключить и включить роутер мне даже удалось в какой-то момент дойти до специалиста, который дал ссылку на страницу проверки коннекта, которая естественно ничего не показала, даже подключал компьютер нарпямую к кабелю без роутера, с тем же результатам.

Не уверен, что железобетонные аргументы с traceroute его в чём-то убедили, но в итоге он уверил, что назначат мастера и он позвонит. Через несколько дней мастер так и не нарисовался, но в чате уже значилась, что по адресу будет проводиться удалённая диагностика без визита.

Все просьбы просто выслать техника всячески пресекались, с совершенно замечательным аргументом: что на своей стороне они проблем не видят, что мне нужно по этому поводу общаться с (!) Хецнером, и что визит мастера ничего не изменит (!!!). Впрочем с последним спорить наверное не стоит - действительно может ничего не изменить.

Когда я сказал, что сам как-нибудь решу, изменит что-то визит или не изменит, что мне просто нужно назначить визит иначе я всерьёз задумываюсь поменять провайдера, на это был дан замечательный клиентоориентированный ответ:

Благодарю за ожидание,уточнила информацию, к сожалению, визит техника не исправит ситуацию, так как с нашей стороны ограничения по предоставлению доступа к сайтам нет.
Для дальнейшей консультации по вопросу расторжения договора, я переведу чат на старшего специалиста. Не закрывайте, пожалуйста, чат

Т.е. настолько отбитых скриптов общения нужно подыскать, типа “ну и валите пожалуйста, сейчас переведу на специалиста по этому вопросу”.

Ну тогда, пологаю, меня бы на тспу по маку для всего блэклиста ркн забанили бы… твиттер итд это всё

Кстати в субботу вечером всё открывалось часа два. (после решения посмотреть жив ли тор с его мостами у меня на провайдере)
На утро и до сих пор уже ничего не открывается. и тор никак не влияет. не знаю что там триггерит блок\анблок