Здравствуйте. Не открываются сайты, использующие IP-адреса 188.114.97.2, 188.114.96.2, принадлижащие Cloudflare.
Проблема выявлена на провайдере с ТСПУ.
Полагаю, что речь о Билайне, а не о всех провайдерах с ТСПУ? Если это так, то, возможно, это утечка заблокированных маршрутов через внутренний BGP-пиринг Билайна, разбираюсь.
Эта проблема есть в том числе на Ростелекоме. И https://globalcheck.net/ показывает интересные результаты…
Проблемы есть только при подключениях на порт TCP 443, проявляются на Билайн, МТС, МГТС, Ростелеком, Эр-Телеком, НетБайНет.
Порт 80 при этом доступен.
Что-то не пойму: начали блокировать 443 порт?
Сегодня к нам в ТП хостинг-провайдера тоже писал один из клиентов по поводу того что с его виртуалки не открываются пару сайтов за CF, у которых тоже как раз резолвится 188.114.97.2.
В трассировке примерно следующее:
2 195.16.117.162 (195.16.117.162) 3.531 ms 3.523 ms 3.593 ms
3 * * *
4 * * *
5 * * *
6 31.173.167.110 (31.173.167.110) 2.468 ms 2.532 ms 2.558 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 188.114.97.2 (188.114.97.2) 4.825 ms * *
Cloudflare принимает соединения на практически любой IP-адрес, поэтому есть трюк: прописать в hosts запись с работающим IP-адресом для определённого домена. Пример:
104.16.132.0 something.com
Нет. Блокируют 443 порт только для этих IP-адресов - 188.114.97.2, 188.114.96.2.
188.114.96.7 еще, как минимум.
Блокировки IP-адресов 188.114.97.2, 188.114.96.2, 188.114.96.7 затрагивают десятки тысяч веб-сайтов. Зачем РКН начал блокировать эти IP? Совершенно идиотское решение.
У меня проблема точно такая же для ip 104.21.34.117
Домен pikabu.ru резолвится в 188.114.96.2
, 188.114.97.2
, 188.114.96.7
, 188.114.97.7
с части резолверов, в частности, через 8.8.8.8/8.8.4.4.
Интересно, что 188.114.96.2
, 188.114.97.2
вообще не отвечают на TCP SYN, а к 188.114.96.7
, 188.114.97.7
соединение устанавливается, но «зависает» после ClientHello, независимо от SNI.
https://pikabu.ru/story/pikabu_nedostupen_cherez_megafon_9027618
https://pikabu.ru/story/sayt_pikabu_ne_otkryivaetsya_esli_propisanyi_google_dns_15_aprelya_2022_9026178
https://pikabu.ru/story/pikabu_ne_rabotaet_bez_vpn_9027500
Еще интересное наблюдение, никто об этом вроде не писал.
У меня есть несколько сайтов за CF, каким-то повезло, каким-то не очень.
Йота и Мегафон часть айпишников заблокировали, а у части включили замедление трафика, но очень странным образом.
Дело вот в чем:
nslookup stikot.tk
Addresses:
172.67.218.192
104.21.35.109
Тестовая картинка на 200 килобайт: https://stikot.tk/test.png
Если запрос идет на 104.21.35.109, то картинка загружается за 600-700 мс, все ок.
Если же выбирается айпишник 172.67.218.192, то скорость режется почти до нуля, та же самая картинка загружается за 30 секунд, а то и больше (47 секунд в конкретном примере).
Есть сайт, на котором оба айпишника под замедлением, там все очень печально. Хотя МТС, например, либо не замедляет вообще, либо ставит больше полосу пропускания, и это не так заметно.
Но что еще интереснее, если обратиться к api.pikabu.ru, то замедления не будет даже при отправке запроса на проблемный айпи с примерно эквивалентным по размеру телом ответа:
Мой сайт точно не мог попасть в какой-то черный список РКН, использую его исключительно для своих нужд. Получается, РКН наоборот сделал белый список? Или дело в роутинге внутри CF, даже несмотря на одинаковый внешний айпишник? Вопросов больше, чем ответов, но может кого-то это натолкнет на мысль.
В поддержке Йоты сказали, что они действительно блокируют Cloudflare по требованию регулятора, назвать основания и прояснить загадку с Пикабу отказались, отправив на три буквы (РКН).
Возможно они пытаются заблокировать какое-то приложение которое использует конкретно эти ip
Думали на Панораму, но похоже, с казино борются:
ФНС 2-6-20/2017-08-30-535-АИ
У меня внезапно плашка с блокировкой РТ начала вылезать на rutracker.org, хотя остальные сайты спокойно открываются.
Да как вам сказать … Самым простым решением проблемы для меня оказалось смена гугловских днс’ов на днс’ы cloudflare (или любые иные хоть сколько-нибудь не связанные с гуглом). Возможно в этом и была задумка. Побудить пользователей/админов слезть с гугловских днс’ов. По крайней мере всё то, что отвалилось у меня на Ростелекоме при использовании гуглоднс’ов вновь заработало при учёте использования GDPI (pikabu.ru, www.lostfilm.tv и их смежный сервер n.tracktor.site, на котором висят их торрент-файлы и т.д.)
Вот ещё пара тредов с пикабу по этой проблеме на вскидку
Сайт Pikabu не открывается если прописаны google dns (15 апреля 2022) | Пикабу
Не заметил что не те DNS прилетели мне в VPN.
Да, как пишут выше в Google DNS прилетают проблемные айпи, с корневых DNS (и видимо 1.1.1.1) прилетают уже другие.
Вряд ли это было сделано для того, чтобы побудить пользователей/админов слезть с Google DNS. Скорее всего, более правдодообный вариант - РКН пытался таким образом заблокировать какое-то приложение, которое обращается к этим IP. Возможно они не нашли доменное имя, использующеся в приложении и решили тупо заблокировать IP-адреса.