Не открываются некоторые сайты за Cloudflare CDN

Здравствуйте. Не открываются сайты, использующие IP-адреса 188.114.97.2, 188.114.96.2, принадлижащие Cloudflare.
Проблема выявлена на провайдере с ТСПУ.

Полагаю, что речь о Билайне, а не о всех провайдерах с ТСПУ? Если это так, то, возможно, это утечка заблокированных маршрутов через внутренний BGP-пиринг Билайна, разбираюсь.

Эта проблема есть в том числе на Ростелекоме. И https://globalcheck.net/ показывает интересные результаты…

Проблемы есть только при подключениях на порт TCP 443, проявляются на Билайн, МТС, МГТС, Ростелеком, Эр-Телеком, НетБайНет.
Порт 80 при этом доступен.

Что-то не пойму: начали блокировать 443 порт?

Сегодня к нам в ТП хостинг-провайдера тоже писал один из клиентов по поводу того что с его виртуалки не открываются пару сайтов за CF, у которых тоже как раз резолвится 188.114.97.2.
В трассировке примерно следующее:

2 195.16.117.162 (195.16.117.162) 3.531 ms 3.523 ms 3.593 ms
3 * * *
4 * * *
5 * * *
6 31.173.167.110 (31.173.167.110) 2.468 ms 2.532 ms 2.558 ms
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 188.114.97.2 (188.114.97.2) 4.825 ms * *

Cloudflare принимает соединения на практически любой IP-адрес, поэтому есть трюк: прописать в hosts запись с работающим IP-адресом для определённого домена. Пример:

104.16.132.0 something.com

Нет. Блокируют 443 порт только для этих IP-адресов - 188.114.97.2, 188.114.96.2.

188.114.96.7 еще, как минимум.

Блокировки IP-адресов 188.114.97.2, 188.114.96.2, 188.114.96.7 затрагивают десятки тысяч веб-сайтов. Зачем РКН начал блокировать эти IP? Совершенно идиотское решение.

У меня проблема точно такая же для ip 104.21.34.117

Домен pikabu.ru резолвится в 188.114.96.2, 188.114.97.2, 188.114.96.7, 188.114.97.7 с части резолверов, в частности, через 8.8.8.8/8.8.4.4.

Интересно, что 188.114.96.2, 188.114.97.2 вообще не отвечают на TCP SYN, а к 188.114.96.7, 188.114.97.7 соединение устанавливается, но «зависает» после ClientHello, независимо от SNI.

https://pikabu.ru/story/pikabu_nedostupen_cherez_megafon_9027618
https://pikabu.ru/story/sayt_pikabu_ne_otkryivaetsya_esli_propisanyi_google_dns_15_aprelya_2022_9026178
https://pikabu.ru/story/pikabu_ne_rabotaet_bez_vpn_9027500

https://pikabu.ru/community/bugreports

Еще интересное наблюдение, никто об этом вроде не писал.
У меня есть несколько сайтов за CF, каким-то повезло, каким-то не очень.
Йота и Мегафон часть айпишников заблокировали, а у части включили замедление трафика, но очень странным образом.
Дело вот в чем:

nslookup stikot.tk
Addresses:  
          172.67.218.192
          104.21.35.109

Тестовая картинка на 200 килобайт: https://stikot.tk/test.png
Если запрос идет на 104.21.35.109, то картинка загружается за 600-700 мс, все ок.

Если же выбирается айпишник 172.67.218.192, то скорость режется почти до нуля, та же самая картинка загружается за 30 секунд, а то и больше (47 секунд в конкретном примере).

Есть сайт, на котором оба айпишника под замедлением, там все очень печально. Хотя МТС, например, либо не замедляет вообще, либо ставит больше полосу пропускания, и это не так заметно.

Но что еще интереснее, если обратиться к api.pikabu.ru, то замедления не будет даже при отправке запроса на проблемный айпи с примерно эквивалентным по размеру телом ответа:

Мой сайт точно не мог попасть в какой-то черный список РКН, использую его исключительно для своих нужд. Получается, РКН наоборот сделал белый список? Или дело в роутинге внутри CF, даже несмотря на одинаковый внешний айпишник? Вопросов больше, чем ответов, но может кого-то это натолкнет на мысль.
В поддержке Йоты сказали, что они действительно блокируют Cloudflare по требованию регулятора, назвать основания и прояснить загадку с Пикабу отказались, отправив на три буквы (РКН).

Возможно они пытаются заблокировать какое-то приложение которое использует конкретно эти ip

Думали на Панораму, но похоже, с казино борются:

ФНС 2-6-20/2017-08-30-535-АИ

У меня внезапно плашка с блокировкой РТ начала вылезать на rutracker.org, хотя остальные сайты спокойно открываются.

Да как вам сказать … Самым простым решением проблемы для меня оказалось смена гугловских днс’ов на днс’ы cloudflare (или любые иные хоть сколько-нибудь не связанные с гуглом). Возможно в этом и была задумка. Побудить пользователей/админов слезть с гугловских днс’ов. По крайней мере всё то, что отвалилось у меня на Ростелекоме при использовании гуглоднс’ов вновь заработало при учёте использования GDPI (pikabu.ru, www.lostfilm.tv и их смежный сервер n.tracktor.site, на котором висят их торрент-файлы и т.д.)

Вот ещё пара тредов с пикабу по этой проблеме на вскидку :slight_smile:

https://pikabu.ru/story/otvalilsya_dostup_k_pikabu_iz_rf_est_eshchyo_kto_s_podobnoy_problemoy__9028543

Сайт Pikabu не открывается если прописаны google dns (15 апреля 2022) | Пикабу

Не заметил что не те DNS прилетели мне в VPN.
Да, как пишут выше в Google DNS прилетают проблемные айпи, с корневых DNS (и видимо 1.1.1.1) прилетают уже другие.

Вряд ли это было сделано для того, чтобы побудить пользователей/админов слезть с Google DNS. Скорее всего, более правдодообный вариант - РКН пытался таким образом заблокировать какое-то приложение, которое обращается к этим IP. Возможно они не нашли доменное имя, использующеся в приложении и решили тупо заблокировать IP-адреса.