#12

Here is my attempt to summarize the information in this thread so far. Is my interpretation correct?

  • The DNS over HTTPS servers of Google (dns.google), OpenDNS (doh.opendns.com), and Cloudflare (1.1.1.1) have been blocked by some ISPs at some times.

  • Blocking is by TCP RST after the ClientHello.

  • A connection to the same IP address but with a different SNI does not get RST.

  • Tests from ping-admin.ru show that the IP address of the DoH servers are resolved correctly, but the subsequent TLS connections time out.

    Операция препвана, т.к. сервис не ответил в течение 8 секунд. Обращение производилось к IP: 8.8.8.8.
    Попробйте выполнить проверку ещё раз. Возможно, это временная проблема и при цледующей проверке её уже не будет.

    Operation aborted, because the service did not respond within 8 seconds. The connection was made to the IP: 8.8.8.8.
    Try to run the test again. Maybe it is a temporary problem and will not happen next time.

  • Other DNS over HTTPS servers (AdGuard, 9.9.9.9) do not get RST.

  • DNS over TLS connections to the same servers do not get RST. Update 2021-09-08: now they do: 1, 2.

  • On 2021-09-03, some ISPs that were blocking dns.google in the morning stopped blocking it in the evening.

  • There is a letter (actually more than one) circulating on Telegram that says Roskomnadzor plans to block exactly these three DNS servers (Google, OpenDNS, Cloudflare).

2021-08-03 2021-09-03 morning 2021-09-03 morning 2021-09-03 evening 2021-09-03 evening 2021-09-03 evening 2021-09-07 2021-09-07 2021-09-07
google google opendns google opendns 1.1.1.1 google opendns 1.1.1.1
Rostelecom ? BLOCKED ? ? ? ? ? ? ? ?
Tele2 Volgograd ? RST ? ok ? ? ? ? ?
Tele2 Moscow ? RST ? ok ? ? ? ? ?
Beeline Yaroslavl ? RST ? ok ? ? ? ? ?
MTS Yaroslavl ? ok ? ? ? ? ? ? ?
Rostelecom St. Petersburg ? ok ? ? ? ? ? ? ?
OBIT St. Petersburg ? ok ? ? ? ? ? ? ?
? ? ? ? RST ? ? ? ? ? ?
CityLink Petrozavodsk ? ? ? RST RST RST ? ? ?
Beeline Vladimir ? ? ? ? ? ? RST RST RST
Beeline Moscow ? ? ? ? ? ? RST RST RST

@Petro: I haven’t seen the letter in Блокировка DoH сервера dns.google - #10 by Petro before. Where did it come from? Is there a date attached to the letter?

#13
#14

Нижняя часть письма:

photo_2021-09-07_17-44-08
photo_2021-09-07_17-44-081280×585 185 KB

Источник: Telegram: Contact @usher2

#16

Красноярск, Дом.ру, 0 проблем.

У кого есть проблемы, тыкните dig a ya.ru @1.1.1.1 и dig a ya.ru @8.8.8.8, что выдаст?

#17

Добавляют, что для windows nslookup ya.ru 1.1.1.1 и nslookup ya.ru 8.8.8.8

#18

Подскажите как обходить блокировки doh и какой DoH, какой сервак советуете лучше использовать?
Также подскажите как обходить блокировки торрентов через DPI просто непонятен механизм их блокировки как выяснить этот механизм? Кто-то блочит весь p2p, кто-то только пакеты с определенными сигнатурами и размером пакета

#19

Для статистики, результаты попыток tls-соединения к IP 8.8.8.8:443 со SNI dns.google:
Зонды по Москве и Московской области: Atlas Console
Какие-то аномальные волнообразные ошибки подключения.

Зонды со всей России: Atlas Console

#20

Пропускать трафик к этим серверам через туннель (прокси с шифрованием или - желательно - VPN)

Если не проксировать\туннелировать трафик к серверам DoH, то пока не было жалоб на серверы Quad9 (9.9.9.9) и AdGuard.

#21

Вчера проверяли. Таймауты.

nslookup ya.ru 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 8.8.8.8

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.

И, кстати, с сегодняшнего дня не работает на Билайне и DoT

dns.google
1dot1dot1dot1.cloudflare-dns.com

Ресолвинг имен с помощью 8.8.8.8 по обычному протоколу без шифрования выполняется, но (здесь я пока не могу, к сожалению, проверить сейчас), скорее всего, эти запросы перенаправляются на ресолвер оператора.

Wireshark при обращении к https://dns.google показывает это:

temp
temp1169×137 64.4 KB

#23

I don’t understand. The nslookup output shows a timeout of a plaintext UDP DNS query to 8.8.8.8, but you also say that names are resolving from 8.8.8.8 using the usual protocol without encryption. Are you saying that the blocking of plaintext UDP DNS to 8.8.8.8 was different at different times?

#24

I don’t understand. The nslookup output shows a timeout of a plaintext UDP DNS query to 8.8.8.8, but you also say that names are resolving from 8.8.8.8 using the usual protocol without encryption. Are you saying that the blocking of plaintext UDP DNS to 8.8.8.8 was different at different times?

These nslookup requests were made yesterday. And there were timeouts. Probably Google DNS was blocked completely. Now there is no such problem, answers from 8.8.8.8:53 have been received. But at the same time Google DoH and DoT aren’t available, the connection drops. I think, the ‘TSPU’ was set up ‘properly’.

And now there are problems with Google DoH and DoT on MTS (Moscow) and MegaFon (Samara). These complaints appeared in telegram chats. They write the problems are the same - TCP RST.

О проблемах на МТС (Москва) и Мегафоне (Самара) написали в одном из телеграм-чатов. Со временем, думаю, это распространится на всех операторов с ТСПУ без исключения…

#25

СПб, Skynet.
На роутере настроены DOH сервера. За сегодняшний вечер два раза падал DNS, роутер сыпал ошибками

image
image420×910 108 KB

Не уверен что проблема именно в блокировке dns, но смущает ошибка проверки сертификата

#26

И так, Красноярск, Дом.Ру, теперь у меня отвалились https://1.1.1.1 и https://dns.google

Но обычные их варианты на 53 порту - работают отлично :thinking:

Так же проблем не наблюдается на местной йоте

#27

23 posts were split to a new topic: Обсуждение из «Блокировка DoH сервера dns.google»

#28

Проседания по ДНСам пошли https://globalcheck.net/en/monitoring/ru

#30

СПб, Мегафон. Блокируется https://dns.google, https://1.1.1.1 и https://doh.opendns.com

#31

@ValdikSS раньше возможности проверить блоки еще раз не было, зашел сюда только сейчас. Провел тесты на тех же своих операторах. Итого: дом.ру-все норм, но тут 100 процентов нет ТСПУ. Гораздо хуже с теле2. Лежат почти все популярные DoH: cloudflare, google, opendns. Кратко говоря, пипец начался…

Сразу такой вопрос: как будем обходить блоки doh? Для своей проги, которой dns нужна для нормальной работы, т.к. она http прокси, я придумал следующее: все запросы к doh выполняются с применением тактик обхода блокировок, плюс, если будут подменять обычные dns запросы (нужны хоть чтобы узнать адрес doh), надо дать возможность в настройках проги вручную прописать ip адрес doh сервера. Пока такой вариант мне кажется самым логичным. Может можно еще придумать что-то бессерверное?

Обсуждение из «Блокировка DoH сервера dns.google»
#35

Что интересно, dns.google.com у меня не блокируется, только dns.google

#46

dns.google.com is not actually a DoH server, unlike dns.google. The change happened in 2019, I believe.

dns.google:

$ printf '\x12\x34\x01\x00\x00\x01\x00\x00\x00\x00\x00\x00\x03www\x07example\x03com\x00\x00\x01\x00\x01' \
  | curl -H 'Content-Type: application/dns-message' -H 'Accept: application/dns-message' --data-binary '@/dev/stdin' --silent https://dns.google/dns-query \
  | xxd
00000000: 1234 8180 0001 0001 0000 0000 0377 7777  .4...........www
00000010: 0765 7861 6d70 6c65 0363 6f6d 0000 0100  .example.com....
00000020: 01c0 0c00 0100 0100 0007 b100 045d b8d8  .............]..
00000030: 22                                       "

dns.google.com:

$ printf '\x12\x34\x01\x00\x00\x01\x00\x00\x00\x00\x00\x00\x03www\x07example\x03com\x00\x00\x01\x00\x01' \
  | curl -H 'Content-Type: application/dns-message' -H 'Accept: application/dns-message' --data-binary '@/dev/stdin' https://dns.google.com/dns-query
...
  <title>Error 404 (Not Found)!!1</title>
#47

Теперь все снова работает. Домру, Красноярск