Блокировка DoH сервера dns.google

В Петербурге с Ростелекома и OBIT (на нём точно установлен ТСПУ) dns.google открывается.
Обращаю внимание, что dns.google отзывается только по HTTPS. На HTTP порт не прослушивается.

@darkk, @Vladislav_Z, проверьте у себя.

Я не дурак и понимаю, что он работает по https. Сейчас я проверил, блокировка пропала, но! Я проверял и блокировка точно была, хотя не у всех. Я опросил еще пару человек в других городах, там это то же было. Проверял через подмену curl’ем sni. С подменой - ок, без - сброс при clienthello. Плюс один человек сообщил, что не работает doh.opendns.com
Самое интересное, что пока я писал это сообщение, мне отписался еще один человек на Теле2 и в данный момент у него не работает, а у меня работает (Проверено через браузер и curl). То есть есть ощущение, что кто-то вручную подключается к тспу и тестирует их по-одному. У себя заметил в 13:50 где-то

В расширении «Обход блокировок Рунета» используется Google DNS, пользователь 03.08.2021 сообщал, что у него он недоступен.
Провайдер пользователя — Ростелеком (регион не знаю).

Один человек(теле2, московский ip)прислал такое:
:~$ curl -i ‘https://dns.google/resolve?name=yandex.ru&type=a&do=1
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection to dns.google:443

Но при этом с подменой sni (видно, что сервер присылает сертификат)
curl --connect-to tspu.goodday:443:dns.google:443 https://tspu.goodday
curl: (60) SSL: no alternative certificate subject name matches target host name ‘tspu.goodday’
More details here: curl - SSL CA Certificates

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.

Да, ростелеком мне тоже сообщали. Больше всего tele2, там реально много (4 где-то человека), потом было сообщение о билайне

ТСПУшный Петрозаводск (Ситилинк)






С сегодняшнего вечера замечена блокировка DoH-серверов Google, Cloudflare и Cisco (OpenDNS) на сотовом Билайне (Владимирская область, Московская область). Соединение с dns.google, 1.1.1.1 и doh.opendns.com по 443 порту сбрасывается либо отваливается по таймауту. Достучаться до кого-то через обычную техническую поддержку в крупном операторе, разумеется, невозможно, в чате и колл-центре они лишь составили заявки, в ответ на которые, естественно, придет отписка или вообще ничего не придет.

Другие сервисы DoH (например, Adguard) доступны. DoT от Google и Cloudflare тоже доступен, работает. Хотя ранее, кстати, случались и периодические отвалы DoT (на сотовых операторах - Билайне и Мегафоне - во Владимирской и Московской областях).

На других сотовых операторах в том же регионе DoH от этих трех (Google, Cloudflare, Cisco) компаний функционирует нормально - соединение устанавливается, ресолвинг имен происходит.

Чудесным образом это сгармонировало с этим уже известным письмом, растиражированным множеством telegram-каналов:

Мне кажется весьма неприятной и опасной практика таких тихих и “экспериментальных” вне-реестровых блокировок в отдельных регионах и на отдельных операторах/провайдерах. Казалось бы, есть “правила игры” (ведомство и реестр, который оно ведет), ну и придерживайтесь его, намерены начать что-либо блокировать - сообщайте об этом. А вот такие тихие эксперименты - зло гораздо большее зло, чем блокировки и цензура сами по себе.

Transcribing the image for the benefit of screen readers and search engines:

В целях противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования Центром мониторинга и управления сетью связи общего пользования Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) планируется осуществление комплекса мер по ограничению доступа к ряду иностранных DNS-сервисов.

Перечень сервисов, к которым будут применяться ограничения по протоколам DNS DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT):

  • DNS-сервера Google (IP-адреса: 8.8.8.8, 8.8.4.4, dns.google);
  • DNS-сервера Cloudflare (IP-адреса: 1.1.1.1, 1.0.0.1);
  • сервис DoH Cisco (doh.opendns.com).

В целях исключения влияния на функционирование российских сервисов просим дать указание отраслевым организациям, входящих в контур Вашего управления, убедиться, что технологические сети, корпоративные сервисы и приложения не зависят от работы сервисов DNS, DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT) вышеперечисленных ресурсов и для гарантированной работы DNS-сервиса в срок до 9 сентября 2021 года (срок установлен Роскомнадзором) по возможности подключиться к DNS-сервисам российских

In order to counter threats to the sustainability, security and integrity of the Internet information and telecommunications network and public communication network on the territory of the Russian Federation, the Center for Monitoring and Control of Public Telecommunications Network of the Federal Service for Supervision of Communications, Information Technology and Mass Media (Roskomnadzor) plans to implement a set of measures to restrict access to a number of foreign DNS services.

The list of services, which will be restricted by DNS-over-HTTPS (DoH) and DNS-over-TLS (DoT) protocols:

  • Google DNS servers (IP addresses: 8.8.8.8, 8.8.4.4, dns.google);
  • Cloudflare DNS servers (IP addresses: 1.1.1.1, 1.0.0.1);
  • DoH Cisco service (doh.opendns.com).

In order to exclude any impact on the operation of Russian services, we kindly ask you to instruct sectoral organizations included in your control loop to make sure their technological networks, corporate services and applications do not depend on the functioning of DNS, DNS-over-HTTPS (DoH) and DNS-over-TLS (DoT) services of the above-listed resources and, in order to guarantee the functioning of DNS service, connect to Russian DNS services by September 9, 2021 (the deadline is set by Roskomnadzor) if possible

Перечень сервисов, к которым будут применяться ограничения по протоколам DNS, DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT):
DNS-серверы Google (IP-адреса: 8:8:8:8, 8:8:4:4, dns.google);
DNS-серверы Cloudflare (IP-адреса: 1:1:1:1, 1:0:0:1);
Сервис DoH (doh.opendns.com).

Прошу проверить, что технологические сети, корпоративные сервисы и приложения не зависят от работы DNS, DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT) перечисленных выше ресурсов.
Для гарантированной работы DNS-сервиса в срок до 09 сентября 2021г. необходимо подключиться к DNS-сервисам российских операторов связи или к Национальной системе доменных имён (НСДИ) по следующим IP-адресам: 195.208.6.1, 195.208.7.1, 2a0c:a9c7:a::1, 2a0c:a9c7:b::1.
Инструкция по подключению к НСДИ находится на Едином портале пользователей Центра мониторинга и управления сетью связи общего пользования (ЕПП ЦМУ ССОП) в разделе «Предоставление информации согласно приказам Роскомнадзора» по ссылке Единый портал пользователей.
По вопросам подключения просим при необходимости обращаться в круглосуточную дежурную смену ЦМУ ССОП по тел.: +7(495)748-13-18 или по электронной почте: ndr@noc.gov.ru. 2
Консолидированную информацию о проведении проверки DNS-сервисов и о наличии/отсутствии использования вышеуказанных иностранных DNS-сервисов в дивизионах/дирекциях прошу предоставить в электронном виде в срок до 20.09.2021

List of services to which DNS, DNS-over-HTTPS (DoH) and DNS-over-TLS (DoT) restrictions will apply:
Google DNS servers (IP addresses: 8:8:8:8, 8:8:4:4, dns.google);
Cloudflare DNS servers (IP addresses: 1:1:1:1:1, 1:0:0:1);
DoH service (doh.opendns.com).

Please verify that technology networks, corporate services, and applications are not dependent on the DNS, DNS-over-HTTPS (DoH) and DNS-over-TLS (DoT) resources listed above.
In order to guarantee DNS service operation it is necessary to connect to the DNS services of the Russian telecom operators or to the National Domain Name System (NSDI) by the following IP addresses by September 09, 2021: 195.208.6.1, 195.208.7.1, 2a0c:a9c7:a::1, 2a0c:a9c7:b::1.
Instructions on how to connect to NSDI can be found on the Single User Portal of the Public Switched Communications Network Monitoring and Control Center (EPP CMU SSOP) in the “Providing information according to Roskomnadzor orders” section at https://epp.noc.gov.ru/information.
If you have any questions regarding connection, please contact the 24/7 duty shift of the CMU SSOP by phone: +7(495)748-13-18 or by email: ndr@noc.gov.ru. 2
Please provide consolidated information about DNS checking and availability/absence of use of the above-mentioned foreign DNS services in divisions/directories in electronic form by 20.09.2021

Here is my attempt to summarize the information in this thread so far. Is my interpretation correct?

  • The DNS over HTTPS servers of Google (dns.google), OpenDNS (doh.opendns.com), and Cloudflare (1.1.1.1) have been blocked by some ISPs at some times.

  • Blocking is by TCP RST after the ClientHello.

  • A connection to the same IP address but with a different SNI does not get RST.

  • Tests from ping-admin.ru show that the IP address of the DoH servers are resolved correctly, but the subsequent TLS connections time out.

    Операция препвана, т.к. сервис не ответил в течение 8 секунд. Обращение производилось к IP: 8.8.8.8.
    Попробйте выполнить проверку ещё раз. Возможно, это временная проблема и при цледующей проверке её уже не будет.

    Operation aborted, because the service did not respond within 8 seconds. The connection was made to the IP: 8.8.8.8.
    Try to run the test again. Maybe it is a temporary problem and will not happen next time.

  • Other DNS over HTTPS servers (AdGuard, 9.9.9.9) do not get RST.

  • DNS over TLS connections to the same servers do not get RST. Update 2021-09-08: now they do: 1, 2.

  • On 2021-09-03, some ISPs that were blocking dns.google in the morning stopped blocking it in the evening.

  • There is a letter (actually more than one) circulating on Telegram that says Roskomnadzor plans to block exactly these three DNS servers (Google, OpenDNS, Cloudflare).

2021-08-03 2021-09-03 morning 2021-09-03 morning 2021-09-03 evening 2021-09-03 evening 2021-09-03 evening 2021-09-07 2021-09-07 2021-09-07
google google opendns google opendns 1.1.1.1 google opendns 1.1.1.1
Rostelecom ? BLOCKED ? ? ? ? ? ? ? ?
Tele2 Volgograd ? RST ? ok ? ? ? ? ?
Tele2 Moscow ? RST ? ok ? ? ? ? ?
Beeline Yaroslavl ? RST ? ok ? ? ? ? ?
MTS Yaroslavl ? ok ? ? ? ? ? ? ?
Rostelecom St. Petersburg ? ok ? ? ? ? ? ? ?
OBIT St. Petersburg ? ok ? ? ? ? ? ? ?
? ? ? ? RST ? ? ? ? ? ?
CityLink Petrozavodsk ? ? ? RST RST RST ? ? ?
Beeline Vladimir ? ? ? ? ? ? RST RST RST
Beeline Moscow ? ? ? ? ? ? RST RST RST

@Petro: I haven’t seen the letter in Блокировка DoH сервера dns.google - #10 by Petro before. Where did it come from? Is there a date attached to the letter?

Нижняя часть письма:

Источник: Telegram: Contact @usher2

Красноярск, Дом.ру, 0 проблем.

У кого есть проблемы, тыкните dig a ya.ru @1.1.1.1 и dig a ya.ru @8.8.8.8, что выдаст?

Добавляют, что для windows nslookup ya.ru 1.1.1.1 и nslookup ya.ru 8.8.8.8

Подскажите как обходить блокировки doh и какой DoH, какой сервак советуете лучше использовать?
Также подскажите как обходить блокировки торрентов через DPI просто непонятен механизм их блокировки как выяснить этот механизм? Кто-то блочит весь p2p, кто-то только пакеты с определенными сигнатурами и размером пакета

Для статистики, результаты попыток tls-соединения к IP 8.8.8.8:443 со SNI dns.google:
Зонды по Москве и Московской области: Atlas Console
Какие-то аномальные волнообразные ошибки подключения.

Зонды со всей России: Atlas Console

Пропускать трафик к этим серверам через туннель (прокси с шифрованием или - желательно - VPN)

Если не проксировать\туннелировать трафик к серверам DoH, то пока не было жалоб на серверы Quad9 (9.9.9.9) и AdGuard.

Вчера проверяли. Таймауты.

nslookup ya.ru 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 8.8.8.8

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.

И, кстати, с сегодняшнего дня не работает на Билайне и DoT

dns.google
1dot1dot1dot1.cloudflare-dns.com

Ресолвинг имен с помощью 8.8.8.8 по обычному протоколу без шифрования выполняется, но (здесь я пока не могу, к сожалению, проверить сейчас), скорее всего, эти запросы перенаправляются на ресолвер оператора.

Wireshark при обращении к https://dns.google показывает это:

I don’t understand. The nslookup output shows a timeout of a plaintext UDP DNS query to 8.8.8.8, but you also say that names are resolving from 8.8.8.8 using the usual protocol without encryption. Are you saying that the blocking of plaintext UDP DNS to 8.8.8.8 was different at different times?

I don’t understand. The nslookup output shows a timeout of a plaintext UDP DNS query to 8.8.8.8, but you also say that names are resolving from 8.8.8.8 using the usual protocol without encryption. Are you saying that the blocking of plaintext UDP DNS to 8.8.8.8 was different at different times?

These nslookup requests were made yesterday. And there were timeouts. Probably Google DNS was blocked completely. Now there is no such problem, answers from 8.8.8.8:53 have been received. But at the same time Google DoH and DoT aren’t available, the connection drops. I think, the ‘TSPU’ was set up ‘properly’.

And now there are problems with Google DoH and DoT on MTS (Moscow) and MegaFon (Samara). These complaints appeared in telegram chats. They write the problems are the same - TCP RST.

О проблемах на МТС (Москва) и Мегафоне (Самара) написали в одном из телеграм-чатов. Со временем, думаю, это распространится на всех операторов с ТСПУ без исключения…

СПб, Skynet.
На роутере настроены DOH сервера. За сегодняшний вечер два раза падал DNS, роутер сыпал ошибками

Не уверен что проблема именно в блокировке dns, но смущает ошибка проверки сертификата