Блокировка(?) IPsec и IKEv2 в РФ 29 мая 2022

Не понимаю почему здесь еще никто не создал эту тему.

29 мая начиная с 10.40 МСК Мегафон СПб не смог соединиться по l2tp ipsec с домашним сервером. Т.е блокировали соединения даже внутри РФ.
На сервере было видно что приходил запрос на соединение, но клиент не получал ответа.

Сомневаюсь что это случайность.

Статья на хабре: GlobalCheck фиксирует проблемы в некоторых регионах страны с доступностью к IPsec и IKEv2 корпоративных VPN / Хабр

Из этого можно сделать вывод:

Vpn туннель должен идти через tcp по 443 порту. Как минимум обычным фаерволом это не отфильтровать.

А лучше использовать туннель обернутый в https (shadowsocks + vray).

Похоже на “учения” или динамическую блокировку, которые заболтали через тг-каналы.
Писали про “баг, а не фича”, т.е. вроде как случайная ошибка, но без подробностей.

Похоже на пиздежь Климарева, имхо

GlobalCheck пишут:

По состоянию на 12:00 МСК, семейство протоколов IPsec остаётся заблокированным в некоторых регионах.

Мы утверждаем, что это не “случайная” блокировка - как минимум из-за того, что эти протоколы абсолютно однозначно блокируются любым DPI и их в принципе нельзя заблокировать “случайно”, а отмена их блокировки занимает не более 5 минут.

У провайдера, где стоит сервер, есть ТСПУ?

Это может быть фильтр по шаблону байтов, который затронул IPsec. Можете записать дамп в pcap?

Есть, но не на всех точках выхода.

Но блокировка точно была на мегафоне. Проверил так: попробовал подключиться через платный vpn сервис в режим ipsec. Соединение не устанавливалось. Через openvpn подключалось без проблем.

Не могу. Сегодня блокировки уже нет.

В комментариях на хабре есть подробности:

Это очень абстрактно, необходим конкретный пакет (данные пакета).

У меня есть только один канал, где не подключается IPsec: Корбина/Билайн Екатеринбург (as3253).

На этом канале блокируются все UDP-пакеты длиной более 1366 байт, независимо от содержания и порта. IPsec работает по UDP и использует пакеты более 1366 байт, поэтому не подключается.
При этом, на канале нет каких-либо проблем с MTU или с прохождением фрагментированных IP-пакетов (например, ping -s 1600 работает в обе стороны, т.е. и уходят, и приходят два IP-фрагмента, как и TCP с MTU 1500, без уменьшения TCP MSS на какой-либо из сторон).

Из эти тестов не ясно доходили (приходили) или нет большие не фрагментированные tcp или icmp пакеты? (с DF флагом)

MTU интерфейса был 1500 (обычный ethernet), TCP MSS 1460, в обе стороны проходили TCP-пакеты с payload 1460 байт без фрагментации.