Не понимаю почему здесь еще никто не создал эту тему.
29 мая начиная с 10.40 МСК Мегафон СПб не смог соединиться по l2tp ipsec с домашним сервером. Т.е блокировали соединения даже внутри РФ.
На сервере было видно что приходил запрос на соединение, но клиент не получал ответа.
Сомневаюсь что это случайность.
Статья на хабре: GlobalCheck фиксирует проблемы в некоторых регионах страны с доступностью к IPsec и IKEv2 корпоративных VPN / Хабр
Из этого можно сделать вывод:
Vpn туннель должен идти через tcp по 443 порту. Как минимум обычным фаерволом это не отфильтровать.
А лучше использовать туннель обернутый в https (shadowsocks + vray).
Похоже на “учения” или динамическую блокировку, которые заболтали через тг-каналы.
Писали про “баг, а не фича”, т.е. вроде как случайная ошибка, но без подробностей.
Похоже на пиздежь Климарева, имхо
GlobalCheck пишут:
По состоянию на 12:00 МСК, семейство протоколов IPsec остаётся заблокированным в некоторых регионах.
Мы утверждаем, что это не “случайная” блокировка - как минимум из-за того, что эти протоколы абсолютно однозначно блокируются любым DPI и их в принципе нельзя заблокировать “случайно”, а отмена их блокировки занимает не более 5 минут.
У провайдера, где стоит сервер, есть ТСПУ?
Это может быть фильтр по шаблону байтов, который затронул IPsec. Можете записать дамп в pcap?
Есть, но не на всех точках выхода.
Но блокировка точно была на мегафоне. Проверил так: попробовал подключиться через платный vpn сервис в режим ipsec. Соединение не устанавливалось. Через openvpn подключалось без проблем.
Не могу. Сегодня блокировки уже нет.
Это очень абстрактно, необходим конкретный пакет (данные пакета).
У меня есть только один канал, где не подключается IPsec: Корбина/Билайн Екатеринбург (as3253).
На этом канале блокируются все UDP-пакеты длиной более 1366 байт, независимо от содержания и порта. IPsec работает по UDP и использует пакеты более 1366 байт, поэтому не подключается.
При этом, на канале нет каких-либо проблем с MTU или с прохождением фрагментированных IP-пакетов (например, ping -s 1600 работает в обе стороны, т.е. и уходят, и приходят два IP-фрагмента, как и TCP с MTU 1500, без уменьшения TCP MSS на какой-либо из сторон).
Из эти тестов не ясно доходили (приходили) или нет большие не фрагментированные tcp или icmp пакеты? (с DF флагом)
MTU интерфейса был 1500 (обычный ethernet), TCP MSS 1460, в обе стороны проходили TCP-пакеты с payload 1460 байт без фрагментации.
С 7:26 фиксируется проблема с прохождением IP SEC трафика по разным регионам РФ. Большое количество обращений клиентов. Проблема в работе системы фильтрации ТСПУ. В ДЦОА обнаружили проблемы в конфигурации и работают над решением проблемы
В 9:40 примерно проблема была решена.
Свидетели есть? Что там было?
Нет ли на ТСПУ ограничений на протоколы сетевого и транспортного уровня?
Сейчас IPsec почти повсеместно используют с инкапсуляцией в UDP.
Insomnia: klink0v — LiveJournal — 2023-02-11 14:59:00
… День 3. Сегодня.
8 утра. Звонок из группы мониторинга с работы. Развалилась куча IPSec-тоннелей с контрагентами. Кое-как продираю глаза, сажусь за комп. Пытаюсь диагностировать. Ни хрена не понимаю. Все вражеские хосты пингуются, любой другой трафик ходит, но на UDP:500 очень многие не отвечают.
Отдельно насторожило то, что у меня из дома построен мой личный IPSec на одну VDSочку в другой стране. И он тоже развалился, хотя провайдеры с корпоративными нигде не пересекаются. Тут в голову начали закрадываться странные мысли насчет РКН, ТСПУ и всё вот это.
Письма в саппорт одному, другому, третьему. Прям моментально от них от всех пришел ответ типа “у нас на сети авария, чиним”. Ага, у всех, одновременно, в одно и то же время. Тут стало всё совсем ясно.
В 13:18 в Телеграм-канале “ЗаТелеком” (признан иностранным агентом, запрещен в РФ и всё такое) вижу сообщение про то, что таки да. Роскомпозор начал развлекаться в 7:26 по Москве и положил у всех IPSec-тоннели. Они там что-то на***вертили такого, что даже 4G у Мегафна местами перестал работать. Меня всерьёз зацепило где-то в 7:47. Где-то в 9:40 большая часть телекомов уже поднялась. Не знаю как. Может быть, стряхнули трафик с этих ТСПУ, может ещё как-то.
Мегафон отрапортовался, что якобы полностью всё поднял в 14:47 по Москве. Ни подтвердить, ни опровергнуть не могу, т.к. у меня большинство коннектов ходит по заранее непредсказуемым маршрутам, ибо своя PI AS. И диагностировать это всё крайне сложно, потому что доходит до смешного. Два соседних тоннеля до одного и того же контрагента с одним и тем же IP на той стороне. С моей стороны один из “концов” отличается от соседнего на одну цифру в последнем октете. Маршрутизируются одинаково. Но один работает, второй —нет. При этом всё отовсюду пингуется. Поди ж ещё разберись где собака порылась.