Не проходит хендшейк WireGuard в мобильной сети Билайна до двух разных эндпоинтов. Из домашней проводной сети Искрателеком всё ок.
Совпадение?
Edit: Tailscale прямые соединения устанавливает.
https://www.opennet.ru/openforum/vsluhforumID3/125174.html#9
У мну не далее чем сегодня на одном жолтом опсосе внезапно два WG (разные vps, разные хостинги, разные страны) перестали работать на какое-то время. Очень надеюсь что это кривые руки, а не что-то ещё.
https://www.opennet.ru/openforum/vsluhforumID3/125174.html#101
Ростелеком сегодня начал блокировать DHT и протокол BitTorrent на своем DPI целиком. Ни один торрент ни одного дистрибутива GNU/Linux больше не качается.
Техподдержка отвечает, что торренты - это пиратство, поэтому они теперь блокируются.
Кстати, утром и DHT начинал работать. Видимо DPI в режим байпасс перешел. Но к обеду снова обрезали.
Скачивание дистрибутивов сегодня починили - анноунсеры Fedora, Ubuntu и прочих вывели из блокировки, поэтому они начали качаться. DHT также не работает.
А dht.vuze.com (174.129.43.152) пингуется?
Да:
$ ping 174.129.43.152
PING 174.129.43.152 (174.129.43.152) 56(84) bytes of data.
64 bytes from 174.129.43.152: icmp_seq=1 ttl=43 time=165 ms
64 bytes from 174.129.43.152: icmp_seq=2 ttl=43 time=164 ms
64 bytes from 174.129.43.152: icmp_seq=3 ttl=43 time=164 ms
64 bytes from 174.129.43.152: icmp_seq=4 ttl=43 time=164 ms
^C
--- 174.129.43.152 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 164.002/164.204/164.678/0.274 ms
Игра World of Warships, использующая UDP для игрового трафика, не работает у части пользователей.
На данный момент ситуация следующая:
Оборудование DPI у глобальных провайдеров блочит/режет некоторые порты, что в свою очередь влияет на невозможность залогиниться в игре и разлогины в бою. Мы совместно с провайдерами пытаемся решить проблему. Так как глобальных провайдеров интернета в России не так уж и много, затронуто много игроков с абсолютно разными местными провайдерами.
На текущий момент мы рекомендуем вам:
- Обращаться к своему провайдеру с жалобами на соединение в World of Warships.
- Сегодня после 09:00 (МСК) проверить: зайти в порт, выйти в бой, и если любая проблема повторяется (нелогин или дисконнект) собрать WGCheck с полной диагностикой сети (прислать нам) или Pingplotter - его можно продублировать своему провайдеру.
Пишу по памяти. Многое было мимолётно и так редко, что я долгое время думал что это случайности.
- три-два года назад на крупном локальном провайдер 100мбит начали резать p2p трафик ровно до 30 килобайт/сек. На несколько часов. Вот что странно примерно - в 01:00 ночи UTC+3. То есть нагрузки на сеть не было. А вечером в диапазоне 19-23 часа просадок почти не было. Потом были случаи что резали трафик до 30 килобайт/сек только после того как начинал скачивать что-то на большой скорости на все 100мбит. Если пиров на раздаче было мало то скорость достигала 30-40мбит и скорость не резалась.
Случалось это в среднем 1 раз в месяц, но это потому что я редко ночью что-то качал, так то может и это чаще бы происходило бы.
Да, и это было на весь p2p трафик, не только Bittorent.
Все спидтесты на разных сайтах показывали нормальную скорость. Но пару раз было что ограничивали скорость на часть обычного трафика. Лечилось тем, что надо было включить в русских соцсетях любое видео и тогда ограничения на обычный трафик снимались. Снимались ли на p2p в этом случае я уже не помню. Техподдержка мычала.
Года полтора назад это пропало. - Два года назад на локальном крупном провайдере начали периодически блокировать самые популярные DoH адреса. Сначала по домену, потом и по IP. малоизвестные работали, но таких было тяжело найти.
- В регионах на крупных федеральных провайдерах заблокированы многие популярные DoH адреса. Заблокированные даже малоизвестные от гигантов, которые можно найти только на форумах поддержки.
Полгода назад наблюдалось поочередное блокирование всех DoH адресов подряд. Причем сложилось впечатление что блокируют по сигнатурам, потому что через 1-12 часов после начала использования очень редких адресов блочились тоже. И по IP и по доменам. Через время можно было ротировать некоторые редкие DoH адреса назад, но я уже плюнул и пустил DNS трафик совсем в обход. Подозреваю что погоня за серверами с DoH идёт до сих пор. Обычный DNS трафик конечно же перехватывается и пускается через DNS сервера провайдера. - В регионах Bittorrent c DHT начали пробовать блокировать месяца 3 назад. На ростелекоме. Раздавал много и немного скачивал старого поднять паруса контента через приватные анонсеры и обычные публичные сервера. Ничего из новинок или запрещённого не было. В один момент трафик упал. Новые раздачи перестали скачиваться. Ни через DHT ни через анонсеры не находил пиров. qBittorrent показывал DHT 0 соединений. Пиры которые были подлключены - продолжали обмен трафиком со мной чутка времени.
- Сейчас наблюдаю что на тарифах 300МБИТ p2p+мосты tor+i2p трафик шейпится до 100МБИТ. На тарифах 100МБИТ даже на оптике p2p+мосты tor+i2p трафик шейпится до 60-70мбит. Возможно QoS у провайдера.
- и ещё очень много мелких непонятностей чьи закономерности выявить не успел.
Что имеем товарищи. Пока мы спим враг качается. Я предполагаю что РКН давно выучил урок и уже давно тестирует ограничения локально в регионах. И не на всех подряд, а точечно. И периодически. И в рабочее время. Очень тяжело их поймать. Ограничение DHT словил случайно так как в этот момент сидел дома на больничном.
Хотя DoH’у война уже давно объявлена по полной и это очевидно.
Доступность сайтов можно проверить, например, через ooni, либо вручную через curl — он напишет более-менее подробную причину недоступности.
Скачайте curl, наберите, например, curl -v https://dns.google/, и если нет ответа, выложите сюда вывод.
Так делает большинство мелких провайдеров, т.к. 20% качальщиков p2p забивают 80% канала провайдера. В свое время именно из-за этого перешел к Ростелекому.
Speedtest у всех уважающих себя провайдеров гонится через отдельную, всегда свободную трубу и часто вообще в обход шейпера, чтобы были красивые цифры на графиках и выше место в рейтинге.
Кстати, какой смысл сейчас блокировать DoH/DoT, если блокировки у всех давно не через DNS, а через DPI?
Вы обращались в их службу поддержки? Что они ответили? Если проблема наблюдается и сейчас, обратитесь. Чем больше жалоб, тем быстрее исправят ибо блокировка DHT - это явно их местная инициатива ибо через других провайдеров работает.
Блокировками занимается не РКН, а нанятый ими подрядчик.
Предполагаю, фильтр по размеру пакета, проверьте.
Дорогие абоненты Ростелекома, в частности те, кто пользуется его услугами в Московской области, здравствуйте! Не замечали ли вы проблем с установлением соединения WireGuard к любым хостам?
Лично я 2 дня назад обнаружил для себя, что WireGaurd перестал делать хендшейк в сети Ростелеком — пакет я могу отследить в своей сети, но не могу наблюдать его на сервере, с которым пытаюсь соединиться. При всём при этом через netcat пакеты на тот же порт уходят прекрасно. В следствие чего делаю вывод, что по каким-то причинам DPI у РТ настроен таким образом, что пакеты WG фильтруются.
В общем, как и ожидалось — проблема носит массовый характер. Пришлось быстро переводить все тоннели на порты а-ля 80, 443. Проблема также наблюдается и на других провайдерах, например, на Билайне.
Мегафон спб с wireguard на финском hetzner сервере, поймал момент, когда есть явный “провал” в коннекте, через некоторое время проходит, затем снова повторяется, уже 3 дня такие аномалии есть (вышки сотовой связи разные).
Вот, если кому интересно:
nping --udp -p 25401 -c1 dht.libtorrent.org --data "\x64\x31\x3a\x61\x64\x32\x3a\x62\x73\x69\x31\x65\x32\x3a\x69\x64\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x85\xbd\x80\x66\x18\x56\x00\xfd\x39\x3a\x69\x6e\x66\x6f\x5f\x68\x61\x73\x68\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x4a\x6d\x72\xdb\x91\x7c\x54\xcc\x65\x31\x3a\x71\x39\x3a\x67\x65\x74\x5f\x70\x65\x65\x72\x73\x31\x3a\x74\x32\x3a\x1a\x2e\x31\x3a\x76\x34\x3a\x4c\x54\x01\x2d\x31\x3a\x79\x31\x3a\x71\x65"
Ответ должен быть таким, если DHT работает корректно:
Starting Nping 0.7.80 ( Nping — Network packet generation tool & ping utility ) at 2021-09-06 19:46 MSK
SENT (0.0028s) UDP packet with 111 bytes to dht.libtorrent.org:25401 (185.157.221.247:25401)
RCVD (0.1604s) UDP packet with 156 bytes from dht.libtorrent.org:25401 (185.157.221.247:25401)Max rtt: 157.638ms | Min rtt: 157.638ms | Avg rtt: 157.638ms
UDP packets sent: 1 | Rcvd: 1 | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 0.16 seconds
На другой домен и порт:
nping --udp -p 6881 -c1 router.bittorrent.com --data "\x64\x31\x3a\x61\x64\x32\x3a\x62\x73\x69\x31\x65\x32\x3a\x69\x64\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x85\xbd\x80\x66\x18\x56\x00\xfd\x39\x3a\x69\x6e\x66\x6f\x5f\x68\x61\x73\x68\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x4a\x6d\x72\xdb\x91\x7c\x54\xcc\x65\x31\x3a\x71\x39\x3a\x67\x65\x74\x5f\x70\x65\x65\x72\x73\x31\x3a\x74\x32\x3a\x1a\x2e\x31\x3a\x76\x34\x3a\x4c\x54\x01\x2d\x31\x3a\x79\x31\x3a\x71\x65"
@personalfd, @valloon, попробуйте выполнить команду выше, чтобы проверить, репрезентативны ли в ней передаваемые данные, блокируются ли они вашим провайдером, пожалуйста.
Первый:
$ nping --udp -p 25401 -c1 dht.libtorrent.org --data "\x64\x31\x3a\x61\x64\x32\x3a\x62\x73\x69\x31\x65\x32\x3a\x69\x64\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x85\xbd\x80\x66\x18\x56\x00\xfd\x39\x3a\x69\x6e\x66\x6f\x5f\x68\x61\x73\x68\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x4a\x6d\x72\xdb\x91\x7c\x54\xcc\x65\x31\x3a\x71\x39\x3a\x67\x65\x74\x5f\x70\x65\x65\x72\x73\x31\x3a\x74\x32\x3a\x1a\x2e\x31\x3a\x76\x34\x3a\x4c\x54\x01\x2d\x31\x3a\x79\x31\x3a\x71\x65"
Starting Nping 0.7.80 ( https://nmap.org/nping )
SENT (0.0051s) UDP packet with 111 bytes to dht.libtorrent.org:25401 (185.157.221.247:25401)
RCVD (0.0695s) UDP packet with 156 bytes from dht.libtorrent.org:25401 (185.157.221.247:25401)
Max rtt: 64.369ms | Min rtt: 64.369ms | Avg rtt: 64.369ms
UDP packets sent: 1 | Rcvd: 1 | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 0.07 seconds
Второй:
$ nping --udp -p 6881 -c1 router.bittorrent.com --data "\x64\x31\x3a\x61\x64\x32\x3a\x62\x73\x69\x31\x65\x32\x3a\x69\x64\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x85\xbd\x80\x66\x18\x56\x00\xfd\x39\x3a\x69\x6e\x66\x6f\x5f\x68\x61\x73\x68\x32\x30\x3a\x75\x6c\x1f\xb3\x52\xb2\xd2\x6d\xc9\xd5\x57\x7c\x4a\x6d\x72\xdb\x91\x7c\x54\xcc\x65\x31\x3a\x71\x39\x3a\x67\x65\x74\x5f\x70\x65\x65\x72\x73\x31\x3a\x74\x32\x3a\x1a\x2e\x31\x3a\x76\x34\x3a\x4c\x54\x01\x2d\x31\x3a\x79\x31\x3a\x71\x65"
Starting Nping 0.7.80 ( https://nmap.org/nping )
SENT (0.0054s) UDP packet with 111 bytes to router.bittorrent.com:6881 (67.215.246.10:6881)
Max rtt: N/A | Min rtt: N/A | Avg rtt: N/A
UDP packets sent: 1 | Rcvd: 0 | Lost: 1 (100.00%)
Nping done: 1 IP address pinged in 1.01 seconds
router.bittorrent.com при этом, конечно же, пингуется?
Да:
$ ping router.bittorrent.com
PING router.bittorrent.com (67.215.246.10) 56(84) bytes of data.
64 bytes from 67.215.246.10.static.quadranet.com (67.215.246.10): icmp_seq=1 ttl=51 time=210 ms
64 bytes from 67.215.246.10.static.quadranet.com (67.215.246.10): icmp_seq=2 ttl=51 time=209 ms
64 bytes from 67.215.246.10.static.quadranet.com (67.215.246.10): icmp_seq=3 ttl=51 time=209 ms
64 bytes from 67.215.246.10.static.quadranet.com (67.215.246.10): icmp_seq=4 ttl=51 time=209 ms
^C
--- router.bittorrent.com ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 208.696/209.197/209.817/0.407 ms
Теле2 Санкт-Петербург — DHT отвечают (обе команды выдают ответ).
ОБИТ Санкт-Петербург (где был установлен ТСПУ и замедлялся твиттер) — DHT отвечают (обе команды выдают ответ).