Comments 52
На момент написания этого комментария нихрена ещё не прекратилось. Ростелеком, теле2, йота в Томске как блокировали IKE AUTH запросы от сервера к клиенту, так и блокируют. Вне зависимости от географии сервера.
Вот теперь есть контакт. Отвратительная ситуация. Небольшое копание в логах и обсуждениях неиллюзорно намекают на тестирование «белых списков» именно в IKE части. Очень перекликается с полугодичной давности новостью про запрос используемых технологий в банках и крупных госконторах.
На замкадском проде (UAT?) протестировали успешно, можно поздравить РКН, «ждём релиза» и готовимся.
05.06.2022 Ростов-на-Дону проводной интернет от Ростелеком
Не работает VPN соединение через протокол L2TP.
Как добавить поддержку .php файлов на сайте Nginx?
Ошибка: 403, с Apache2 нет таких проблем...
Спецы, подскажи что с этим делать?
Переход на протокол OpenVPN или Wireguard — не вариант?
Можно подумать они не режутся с помощью DPI
Может и вариант, но как это сделать прям сегодня, когда все сломалось, если у тебя три десятка точек по 20-30 туннелей на кажной?!
Сейчас мода оборачивать в WebRTC / SRTP - там как раз и UDP вместо TCP, и пять мегабит трафика два часа подряд - штатная ситуация, видеозвонок-с (часто у вас легимитное HTTPS соединение столько висит?).
Из-за этого средства для видеозвонков в РФ работают уже частично, даже те, кто в них ничего не заворачивал.
нет потому, что никому не надо было, а доп.издержки несет. В текущей ситуации просто добавят, да к ценнику пару центов накинут. Заодно рыночек переделят - кто первый сделает, к тому и уйдут пользователи.
Пока есть технические способы обхода блокировки будут обходиться и соответствующие сервисы будут появляться за несколько дней для всех желающих. Поэтому в таких новостях паникерские настроения выглядят смешно.
Скорее, не как в Северной Корее, а как в Китайской Народной Республике. Там VPN работает у тех, кто получил в Министерстве общественной безопасности специальное разрешение. Для тех, кто имеет хороший социальный рейтинг, это - не проблема.
Бей, беги или замри. Вы выбрали беги.
Чтобы уехать в адекватные страны нужна рабочая виза или ВНЖ. Их так просто не получить, особенно если потенциальный эмигрант не разработчик на актуальном стеке, а т.н. "около-IT" типа админа или сетевого инженера.
update: уже заработало. притом не только внутри РФ.
Птичка напела:
Сегодня было много сообщений про то, что кое-где перестали работать VPN по протоколам L2TP и IPSec. Так вот, разведка доносит, что это был баг, а не фича. Валенок на пульте. Хорошо, что это случилось в выходные - перечисленные протоколы не используются для именно вот тех самых массовых сервисов обхода блокировок. Зато много используется в различных промышленных целях.
Вывод: отставить панику!
Ой, спасибо воинам ркн, что работают без страха и упрека
Жаль, что в РКН считают, что услуги предоставления связи (в том числе через интернет) не являются жизненно важными и стратегически ключевыми, иначе бы не обращались так фривольно с рубильниками ТСПУ
Интересный эффект.
Хотел успокоить, что это это случайная ошибка, а не "пристенуть ремни" (по крайней мере нщн на какое-то время отсрочка), а получилось наоборот, еще больше выбесил :(
Что же интересного? Вы выдали некое утверждение с непонятной достоверностью, которое, даже на первый взгляд, не очень соответствует действительности (разные регионы, разные провайдеры, разная продолжительность, в т.ч. и в понедельник) и удивляетесь что вам не говорят спасибо.
Хреново то, что это очередной "тестирование" показало толерантность к подобным блокировкам. Ничего не рухнуло, банки и организации молчат, новость прошла только по связанным с отраслью специалистам. То есть можно блокировать "на постоянку", катастрофы не случится.
gre+ipsec (default proposal\profile) CHR+mikrot -170 вкл в РФ не один не лег по всей преимущественно билайн\совинтел
дом - офис IKE2 падал по 5 минут на неделе несколько раз
есть у кого больше информация? какие конкретно туннели ложились и как избежать?
Есть подозрение, что блокируют не конкретно IPsec, а набор байтов, который совпадает с одним из пакетов IPsec.
Если у кого-то продолжается фильтрация, запишите дамп трафика в формате PCAP. Необходимо установить Wireshark, установить фильтр "port 500 or port 4500", начать запись дампа, попробовать подключиться к IPsec, дождаться ошибки, остановить запись дампа и сохранить в файл.
Омск. Вчера вечером ipsec через мобильный Теле2 не работал, по проводу Ростелеком проблем не заметил, сегодня утром заработало. Грустно это.
я думаю, что произошло что-то вроде этого:
https://aws.amazon.com/rumessage/41926/
Если у кого-то есть блокировки, пишите конкретно. habr - это профильный портал. Где выгрузки с анализаторов?
У меня есть только один канал, где не подключается IPsec: Корбина/Билайн Екатеринбург (as3253).
На этом канале блокируются все UDP-пакеты длиной более 1366 байт, независимо от содержания и порта. IPsec работает по UDP и использует пакеты более 1366 байт, поэтому не подключается.
При этом, на канале нет каких-либо проблем с MTU или с прохождением фрагментированных IP-пакетов (например, ping -s 1600 работает в обе стороны, т.е. и уходят, и приходят два IP-фрагмента, как и TCP с MTU 1500, без уменьшения TCP MSS на какой-либо из сторон).
Вчера в Волгограде провайдер с белым овалом на красном фоне после обращения и совместного тестирования подтвердил, что проблемы начинаются при прохождении пакетами оборудования роскомнадзора. Сегодня все работает штатно. Очень напрягает, что госорганы своими непредсказуемыми и не афишируемыми действиями создают дополнительные риски бизнесу и заставляют изобретать какой-то план "Б".
Есть идеи, что в такой ситуации делать обычному юзеру? Без впн нынче никак, как раз хотел купить платный с подпиской на пару лет, а тут такое.
GlobalCheck фиксирует проблемы в некоторых регионах страны с доступностью к IPsec и IKEv2 корпоративных VPN