0.5% интернета может быть недоступно для пользователей Hamachi

    image
    Hamachi — достаточно распространенная программа для создания VPN сетей.

    Недавно мы купили сервер в Hetzner, серверу был выдан ip 5.9.28.205. Некоторые пользователи начали жаловаться на недоступность сайта. После недолгого исследования обнаружили, что у них установлена программа Hamachi. Она для внутренних нужд используется публичную подсеть 5.0.0.0/8. Долгое время эта подсеть была нераспределена, но адреса заканчиваются, поэтому в ноябре 2010 года она была передана в RIPE. А с недавних пор раздаётся уже конечным пользователям. Если Hamachi установлена, то она прописывает маршрут и пускает весь трафик с 5.0.0.0/8 через себя, и на реальные сайты зайти невозможно.

    О проблеме известно уже давно, разработчики ничего не делают.
    Если у вас установлена hamachi — учите, что неработоспособность части сайтов может быть из-за нее. Забирать без спроса 0.5% адресного пространства ipv4 — это не шуточки =)
    Поделиться публикацией
    Комментарии 44
      –15
      5% адресного пространства ipv4 =! 5% интернета
      • НЛО прилетело и опубликовало эту надпись здесь
        0
        а как 5.0.0.0/8 стало 5%?
        /8 диапазонов больше двухсот, так что один из них это лишь менее 0,5%
          0
          5.0.0.0/8 это диапазон от 5.0.0.0 до 5.255.255.255
          Соответственно это 1/256 от всех ipv4 адресов.
            +1
            из всего диапазона надо ещё вычесть локальные ip вроде 127.0.0.0/8, 10.0.0.0/8, мультикатные 224.0.0.0/4, зарезервированные 240.0.0.0.4. Вот и получится примерно 1/200 = 0.5%
              +10
              Ваша опечатка 240.0.0.0.4 на несколько секунд застопорила работу моего мозга в зациклившейся попытке пересчитать заново количество нулей)
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            может потому что у некоторых пользователей эти 192.x etc рабочие? хамачи же пропускает траффик полностью со своей подсетки через себя.
            • НЛО прилетело и опубликовало эту надпись здесь
              • НЛО прилетело и опубликовало эту надпись здесь
                  +5
                  я не думаю что хамачи при создании рассчитывал на такую популярность. Обычный быдлокод, а дальше уже архитектурная сложность из-за этого.
              +1
              наши беседы с саппортом хетцнера еще впереди. в принципе, у нас потери трафика не превышают 0.5%, это не так уж страшно.
              предполагаю, что за денюжку могут дать новый айпишник, бесплатно — нет
                –1
                Нас просто нагло игнорируют. Один раз ответили, что новый IP по такой причине — не рекомендовано RIPE. С одной стороны, они правы, с другой стороны, мы чуть не потеряли несколько очень важных клиентов.
                  0
                  Если не слишком принципиально, можете использовать cloudflare.com (не реклама), все запросы сначала будут идти к ним, а от них уже на сервер. Бесплатно, плюс всякие плюшки типа защиты от DDoS, сжатия трафика итп.
                    0
                    У нас много серверов в хетцнере, просто пока перенесли фронтенд на другой сервер с айпишником не из пятой подсети.
                  +5
                  Всё же, что это не проблемы хостера, а косяк разработчиков Hamachi. То, что этот диапазон не был роздан — не повод использовать его без разрешения.
                    +1
                    Официальный ответ Хетцнера: за 70уе за каждый сервер они согласны перенести в другой ДЦ.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Для нас такое не приемлемо, т.к. у нас 3 сервера в Хетзнере и хотелось бы иметь между ними самую стабильную и быструю связь. А между ДЦ пинг больше в 2-3 раза, замеряли.
                      +3
                      Очевидным решением (если уж серые адреса не хотят) было бы использовать неаносируемые адреса, хапнутые корпорациями эпохи early adopters. Второй (спорный) вариант — покуситься на мультикаст.
                        0
                        Это полная фигня, я вам скажу. Мы недавно переехали на новый сервер в Хетзнере… и у части пользователей потерялся к нему доступ! Мы пытались разобраться в проблеме около суток, пока не пришла гениальная идея… чертов Хамачи! Кстати, не только он. Пользователи называли ещё одну подобную программу, название не помню уже.

                        Крики не тех.поддержку не помогли, ни новый, ни ещё один IP не дают — не по рекомендациям RIPE. Что же будет, когда раздадут 7.0.0.0/8 подсеть? Её использует ещё большее число пользователей! Самое обидное, что тех.поддержка даже отвечать перестала по этому вопросу после того как нашли проблему. Я не могу писать на сайте, что для доступа к серверу нужно удалять Хамачи (а его надо почти обязательно удалять, т.к. иногда даже послу удаления остаётся подключение и перенаправление).

                        И казалось бы, вот-вот уже есть IPv6, но я что-то ещё не слышала, чтобы хоть один росскийский ISP раздавал IPv6.

                        Если у кого есть опыт решения данной проблемы с техподдежкой Хетзнера — напишите в личку, за мной не заржавеет.
                          0
                          думаю самое простое — это поднять nginx в другом DC и оттуда перекидывать на основные сервера. У меня есть один из старых серверов с нормальным ip — буду на него направлять пользователей, а оттуда nginx. Пинг между ДЦ у них 1мс, так что пользователи не должны сильно заметить (по сравнению с 50мс до России).
                            0
                            Если бы у нас был веб-сервер, мы бы что-нибудь придумали. Но у нас игровой сервер с ~10-20Мегабит трафика в секунду. Даже если будет не заметно пинг, нужно либо делать прозрачный прокси (т.к. обязательно знать настоящий IP пользователя), либо писать отдельный прокси-сервер. Да и серверов в других ДЦ у нас нет, а покупать ещё один — лишние траты на установку и абонентку + могут снова дать в пятой подсети (хотя можно попросить, да).
                              +1
                              сервер можно самый дешёвый взять. На аукционе, например.
                              сервера можно соединить впн и через dnat пускать туда трафик. 10-20мбИт — это немного, вы даже не упираетесь в месячный трафик =)
                                0
                                Все равно решение неудобное. Но вроде пока и не сильно страдаем, т.к. сайт лежит на другом сервере, у людей есть доступ к информации и способы решить проблему.
                          +1
                          Ого, вот это совпадение :)
                          вы работаете над joyreactor?
                          0
                          Интересно, почему зная и предвидя такое развитие ситуации Каманчи IPv6 не засунули в свой продукт?
                            0
                            Потому, что не весь софт поддерживает IPv6, особенно игры, особенно старые, а это, насколько я знаю — основная аудитория программы.
                            –3
                            Вспоминается старый английский анекдот "… пидорасы, сэр".
                              +3
                              В данном случае Hetzner прав, пинать надо разрабов Hamachi.
                                +4
                                с точки зрения законности и стандартнов — да, hetzner прав. Но с этой точки зрения, это и не моя проблема тоже. Это проблема тех пользователей, что они поставили глючное ПО.

                                А вот с точки зрения бизнеса, я теряю 1% пользователей (а среди гиков и геймеров их ещё больше, на сайте хамачи пишут про 125млн подключённых девайсов). И это уже моя проблема. И мне надо её решать. Я её решил использованием ip из другого ДЦ. Если б я только начинал работать с хетцнером, возможно отказался бы от них. И в этот момент эта проблема становится и их бизнеса.

                                Вы спросите — а что им делать? Ведь пользователь всё равно может установить что хочет и прописать какие хочет маршруты у себя.

                                Как минимум, можно рассказать всем, что хамачи (и другие подобные программы) не стоит устанавливать. Как максимум, договориться с антивирусными компаниями считать такого рода программы угрозами для пользователя.
                                  +3
                                  последний абзац — первое, что приходит в голову при прочтении топика

                                  но…

                                  есть в Воронеже такая организация — ТФОМС (территориальный фонд что-то там медицинской статистики). Они для безопасной связи с ЛПУ (лечебно-профилактические учреждения) используют Vipnet — такое есть сертифицированное нашим ФСТЕКом средство создания VPN.

                                  Имеются такие проблемы:
                                  1. Vipnet говно, потому, что он кастомно встроен внутрь стека tcp/ip и просто перехватывает некоторые пакеты, которые имеют адреса виртуальной сети, вместо того, чтобы объявить виртуальный сетевой интерфейс и стандартными средствами ОС (т.е. маршрутизацией). Если випнет глючит и ничего не перехватывает, и данные идут по маршруту по умолчанию, как правило — в интернет. Натурально, на шлюзе наблюдаются такие пакеты, если с ПО на рабочей станции какие-то неполадки. Это очень сложно отлаживать — никогда не поймёшь, почему оно вдруг не работает.
                                  А раз ПО используется для передачи тех данных, которые вообще никому нельзя показывать, то такое поведение — чуть неполадки и данные полетят в интернет — совершенно недопустимо.Как ЭТО прошло сертификацию?
                                  2. Админы воронежского ТФОМСа, в частности господин Извеков — вон из профессии, вы неучи и вам нечего делать в IT, а особенно — касаться средств обеспечения сетевой безопасности.
                                  Причина такого заявления? Для виртульных адресов используется сеть 11.0.0.0/8. Конечно эта сеть не является приватной и назначили они её зря. Тонкость в том, что эта сеть принадлежит департаменту обороны (DoD) США. Каждый может проверить при помощи whois.

                                  И что мы получаем? По сети передаются конфиденциальные данные (153 ФЗ по полной программе). Для защиты используется Vipnet, который совершенно некорректно (для ПО VPN) реагирует на сбои, которые, нередки. Если произошёл сбой, конфиденциальные данные отправляются прямо в DoD США. Это на уровне министерства здравоохранения обязательно использовать во всех ЛПУ области. Фантастика.

                                  Я негодую.

                                  А у вас проблема — хамачи какой-то, потери 1% пользователей — это детские цветочки…
                                    +1
                                    согласен, цифры вроде 1% пользователей и что у них недоступно 0.5% адресного пространства — это мелочи.

                                    Тут интересен прецедент. Адреса ipv4 заканчиваются. Сервисы уплотняются в этом адресном пространстве. Начинаются коллизии между самозахваченными подсетями и официальными. И чем дальше — тем их будет больше. Подозреваю, что это и будет конец ipv4 — из-за сильной фрагментации сети, сайты и пользователи будут переходить на ipv6.

                                    То, что сейчас пакеты 11.0.0.0/8 уходят в DoD — это как раз мелочи. Вот если DoD скажет, что они успешно перешли на ipv6 и отдадут подсеть /8 в общий пул, оставив себе одну /16 для внешних нужд, то для воронежских ЛПУ и для новых владельцев подсетей в 11.0.0.0/8 настанут интересные времена.
                                      0
                                      нене, я имел ввиду проблемы с безопасностью, в том числе — государственной

                                      уж лучше нешифрованными эти персональные данные отправлять внутри России, чем в случае ошибки, опять же нешифрованными — в США

                                        0
                                        передавать важную информацию незашифрованной внутри России так же опасно, ибо перехватить её не будет составлять большого труда.
                                          0
                                          В случае одного региона — сомнительно, что перехватить «не будет составлять большого труда». По сути — кто перехватывать будет, провайдер? Эта информация в большинстве случаев, кроме бордера ЛПУ и бордера «центра» проходит через два БРАСа одного и того же провайдера, и тот — вполне «свой человек».

                                          (конечно, тут можно завернуть про arp-спуфинг, ложные dhcp и подобные технологии — это реально несложно, особенно если посмотреть как у нас всё обустроено в ЛПУ, но это и с випнетом тогда не особо сложно)
                                      +1
                                      О знакомая история. В нашей больничке медицинские данные вообще гоняют между филиалами в открытую через Интернет. А внутренние IP-шники, на самом деле, принадлежат NASA :)

                                      Это произошло не столько от тупизны админов, сколько от того, что никто не хочет платить за приведение ИТ к нормам 152 ФЗ.
                                        +1
                                        это, уверяю вас, от тупизны админов. Возможно, не тех, кто сейчас обслуживает сеть, а тех, кто её строил.

                                        причин два:
                                        — не знают вообще стандартов интернет
                                        — «да прокатит» или «да нас это не касается»
                                        оба случая — пример тупизны
                                        0
                                        Ну у вас-то всё просто — рашка.
                                          0
                                          Похоже по всей россии у ТФОМС-ов 11 подсеть.
                                          0
                                          >Но с этой точки зрения, это и не моя проблема тоже. Это проблема тех пользователей, что они поставили глючное ПО

                                          Ну вы сами все сказали, другое дело что хецнер очень неохотно дает ipv4, почти что с паяльником надо выбивать, но их можно понять. Цены у них на текущий момент такие, что найти нечто похожее становится сложно. Если бы не их проблема с ip (в частности выдачи), то цены бы не было.

                                          Для ваших пользователей надо просто сделать уведомление, ну и посторатся разнести свой сервес на несколько дата центров, хотя бы голову.
                                        0
                                        Извините, а я сильно накосячил, раздав интерфейсам комп-виртуалка 172.16.128.1/24?
                                          0
                                          У меня не стоит Хамачи, ни с компа ни с телефона по моему вайфай, не доступны несколько сайтов в зоне 5.0.0.0/8 стали на днях. Щас буду писать провайдеру.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое