LINUX.ORG.RU
ФорумAdmin

Сервер прерывает соединение https

 


0

2

Сервер начал внезапно сбрасывать соединение, если начинаешь что-то загружать больше чем 10 байтов. Если клиенту отдать например «hello world», то нормально, если что-то больше (точно не проверял, но где то по ощущениям килобайт) - соединение висит и приходит RST пакет. Работал годами в этой конфигурации, ничего не менял.

Когда 15kb скачает, когда 40kb и отваливается

tcpdump -n -i eth0 host client and port not 22

05:54:43.180201 IP client.16239 > server.443: Flags [S], seq 4116473154, win 8760, options [mss 1390,nop,wscale 8,nop,nop,sackOK], length 0
05:54:43.180240 IP server.443 > client.16239: Flags [S.], seq 4168317543, ack 4116473155, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
05:54:43.321936 IP client.16239 > server.443: Flags [.], ack 1, win 34, length 0
05:54:43.327251 IP client.16239 > server.443: Flags [P.], seq 1:366, ack 1, win 34, length 365
05:54:43.327283 IP server.443 > client.16239: Flags [.], ack 366, win 501, length 0
05:54:43.327604 IP server.443 > client.16239: Flags [P.], seq 1:110, ack 366, win 501, length 109
05:54:43.471964 IP client.16239 > server.443: Flags [P.], seq 366:417, ack 110, win 33, length 51
05:54:43.473029 IP client.16239 > server.443: Flags [P.], seq 417:515, ack 110, win 33, length 98
05:54:43.473133 IP server.443 > client.16239: Flags [.], ack 515, win 501, length 0
05:54:43.473292 IP server.443 > client.16239: Flags [P.], seq 110:2890, ack 515, win 501, length 2780
05:54:43.473301 IP server.443 > client.16239: Flags [P.], seq 2890:5670, ack 515, win 501, length 2780
05:54:43.473315 IP server.443 > client.16239: Flags [P.], seq 5670:8450, ack 515, win 501, length 2780
05:54:43.614711 IP client.16239 > server.443: Flags [.], ack 2890, win 34, length 0
05:54:43.614748 IP server.443 > client.16239: Flags [P.], seq 8450:11230, ack 515, win 501, length 2780
05:54:43.616821 IP client.16239 > server.443: Flags [.], ack 5670, win 34, length 0
05:54:43.616852 IP server.443 > client.16239: Flags [P.], seq 11230:12620, ack 515, win 501, length 1390
05:54:43.618953 IP client.16239 > server.443: Flags [.], ack 8450, win 34, length 0
05:54:43.618987 IP server.443 > client.16239: Flags [P.], seq 12620:15400, ack 515, win 501, length 2780
05:54:43.618994 IP server.443 > client.16239: Flags [.], seq 15400:16790, ack 515, win 501, length 1390
05:54:43.776733 IP client.16239 > server.443: Flags [.], ack 11230, win 34, length 0
05:54:43.776767 IP server.443 > client.16239: Flags [P.], seq 16790:19570, ack 515, win 501, length 2780
05:54:43.779979 IP client.16239 > server.443: Flags [.], ack 14010, win 34, length 0
05:54:43.780007 IP server.443 > client.16239: Flags [P.], seq 19570:20960, ack 515, win 501, length 1390
05:54:43.805039 IP client.16239 > server.443: Flags [.], ack 16790, win 70, length 0
05:54:43.805071 IP server.443 > client.16239: Flags [P.], seq 20960:23740, ack 515, win 501, length 2780
05:54:43.805079 IP server.443 > client.16239: Flags [.], seq 23740:25130, ack 515, win 501, length 1390
05:54:43.805083 IP server.443 > client.16239: Flags [P.], seq 25130:27910, ack 515, win 501, length 2780
05:54:43.805242 IP server.443 > client.16239: Flags [P.], seq 27910:29300, ack 515, win 501, length 1390
05:54:43.805253 IP server.443 > client.16239: Flags [P.], seq 29300:32080, ack 515, win 501, length 2780
05:54:43.805283 IP server.443 > client.16239: Flags [.], seq 32080:33470, ack 515, win 501, length 1390
05:54:44.121039 IP server.443 > client.16239: Flags [.], seq 32080:33470, ack 515, win 501, length 1390
05:54:44.537009 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:45.369055 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:47.001053 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:50.361047 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:53.779507 IP server.443 > client.16239: Flags [R.], seq 33470, ack 515, win 501, length 0

★★★★

Последнее исправление: gobot (всего исправлений: 3)

Всему приходит конец. Это на орбите ходят аппараты под управлением Windows 95. На Земле негоже. Какой-то контроллер управляется извне. Общая политика такова. В сети работать под контролем, платить и на тех машинах которые выгодны боссу.

sword
()
Ответ на: комментарий от melkor217

Похоже на это. Но если в hosts прописать другой ИП - то норм. Также заметил что на другом сервере ВСЕ сайты не работают. Они через CF. Без CF работают. Вывод: если РКН, то не по домену и не по ИП, тогда по какой стратегии ээ?

gobot ★★★★
() автор топика

ИТОГО, что МЫ имеем

1. РКН не дает лезть на заграничный сервер
1. РКН не дает лезть через CF (проксируемый)


https://antiddos24.ru/blog/problemy-s-cloudflare-v-rossii-segodnya

Как раз пров у меня OVH

gobot ★★★★
() автор топика
Последнее исправление: gobot (всего исправлений: 1)
Ответ на: комментарий от gobot

Ля ты только что узнал что РКН уже около полугода блочит по протоколам и провайдерам? Понятно что чебурнет уже наступил и без 3 букв интернетом пользоваться нет никакого смысла. Как буквы работать прекратят, так и я из инета отвалюсь за ненадобностью

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от gobot

Т2 и ростелеком в принципе не работают в качестве полноценных интернет провайдеров, не стоит на них ориентироваться. Но можешь им всякие письма счастья поприсылать, вдруг починят...

mittorn ★★★★★
()
Последнее исправление: mittorn (всего исправлений: 1)
Ответ на: комментарий от anonymous

Да знаешь много чего пробовал уже на протяжении ХХХ времени. И TLS 1.3 отключать, но постоянно же не будешь как идиот всякие мульки прикручивать, радо или поздно задушат, поэтому выход очевидный - переводить сервера в РФ

gobot ★★★★
() автор топика
Ответ на: комментарий от gobot

У меня тоже провайдер такой же https://i.postimg.cc/rFjJnWfr/Isp-OVH.png Относительно конечно т.к. использую при невозможности куда-то зайти. Подключаюсь по PPTP. Бесплатно. Вот уже десять лет, а то и больше. С тех пор как меня первый раз забанили на одном игровом сервере за читерство. Я нашел это. В общем не в этом дело - у тебя. Его блокируют, но не в этом!

sword
()
Ответ на: комментарий от gobot

Дык и без CF тоже не работает. Nginx стоит на сервере

Дык я это первый раз прочитал в треде. А до этого было

Но если в hosts прописать другой ИП - то норм. Также заметил что на другом сервере ВСЕ сайты не работают. Они через CF. Без CF работают.

Ты уж определись как-нибудь, чтобы не читать каждый твой коммент как новый.

Dimez ★★★★★
()
Ответ на: комментарий от gobot

Убери cf и поставь ssl_protocols TLSv1.2; в настройках nginx.

То что пишут про ECH это тоже имеет место, но по имеющемуся опыту tls 1.3 местами режется даже с отключённым ech, так что проще отключить его полностью, оставив только 1.2.

firkax ★★★★★
()
Ответ на: комментарий от Dimez

Нет ссылки, были логи сниффера на обоих концах, как handshake-пакет (serverhello) уходит но не приходит, а при переключении на tls1.2 сразу всё начинало работать. Возможно это редкая ситуация и специфична для конкретного провайдера или айпи-адресов в каких-то серых списках.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Нет ссылки, были логи сниффера на обоих концах, как handshake-пакет (serverhello) уходит но не приходит, а при переключении на tls1.2 сразу всё начинало работать.

А, это 1 раз было?

Dimez ★★★★★
()
Последнее исправление: Dimez (всего исправлений: 1)
Ответ на: комментарий от Dimez

Ну, если про пару клиент+сервер то два - проверял с двух разных клиентских провов. Я специально не собирал статистику, просто столкнулся и запомнил.

Подозреваю, дело в том что фильтр ждал сертификат чтобы проверить разрешённость домена, но tls1.3 его, в отличие от tls1.2, шлёт не плейнтекстом а как-то по-другому. Почему он его не брал из clienthello где он в обоих случаях был виден не знаю.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Да нет. Версия протокола здесь ни при чём. Если конечно используется не самодельное что-то. Будь то сервер или клиент. Ведь при установке связи, при невозможности подключения - перебирают все доступные версии и т.п..

sword
()
Ответ на: комментарий от Dimez

У нас провайдер на работе чудил так. Ну точнее не провайдер, а РКН. Пока мы объяснили провайдеру что не так, пока он передал письмо в РКН...

Симптоматика вида «некоторые сайты» не работают безумно раздражает, если честно. Хуже только «некоторые сайты иногда не работают» - такое вообще сложно формализованно объяснять техподдержке.

Но хоть тут банальный тест через openssl s_client стабильно давал таймаут, если не отключить TLS 1.3. Наличие/отсутствие ECH роли не играло. Закономерность по принадлежности IP-адресов назначения определенным подсетям или автономным системам установить тоже не удалось.

Отвалы были адресные, часть сайтов российские, часть - зарубежные.

Что именно курили в РКН - так и осталось неясно, через некоторое время починилось.

Провайдер - ТрансТелеКом, но сильно сомневаюсь что проблема в провайдере. Потому что подобную симптоматику «что-то не работает и хрен поймешь почему» (просто на меньших масштабах) я последнее время наблюдаю всё чаще :-(

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)

у меня аналогичная х-ня началась вчера. во-первых, начали зарезаться ответы сервера мыла на 995 порту к моему серверу. смотрела трейсы, ответы с сервера уходят, но до меня не доходят. если лезу через прокси - всё работает. далее, начали произвольным образом отваливаться https сессии, но не ко всем серверам, а как-то тоже выборочно. точно отваливаются коннекты к stackexchange и иже с ними (stackoverflow и вся куча этих сайтов), практически сразу, после старта. а вот к гитхабу нет - я вчера качнула полное дерево kernel'а (оно весит больше 5 гигов) и ничего не отвалилось.

какая-то НЁХ происходит. буду ругаться с провайдером, но это может оказаться не их вина.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 4)

дозвонилась через ботов и пытала представителя провайдера. админ не может снять логи на сервере, чтобы проверить приходят ли пакеты на их внешний сервер. дожили, блин! он мне сказал, что «если traceroute от моего сервера до моего компа ходит, то мы ничего не блокируем». пипец. мои возражения, что всё остальное работает, не возымели эффекта. похоже, надо менять провайдера.

но он мне сказал, что примерно два дня назад «заблокировали клаудфларь». уж не знаю, как её «заблокировали», там серверов просто дохренища. но вот отпадения всяких внезапных ресурсов могут быть из-за этого.

они там что-то перезагрузили (зачем?), но пакеты до порта как не ходили, так и не ходят. ну, перевешу на другой порт временно. и буду посматривать, к какому провайдеру можно перейти. или такой маразм уже везде теперь?

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

Блокирует оборудование Роскомнадзора, которое должно стоять у всех провайдеров и через которое они пропускают весь трафик. При этом у самих провайдеров какого-либо доступа к этому оборудованию нет, и твой личный трафик мимо него они пускать не будут. Поэтому админ прав - за что он отвечает, оно проверяется простым traceroute-ом, а что теряется - на это он влияния не имеет при всём желании.

vbr ★★★★★
()
Последнее исправление: vbr (всего исправлений: 1)
Ответ на: комментарий от vbr

нет, он мне сказал, что они сами блокирут некоторые порты (и даже их перечислил), но не 995. я спросила, зачем блокируют порты (там были, например, 8080 и 1080). он сказал, что «у юзеров часто лезут и взламывают роутеры и они закрывают эти порты, чтобы этого не происходило». тоже странное решение. но этот список тоже нигде не озвучен. на сайте у них ничего про него нет. и какой-нибудь веб-девелопер может наступить на блокировку 8080, или типа того. всё это как-то странно и ненормально. а ещё у них есть «блокировка SMTP» (уж не знаю, зачем) в настройках личного кабинета. и по умолчанию она была даже включена. я её выключила, конечно, сразу. но на кой хрен блокировать SMTP - я хз.

да, кстати. вдруг кому пригодится. домру блокирует порты: 445, 1343, 135-139, 900, 11211, 1080, 8080 и 8291. некоторые порты я даже не знаю, что там. у меня они не используются. но этот список мне перечислил админ. а то вдруг кто-то наступит на неработающую сеть, а там вот это.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 4)
Ответ на: комментарий от sword

лучше, может, и будет. некоторые провайдеры предоставляют белый айпишник бесплатно и нормальный ipv6, например. к тому же, тупой бот, через которого не дозвониться до службы поддержки, меня сегодня довёл до головной боли. я ненавижу ботов и генератор бреда и не хочу от этого страдать.

Iron_Bug ★★★★★
()
Последнее исправление: Iron_Bug (всего исправлений: 1)
Ответ на: комментарий от Iron_Bug

заблокировали клаудфларь

Именно так. Плюс Хетцнер и ещё что-то. Блокируют не как обычно, а, примерно, как «замедляют» Ютуб - начальное соединение проходит, а потом начинаются дропы. В результате у меня, например, не работают без ВПН, среди прочего: онлайн-трекер от Locus Maps, openweather.com, memrise.com, панель управления впс-кой на hexcore и ещё многое.

Вопрос о том, насколько, блджад, от этого повысилась безопасность Родины - остаётся открытым. Как показывают недавние события, реальным террористам с дронами эти блокировки до задницы.

anonymous
()
Ответ на: комментарий от Iron_Bug

порты, в основном, виндовые, самба и прочее. список блокируемых портов я где-то на сайте домры находил, но щас уже не вспомню, где, не то в «Документах», не то в FAQ. причём там сказано, что 80 порт блокируется по умолчанию, но можно разблокировать, обратившись в техподдержку. но смешно то, что я-то в логах апача вижу кучу заходов на 80 порт с рандомных айпишников, в том числе зарубежных, а тупо с мегафоновского телефона зайти не могу. бИзАпАсНаСть.

anonymous
()
Ответ на: комментарий от anonymous

В том-то и дело что и через vpn не работало и у жителей Германии тоже не работало (там-то РКН-а нет вроде?). Но это было кратковременно. А если сейчас у тебя не работает, то это уже РКН или твой провайдер. На читай, наркоман, РКН что-то в твоём мире шибко крут https://www.google.com/appsstatus/dashboard/incidents/Eab7zGLWSaUJyh9c9R9L?hl=en

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 3)