Сервер прерывает соединение https

0

2

Сервер начал внезапно сбрасывать соединение, если начинаешь что-то загружать больше чем 10 байтов. Если клиенту отдать например «hello world», то нормально, если что-то больше (точно не проверял, но где то по ощущениям килобайт) - соединение висит и приходит RST пакет. Работал годами в этой конфигурации, ничего не менял.

Когда 15kb скачает, когда 40kb и отваливается

tcpdump -n -i eth0 host client and port not 22

05:54:43.180201 IP client.16239 > server.443: Flags [S], seq 4116473154, win 8760, options [mss 1390,nop,wscale 8,nop,nop,sackOK], length 0
05:54:43.180240 IP server.443 > client.16239: Flags [S.], seq 4168317543, ack 4116473155, win 64240, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
05:54:43.321936 IP client.16239 > server.443: Flags [.], ack 1, win 34, length 0
05:54:43.327251 IP client.16239 > server.443: Flags [P.], seq 1:366, ack 1, win 34, length 365
05:54:43.327283 IP server.443 > client.16239: Flags [.], ack 366, win 501, length 0
05:54:43.327604 IP server.443 > client.16239: Flags [P.], seq 1:110, ack 366, win 501, length 109
05:54:43.471964 IP client.16239 > server.443: Flags [P.], seq 366:417, ack 110, win 33, length 51
05:54:43.473029 IP client.16239 > server.443: Flags [P.], seq 417:515, ack 110, win 33, length 98
05:54:43.473133 IP server.443 > client.16239: Flags [.], ack 515, win 501, length 0
05:54:43.473292 IP server.443 > client.16239: Flags [P.], seq 110:2890, ack 515, win 501, length 2780
05:54:43.473301 IP server.443 > client.16239: Flags [P.], seq 2890:5670, ack 515, win 501, length 2780
05:54:43.473315 IP server.443 > client.16239: Flags [P.], seq 5670:8450, ack 515, win 501, length 2780
05:54:43.614711 IP client.16239 > server.443: Flags [.], ack 2890, win 34, length 0
05:54:43.614748 IP server.443 > client.16239: Flags [P.], seq 8450:11230, ack 515, win 501, length 2780
05:54:43.616821 IP client.16239 > server.443: Flags [.], ack 5670, win 34, length 0
05:54:43.616852 IP server.443 > client.16239: Flags [P.], seq 11230:12620, ack 515, win 501, length 1390
05:54:43.618953 IP client.16239 > server.443: Flags [.], ack 8450, win 34, length 0
05:54:43.618987 IP server.443 > client.16239: Flags [P.], seq 12620:15400, ack 515, win 501, length 2780
05:54:43.618994 IP server.443 > client.16239: Flags [.], seq 15400:16790, ack 515, win 501, length 1390
05:54:43.776733 IP client.16239 > server.443: Flags [.], ack 11230, win 34, length 0
05:54:43.776767 IP server.443 > client.16239: Flags [P.], seq 16790:19570, ack 515, win 501, length 2780
05:54:43.779979 IP client.16239 > server.443: Flags [.], ack 14010, win 34, length 0
05:54:43.780007 IP server.443 > client.16239: Flags [P.], seq 19570:20960, ack 515, win 501, length 1390
05:54:43.805039 IP client.16239 > server.443: Flags [.], ack 16790, win 70, length 0
05:54:43.805071 IP server.443 > client.16239: Flags [P.], seq 20960:23740, ack 515, win 501, length 2780
05:54:43.805079 IP server.443 > client.16239: Flags [.], seq 23740:25130, ack 515, win 501, length 1390
05:54:43.805083 IP server.443 > client.16239: Flags [P.], seq 25130:27910, ack 515, win 501, length 2780
05:54:43.805242 IP server.443 > client.16239: Flags [P.], seq 27910:29300, ack 515, win 501, length 1390
05:54:43.805253 IP server.443 > client.16239: Flags [P.], seq 29300:32080, ack 515, win 501, length 2780
05:54:43.805283 IP server.443 > client.16239: Flags [.], seq 32080:33470, ack 515, win 501, length 1390
05:54:44.121039 IP server.443 > client.16239: Flags [.], seq 32080:33470, ack 515, win 501, length 1390
05:54:44.537009 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:45.369055 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:47.001053 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:50.361047 IP server.443 > client.16239: Flags [.], seq 16790:18180, ack 515, win 501, length 1390
05:54:53.779507 IP server.443 > client.16239: Flags [R.], seq 33470, ack 515, win 501, length 0

←	Как пробросить локальный порт через SOCKS5 с логином/паролем для Selenium?

Ошибка монтирования при клонировании Linux

→

← 1 2 →

Это к РКН скорее всего

melkor217 ★★★★★
(11.06.25 06:13:53 MSK)

Ответ на: комментарий от melkor217 11.06.25 06:13:53 MSK

В таком случае надо поставить zapret и проверить работает ли через него.

Skullnet ★★★★☆
(11.06.25 06:23:57 MSK)

Всему приходит конец. Это на орбите ходят аппараты под управлением Windows 95. На Земле негоже. Какой-то контроллер управляется извне. Общая политика такова. В сети работать под контролем, платить и на тех машинах которые выгодны боссу.

~~sword~~
(11.06.25 06:30:11 MSK)

Ответ на: комментарий от melkor217 11.06.25 06:13:53 MSK

Похоже на это. Но если в hosts прописать другой ИП - то норм. Также заметил что на другом сервере ВСЕ сайты не работают. Они через CF. Без CF работают. Вывод: если РКН, то не по домену и не по ИП, тогда по какой стратегии ээ?

gobot ★★★★
(11.06.25 06:48:42 MSK) автор топика

Ответ на: комментарий от Skullnet 11.06.25 06:23:57 MSK

Да это понятно. Через ВПН то пашет и через некоторых других провов пашет. Не работает в частности через Т2, ростелеком

gobot ★★★★
(11.06.25 06:51:04 MSK) автор топика

Это nginx сбрасывает соединение, после истечения send_timeout. То есть клиент ничего не читает из сокета...

gobot ★★★★
(11.06.25 07:08:47 MSK) автор топика

ИТОГО, что МЫ имеем

1. РКН не дает лезть на заграничный сервер
1. РКН не дает лезть через CF (проксируемый)

https://antiddos24.ru/blog/problemy-s-cloudflare-v-rossii-segodnya

Как раз пров у меня OVH

gobot ★★★★
(11.06.25 07:21:01 MSK) автор топика
Последнее исправление: gobot 11.06.25 07:22:30 MSK (всего исправлений: 1)

А если слать порциями по 8 байт?

mittorn ★★★★★
(11.06.25 08:04:35 MSK)

Ответ на: комментарий от mittorn 11.06.25 08:04:35 MSK

Как по dial-up? ну наверна скоро так и будем

gobot ★★★★
(11.06.25 08:07:27 MSK) автор топика

Ответ на: комментарий от gobot 11.06.25 07:21:01 MSK

что МЫ имеем

Не мы, а вы © ® ™

А мы имеем очередной тупняк от упыря в шляпе.

anonymous
(11.06.25 08:18:45 MSK)

Про РКН очевидная реакция, но я бы ещё проверил MTU.

vbr ★★★★★
(11.06.25 08:20:12 MSK)

Ответ на: комментарий от anonymous 11.06.25 08:18:45 MSK

Ты просто ничего имеешь (походу только тебя :_)), так что проходи мимо

gobot ★★★★
(11.06.25 08:35:08 MSK) автор топика

Ответ на: комментарий от gobot 11.06.25 06:48:42 MSK

Ля ты только что узнал что РКН уже около полугода блочит по протоколам и провайдерам? Понятно что чебурнет уже наступил и без 3 букв интернетом пользоваться нет никакого смысла. Как буквы работать прекратят, так и я из инета отвалюсь за ненадобностью

peregrine ★★★★★
(11.06.25 08:37:27 MSK)
Последнее исправление: peregrine 11.06.25 08:38:58 MSK (всего исправлений: 1)

Ответ на: комментарий от vbr 11.06.25 08:20:12 MSK

Вряд ли он там равен 10

mittorn ★★★★★
(11.06.25 09:22:29 MSK)

Ответ на: комментарий от vbr 11.06.25 08:20:12 MSK

А что с ним?

gobot ★★★★
(11.06.25 09:23:12 MSK) автор топика

Ответ на: комментарий от peregrine 11.06.25 08:37:27 MSK

По протоколам знал, по провайдерам нет. Даже страшно подумать что ещё придумают.

gobot ★★★★
(11.06.25 09:24:38 MSK) автор топика

Ответ на: комментарий от gobot 11.06.25 06:51:04 MSK

Т2 и ростелеком в принципе не работают в качестве полноценных интернет провайдеров, не стоит на них ориентироваться. Но можешь им всякие письма счастья поприсылать, вдруг починят...

mittorn ★★★★★
(11.06.25 09:26:01 MSK)
Последнее исправление: mittorn 11.06.25 09:26:50 MSK (всего исправлений: 1)

Ответ на: комментарий от gobot 11.06.25 06:48:42 MSK

Вот это пробовал отключать https://habr.com/ru/articles/856602/? Тоже переставало работать, хотя метод проверки из статьи не работал, после отключения стало норм ходить.

anonymous
(11.06.25 09:37:35 MSK)

Ответ на: комментарий от gobot 11.06.25 09:23:12 MSK

Он должен быть правильным. Типовая проблема, когда веб-страницы больше определенного размера не работают из-за неправильного MTU.

vbr ★★★★★
(11.06.25 09:50:41 MSK)

Ну очевидный ECH же, который ты не отключил запросом.

Dimez ★★★★★
(11.06.25 10:53:38 MSK)

Ответ на: комментарий от anonymous 11.06.25 09:37:35 MSK

Да знаешь много чего пробовал уже на протяжении ХХХ времени. И TLS 1.3 отключать, но постоянно же не будешь как идиот всякие мульки прикручивать, радо или поздно задушат, поэтому выход очевидный - переводить сервера в РФ

gobot ★★★★
(11.06.25 11:20:33 MSK) автор топика

Ответ на: комментарий от Dimez 11.06.25 10:53:38 MSK

Дык и без CF тоже не работает. Nginx стоит на сервере

gobot ★★★★
(11.06.25 11:24:20 MSK) автор топика

Ответ на: комментарий от gobot 11.06.25 07:21:01 MSK

У меня тоже провайдер такой же https://i.postimg.cc/rFjJnWfr/Isp-OVH.png Относительно конечно т.к. использую при невозможности куда-то зайти. Подключаюсь по PPTP. Бесплатно. Вот уже десять лет, а то и больше. С тех пор как меня первый раз забанили на одном игровом сервере за читерство. Я нашел это. В общем не в этом дело - у тебя. Его блокируют, но не в этом!

~~sword~~
(11.06.25 11:26:42 MSK)

Ответ на: комментарий от sword 11.06.25 11:26:42 MSK

Так у тебя работает? Что на нем работает?

gobot ★★★★
(11.06.25 11:35:47 MSK) автор топика

Ответ на: комментарий от Dimez 11.06.25 10:53:38 MSK

Отключил, не помогло

gobot ★★★★
(11.06.25 11:36:08 MSK) автор топика

Ответ на: комментарий от gobot 11.06.25 11:35:47 MSK

Всё работает. Блокировать стали последнее время. Например. Последние два месяца не работал вообще. Блокировал провайдер. Заработал недавно, вторую неделю.

~~sword~~
(11.06.25 12:37:05 MSK)

Ответ на: комментарий от gobot 11.06.25 11:24:20 MSK

Дык и без CF тоже не работает. Nginx стоит на сервере

Дык я это первый раз прочитал в треде. А до этого было

Но если в hosts прописать другой ИП - то норм. Также заметил что на другом сервере ВСЕ сайты не работают. Они через CF. Без CF работают.

Ты уж определись как-нибудь, чтобы не читать каждый твой коммент как новый.

Dimez ★★★★★
(11.06.25 13:52:10 MSK)

Ответ на: комментарий от gobot 11.06.25 11:24:20 MSK

Убери cf и поставь ssl_protocols TLSv1.2; в настройках nginx.

То что пишут про ECH это тоже имеет место, но по имеющемуся опыту tls 1.3 местами режется даже с отключённым ech, так что проще отключить его полностью, оставив только 1.2.

firkax ★★★★★
(11.06.25 14:27:37 MSK)

Ответ на: комментарий от firkax 11.06.25 14:27:37 MSK

но по имеющемуся опыту tls 1.3 местами режется даже с отключённым ech

Можно ссылку на этот опыт? Пока я такого не встречал нигде.

Dimez ★★★★★
(11.06.25 15:03:25 MSK)

Ответ на: комментарий от Dimez 11.06.25 15:03:25 MSK

Нет ссылки, были логи сниффера на обоих концах, как handshake-пакет (serverhello) уходит но не приходит, а при переключении на tls1.2 сразу всё начинало работать. Возможно это редкая ситуация и специфична для конкретного провайдера или айпи-адресов в каких-то серых списках.

firkax ★★★★★
(11.06.25 15:51:28 MSK)
Последнее исправление: firkax 11.06.25 15:52:58 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 11.06.25 15:51:28 MSK

Нет ссылки, были логи сниффера на обоих концах, как handshake-пакет (serverhello) уходит но не приходит, а при переключении на tls1.2 сразу всё начинало работать.

А, это 1 раз было?

Dimez ★★★★★
(11.06.25 15:57:28 MSK)
Последнее исправление: Dimez 11.06.25 15:57:35 MSK (всего исправлений: 1)

Ответ на: комментарий от Dimez 11.06.25 15:57:28 MSK

Ну, если про пару клиент+сервер то два - проверял с двух разных клиентских провов. Я специально не собирал статистику, просто столкнулся и запомнил.

Подозреваю, дело в том что фильтр ждал сертификат чтобы проверить разрешённость домена, но tls1.3 его, в отличие от tls1.2, шлёт не плейнтекстом а как-то по-другому. Почему он его не брал из clienthello где он в обоих случаях был виден не знаю.

firkax ★★★★★
(11.06.25 15:59:24 MSK)
Последнее исправление: firkax 11.06.25 16:00:27 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 11.06.25 15:59:24 MSK

Похоже на банальный ECH, который отключился автоматически с отключением TLS1.3

Dimez ★★★★★
(11.06.25 16:13:14 MSK)

Ответ на: комментарий от firkax 11.06.25 15:59:24 MSK

Да нет. Версия протокола здесь ни при чём. Если конечно используется не самодельное что-то. Будь то сервер или клиент. Ведь при установке связи, при невозможности подключения - перебирают все доступные версии и т.п..

~~sword~~
(11.06.25 16:13:29 MSK)

Ответ на: комментарий от Dimez 11.06.25 16:13:14 MSK

Я же написал - ECH там не было, домен в clienthello был виден.

firkax ★★★★★
(11.06.25 16:59:46 MSK)

Ответ на: комментарий от Dimez 11.06.25 15:03:25 MSK

У нас провайдер на работе чудил так. Ну точнее не провайдер, а РКН. Пока мы объяснили провайдеру что не так, пока он передал письмо в РКН...

Симптоматика вида «некоторые сайты» не работают безумно раздражает, если честно. Хуже только «некоторые сайты иногда не работают» - такое вообще сложно формализованно объяснять техподдержке.

Но хоть тут банальный тест через openssl s_client стабильно давал таймаут, если не отключить TLS 1.3. Наличие/отсутствие ECH роли не играло. Закономерность по принадлежности IP-адресов назначения определенным подсетям или автономным системам установить тоже не удалось.

Отвалы были адресные, часть сайтов российские, часть - зарубежные.

Что именно курили в РКН - так и осталось неясно, через некоторое время починилось.

Провайдер - ТрансТелеКом, но сильно сомневаюсь что проблема в провайдере. Потому что подобную симптоматику «что-то не работает и хрен поймешь почему» (просто на меньших масштабах) я последнее время наблюдаю всё чаще :-(

Pinkbyte ★★★★★
(12.06.25 00:19:37 MSK)
Последнее исправление: Pinkbyte 12.06.25 00:21:32 MSK (всего исправлений: 2)

у меня аналогичная х-ня началась вчера. во-первых, начали зарезаться ответы сервера мыла на 995 порту к моему серверу. смотрела трейсы, ответы с сервера уходят, но до меня не доходят. если лезу через прокси - всё работает. далее, начали произвольным образом отваливаться https сессии, но не ко всем серверам, а как-то тоже выборочно. точно отваливаются коннекты к stackexchange и иже с ними (stackoverflow и вся куча этих сайтов), практически сразу, после старта. а вот к гитхабу нет - я вчера качнула полное дерево kernel'а (оно весит больше 5 гигов) и ничего не отвалилось.

какая-то НЁХ происходит. буду ругаться с провайдером, но это может оказаться не их вина.

Iron_Bug ★★★★★
(12.06.25 02:47:56 MSK)
Последнее исправление: Iron_Bug 12.06.25 02:52:05 MSK (всего исправлений: 4)

дозвонилась через ботов и пытала представителя провайдера. админ не может снять логи на сервере, чтобы проверить приходят ли пакеты на их внешний сервер. дожили, блин! он мне сказал, что «если traceroute от моего сервера до моего компа ходит, то мы ничего не блокируем». пипец. мои возражения, что всё остальное работает, не возымели эффекта. похоже, надо менять провайдера.

но он мне сказал, что примерно два дня назад «заблокировали клаудфларь». уж не знаю, как её «заблокировали», там серверов просто дохренища. но вот отпадения всяких внезапных ресурсов могут быть из-за этого.

они там что-то перезагрузили (зачем?), но пакеты до порта как не ходили, так и не ходят. ну, перевешу на другой порт временно. и буду посматривать, к какому провайдеру можно перейти. или такой маразм уже везде теперь?

Iron_Bug ★★★★★
(12.06.25 07:30:30 MSK)

Ответ на: комментарий от Iron_Bug 12.06.25 07:30:30 MSK

Оставьте как есть. Лучше не будет - у другого провайдера.

~~sword~~
(12.06.25 08:29:58 MSK)

Ответ на: комментарий от Iron_Bug 12.06.25 07:30:30 MSK

Блокирует оборудование Роскомнадзора, которое должно стоять у всех провайдеров и через которое они пропускают весь трафик. При этом у самих провайдеров какого-либо доступа к этому оборудованию нет, и твой личный трафик мимо него они пускать не будут. Поэтому админ прав - за что он отвечает, оно проверяется простым traceroute-ом, а что теряется - на это он влияния не имеет при всём желании.

vbr ★★★★★
(12.06.25 10:23:47 MSK)
Последнее исправление: vbr 12.06.25 10:24:24 MSK (всего исправлений: 1)

Ответ на: комментарий от vbr 12.06.25 10:23:47 MSK

нет, он мне сказал, что они сами блокирут некоторые порты (и даже их перечислил), но не 995. я спросила, зачем блокируют порты (там были, например, 8080 и 1080). он сказал, что «у юзеров часто лезут и взламывают роутеры и они закрывают эти порты, чтобы этого не происходило». тоже странное решение. но этот список тоже нигде не озвучен. на сайте у них ничего про него нет. и какой-нибудь веб-девелопер может наступить на блокировку 8080, или типа того. всё это как-то странно и ненормально. а ещё у них есть «блокировка SMTP» (уж не знаю, зачем) в настройках личного кабинета. и по умолчанию она была даже включена. я её выключила, конечно, сразу. но на кой хрен блокировать SMTP - я хз.

да, кстати. вдруг кому пригодится. домру блокирует порты: 445, 1343, 135-139, 900, 11211, 1080, 8080 и 8291. некоторые порты я даже не знаю, что там. у меня они не используются. но этот список мне перечислил админ. а то вдруг кто-то наступит на неработающую сеть, а там вот это.

Iron_Bug ★★★★★
(12.06.25 13:22:01 MSK)
Последнее исправление: Iron_Bug 12.06.25 13:40:52 MSK (всего исправлений: 4)

Узнал автора по заголовку.

anonymous
(12.06.25 13:26:18 MSK)

Ответ на: комментарий от sword 12.06.25 08:29:58 MSK

лучше, может, и будет. некоторые провайдеры предоставляют белый айпишник бесплатно и нормальный ipv6, например. к тому же, тупой бот, через которого не дозвониться до службы поддержки, меня сегодня довёл до головной боли. я ненавижу ботов и генератор бреда и не хочу от этого страдать.

Iron_Bug ★★★★★
(12.06.25 13:45:42 MSK)
Последнее исправление: Iron_Bug 12.06.25 13:46:01 MSK (всего исправлений: 1)

Ответ на: комментарий от Iron_Bug 12.06.25 07:30:30 MSK

заблокировали клаудфларь

Именно так. Плюс Хетцнер и ещё что-то. Блокируют не как обычно, а, примерно, как «замедляют» Ютуб - начальное соединение проходит, а потом начинаются дропы. В результате у меня, например, не работают без ВПН, среди прочего: онлайн-трекер от Locus Maps, openweather.com, memrise.com, панель управления впс-кой на hexcore и ещё многое.

Вопрос о том, насколько, блджад, от этого повысилась безопасность Родины - остаётся открытым. Как показывают недавние события, реальным террористам с дронами эти блокировки до задницы.

anonymous
(12.06.25 20:36:50 MSK)

Ответ на: комментарий от Iron_Bug 12.06.25 13:22:01 MSK

порты, в основном, виндовые, самба и прочее. список блокируемых портов я где-то на сайте домры находил, но щас уже не вспомню, где, не то в «Документах», не то в FAQ. причём там сказано, что 80 порт блокируется по умолчанию, но можно разблокировать, обратившись в техподдержку. но смешно то, что я-то в логах апача вижу кучу заходов на 80 порт с рандомных айпишников, в том числе зарубежных, а тупо с мегафоновского телефона зайти не могу. бИзАпАсНаСть.

anonymous
(12.06.25 20:45:24 MSK)

Ответ на: комментарий от Iron_Bug 12.06.25 13:22:01 MSK

https://ekat.dom.ru/faq/internet/kakie-setevye-porty-na-seti-dom-ru-zakryty

anonymous
(12.06.25 20:53:07 MSK)

Ответ на: комментарий от anonymous 12.06.25 20:36:50 MSK

Началось обычное враньё

anonymous
(13.06.25 09:47:48 MSK)

Ответ на: комментарий от anonymous 13.06.25 09:47:48 MSK

Не, там правда к анб или самому гуглу вопрос. Потому как в этот раз легло далеко не только в РФ.

peregrine ★★★★★
(13.06.25 11:13:58 MSK)

Ответ на: комментарий от peregrine 13.06.25 11:13:58 MSK

дооо. проблемы одновременно у гугла, клаудфлейра, хетцнера и амазона, ога. при этом через впн всё работает.

anonymous
(13.06.25 13:52:28 MSK)

Ответ на: комментарий от anonymous 13.06.25 13:52:28 MSK

В том-то и дело что и через vpn не работало и у жителей Германии тоже не работало (там-то РКН-а нет вроде?). Но это было кратковременно. А если сейчас у тебя не работает, то это уже РКН или твой провайдер. На читай, наркоман, РКН что-то в твоём мире шибко крут https://www.google.com/appsstatus/dashboard/incidents/Eab7zGLWSaUJyh9c9R9L?hl=en

peregrine ★★★★★
(13.06.25 14:05:37 MSK)
Последнее исправление: peregrine 13.06.25 14:07:15 MSK (всего исправлений: 3)

← 1 2 →

←	Как пробросить локальный порт через SOCKS5 с логином/паролем для Selenium?

Admin

Ошибка монтирования при клонировании Linux

→

Похожие темы