Настройка cloudflared – не работает TLSv1.3 с клиента

0

1

Пытаюсь заюзать https://developers.cloudflare.com/cloudflare-one/networks/connectors/cloudflare-tunnel/ чтобы создать виртуальную сеть (конкретно нужен выход в сеть внутри РФ из-за рубежа).

Всё работает на одном узле и не работает на другом, в логах:

Dec 31 06:30:33 mylittlehost1 cloudflared[22350]: 2025-12-31T06:30:33Z ERR Failed to dial a quic connection error="failed to dial to edge with quic: timeout: no recent network activity" connIndex=0 event=0 ip=198.41.192.37
Dec 31 06:30:33 mylittlehost1 cloudflared[22350]: 2025-12-31T06:30:33Z INF Retrying connection in up to 2s connIndex=0 event=0 ip=198.41.192.37
Dec 31 06:30:35 mylittlehost1 cloudflared[22350]: 2025-12-31T06:30:35Z INF Tunnel connection curve preferences: [X25519MLKEM768 CurveP256] connIndex=0 event=0 ip=198.41.200.233
Dec 31 06:30:35 mylittlehost1 systemd[1]: cloudflared.service: start operation timed out. Terminating.

Пробежался по проверкам DNS/TCP+UDP из https://developers.cloudflare.com/cloudflare-one/networks/connectors/cloudflare-tunnel/troubleshoot-tunnels/connectivity-prechecks/ и все выглядит ок на обоих узлах.

По умолчанию оно пытается юзать QUIC, попробовал зафорсить HTTP/2, в логах всё равно ошибка:

2025-12-31T14:08:12Z INF Starting metrics server on 127.0.0.1:20241/metrics
2025-12-31T14:08:28Z ERR Unable to establish connection with Cloudflare edge error="TLS handshake with edge error: read tcp 192.168.1.28:34514->198.41.200.73:7844: i/o timeout" connIndex=0 event=0 ip=198.41.200.73
2025-12-31T14:08:28Z ERR Serve tunnel error error="TLS handshake with edge error: read tcp 192.168.1.28:34514->198.41.200.73:7844: i/o timeout" connIndex=0 event=0 ip=198.41.200.73

После чего я решил протестировать просто ТЛС на данный айпи/порт с обоих узлов. Наблюдаю разницу: с одного работает, с другого нет.

Работает с одного:

moi@mylittlehost2:~$ curl -v https://198.41.192.7:7844
*   Trying 198.41.192.7:7844...
* TCP_NODELAY set
* Connected to 198.41.192.7 (198.41.192.7) port 7844 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0

(ошибка с сертификатом ожидаема)

Не работает с другого:

moi@mylittlehost1:~$ curl -v -k https://198.41.192.7:7844
*   Trying 198.41.192.7:7844...
* TCP_NODELAY set
* Connected to 198.41.192.7 (198.41.192.7) port 7844 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):

(и висит так)

Есть идеи, куда копать дальше, чтобы понять причину?

Узел, на котором не работает, размещён в РФ – возможно ли, что провайдеры режут ТЛС на нестандартные порты?

←	Хранение файлов и бэкапы с контролем целостности

Всё возможно. Обращайтесь за разъяснениями в РКН и Минцифры.

kostik87 ★★★★★
(31.12.25 17:16:48 MSK)

Узел, на котором не работает, размещён в РФ – возможно ли, что провайдеры режут ТЛС на нестандартные порты?

С разморозкой. TLS 1.3(особенно если с ECH) и QUIC режется забугор РКН-ом только в путь.

Pinkbyte ★★★★★
(31.12.25 17:32:20 MSK)

Интересно что syncthing с того же узла работает норм, который по идее тоже коннектится на какой-то внешний реле в интернете. Наверное, там просто не ТЛС.

NAVEVdKV
(31.12.25 18:38:28 MSK) автор топика

Ответ на: комментарий от Pinkbyte 31.12.25 17:32:20 MSK

Ясненько, буду иметь в виду. А SSH наружу например не режут, да? (я просто вижу что работает)

Видимо придётся опять помучаться и настроить через OpenVPN вместо клаудфлероподелия.

NAVEVdKV
(31.12.25 18:40:41 MSK) автор топика

Ответ на: комментарий от NAVEVdKV 31.12.25 18:40:41 MSK

SSH даже может не работать по доступу из РФ в некоторые ЦОД тоже в РФ. Ты в бункере был последний год? OpenVPN - один из самых распространённых протоколов VPN. Конечно режут.

Так-то, если тебе из РФ в РФ OpenVPN нужен - тут не режут. Пользуйся.

kostik87 ★★★★★
(31.12.25 19:03:49 MSK)
Последнее исправление: kostik87 31.12.25 19:04:53 MSK (всего исправлений: 2)

Ответ на: комментарий от kostik87 31.12.25 19:03:49 MSK

Мда уж, не знал такого, бываю в РФ пару раз в год и это всё началось между февралём и июлем 2025.

Мне по факту нужен доступ в РФ из-за рубежа, и не хочется платить какому-нибудь протон-впн (копейки, но просто жаба душит), зато есть местный сервак и мне очень не хочется вывешивать 22 с этого сервака в интернет, был бы признателен за советы / ключевые слова которые могут помочь найти решение.

NAVEVdKV
(31.12.25 19:54:26 MSK) автор топика

Ответ на: комментарий от NAVEVdKV 31.12.25 19:54:26 MSK

зато есть местный сервак и мне очень не хочется вывешивать 22 с этого сервака в интернет, был бы признателен за советы / ключевые слова которые могут помочь найти решение.

Поднять на серваке контейнер/вм на порту >1023 и попробовать, может сработать.

anc ★★★★★
(31.12.25 20:14:22 MSK)

Ответ на: комментарий от NAVEVdKV 31.12.25 19:54:26 MSK

Можешь пробовать любые технологии, какая заработает - используй. Но в любом случае она может перестать работать, т.к. анализ протоколов и трафика постоянно развивается.

kostik87 ★★★★★
(31.12.25 21:04:01 MSK)

←	Хранение файлов и бэкапы с контролем целостности

Admin

Похожие темы