Стали рвать ssh-соединения или провайдер виноват?

Ну в общем собрал tcpdump от ssh (не Mosh).

Картина такая:

На клиентской стороне

1) [0 - 14 секунд] все нормально, соединение установлено и т.д.

2) [15 - 80 секунд] несколько TCP Retransmission,

3) [80-145 секунд] тишина

4) [145-я сек.] один TCP Retransmission от меня

5) [254 сек.] один нормальный пакет от сервера и один нормальный от меня.

6) [254 - 870 сек.] набор из пар: (TCP Spurious Retransmission от сервера, TCP Dup ACK от меня),

7) [870 - 974 сек] Тишина

8) [974 сек.] наконец нормальный пакет от сервера по протоколу SSHv2, ответ от меня и соединение разорвано.

На серверной стороне:

1) [0 - 14 секунд] Все нормально.

2) [14 - 254 секунды] нет ни одного пакета.

3) [254-я секунда] Один пакет от сервера. Нормального ответа от меня нет

4) [254-868 секунд] TCP Retransmission от сервера. От меня ответов нет.

5) [868-974 сек]. Тишина.

6) [974 сек.] - Один пакет от сервера ко мне. На этом я tcpdump на сервере Ctrl+C, у меня уже к тому времени отвалилось соединение.

Похоже выглядит как жестокий дроп пакетов от меня.

Поставил. Работает, но прикольно: связь рвется по-прежнему каждые 5-10 секунд. Но Mosh сразу восстанавливает сессию и работа получается в виде периодических затыков на секунду-другую.

Ты же понимаешь, что любые такие решения заведомо провальные. Что будешь делать, когда реконект уже будет резаться полностью?

Непонятно, что хочешь услышать. Пока получается буду искать способы все-таки достучаться до сервера хитрым образом или альтернативными маршрутами.

Ну то есть пакеты фильтруются в направлении от тебя к серверу.

Ну, с этим сложно что-то поделать, оставаясь в ракмах обычного ssh, да, и это наверно именно то что ты подозревал с самого начала. Но всё равно, проверить стоило.

Находишь какого-нибудь днищехостера (чем днищней тем лучше), берешь у него виртуалку и используешь ее как дажмпхост. Надолго не проплачивай, чтобы не страдать по деньгам когда будет пора менять. Джампхост записываешь в ~/.ssh/config и ходишь повсюду как обычно (только через джамп). SSH начали резать наружу - особенно во всякие хецнеры и прочие диджиталдноушены и пукльклауды.

У него уже есть второй хост и так. Очевидно он хочет напрямую подключаться.

Однако Mosh не умеет в sshfs - есть ли что-то такого рода, чтобы еще и можно было скачивать/заливать файлы в условиях постоянного обрыва/виса связи?

в теории есть autossh. Но лично мне он не помогает от разрывов (которые не раз в 5-10 секунд, но тем не менее), приходится и его перезапускать.

Скорее всего ТСПУ настроены на разрыв при превышении какого-то объема трафика на соединении.

Он не хочет подключаться напрямую. Он хочет иметь все фичи ssh. Так что джамп для него то что доктор прописал, все эти пробросы портов, scp и прочее работают при этом легко и просто.

Скорее всего ТСПУ настроены на разрыв при превышении какого-то объема трафика на соединении.

Там того трафика было килобайт 10. Это более всего похоже на попытку делать вид, что они не причем и просто технические проблемы. Они там кажется не только ssh так «замедляют.» Если бы просто перекрыли доступ, то был бы вопрос какого хрена, если нигде ничего официально не блокируется. А так мы все понимаем, но эти дампы даже провайдеру не предъявишь.

Самое смешное, что в обычный тоp удается без больших проблем войти через минут 5 автоподбора, а далее как вариант даже ssh через его прокси.

дай угадаю, МТС у тебя вместо провайдера.

это древняя уже фишка МТСа - openvpn тоже рвет. правда не через пару секунд а ровно минута обычно.

Нет, не МТС, вообще не очень известный и без придури.

они гады рвут соединения мне на работу. причем инфа не из первых рук но все таки. закупились железом в сентябре наши РКНовцы плотно и в планах у них вообще все порубить до чего дотянутся. wireguard - всё. openvpn - всё. из крипоты вроде бы обещают оставить какой-то проприетарный всратый протокол от циски.

Все так, у меня правда не было проблемой с удаленным доступом на работу, но коллеги столкнулись. У другого управление (камеры) к его теплицам нарушились.

декабре управление теплицами нарушилось из-за [censored] [censored]

Знакомый сам [censored] , т к не осилил сделать управление локально. Небось все подвязано на китайские сервера?

Я толком не знаю подробностей про китайские сервера, но ему надо было удаленно управлять. И даже если все подвязано на китайщину, то это конечно неправильно, но не оправдание для деструктивных действий. Сколько говорили про защиту от внешнего вмешательства, чтобы на не поломали интернет, но по факту, самым сильнейшим образом его ломают изнутри.

ngx_stream_ssl_preread понимаю что не в ту кассу, но и в то же время не совсем типовое решение: может «выстрелит»?

если сломать изнутри, то сломать снаружи уже не получится.

Scaleway под контрсанкциями из-за того, что не стал «приземляться» (в условиях санкций, ага). При этом в свою очередь Scaleway в 2022 когда отвалились карточки давал россиянам один месяц в долг на поиск альтернативных способов оплаты (кому было сильно надо успели сгонять в Казахстан или найти кого-то с работающей картой) вместо того чтобы сразу резать как многие.

Ещё может быть такой фактор как то что на Scaleway официально разрешено хостить VPN, соответственно, много кто его там поднял и РКН может предвзято относиться к его подсетям.

Вряд ли. Анализ tcpdump показывает, что они просто тупо пакеты от меня дропают. Стали рвать ssh-соединения или провайдер виноват? (комментарий)

Но как-то хитро. Сессию что ли отдельно выделяют? Потому что если во время этого дропания параллельно запустить еще одну сессию, то она устанавливается на какое-то время, пока снова не «замедлится».

Scaleway под контрсанкциями из-за того, что не стал «приземляться» (в условиях санкций, ага).

Угу, сначала примем законы, которые мало, кто согласится выполнять, а потом будем «они законодательство не соблюдают».

Ещё может быть такой фактор как то что на Scaleway официально разрешено хостить VPN,

Я чего-то по наивности думал, что если предоставляется VPS/VDS то отдельного разрешения на него не требуется. Ставь какие хочешь сервисы и программы, лишь бы они не ломали работу и не нарушали копирайт, цопэ и тп.

VPN такая штука, на которую неизбежно будут приходить абузы (среди пользователей любого публичного VPN есть те, кто попытаются его использовать при раздаче торрентов или чего-то более незаконного). Не все хостеры хотят с этим разбираться и просто сносят виртуалки по первой жалобе. В ToS прямо пишут VPN нельзя, специально его искать не будут, но по абузе проверят и можно будет не разбираясь в сути объявить, что ToS были нарушены.

А есть хостеры, у которых такого пункта правил нет. Соответственно, они в абузе будут разбираться и если ты хранишь необходимые по законам страны хостера логи или что там нужно для VPN провайдера, то тебе ничего не удалят.

Возможно, также играет роль, что Scaleway французский, а Франция немного сквозь пальцы смотрит на торренты (по сравнению, например, с соседней Германией) и поэтому хостер предоставляет больше вольностей клиентам.

Кстати, точно так же многие хостеры запрещают майнинг, но уже по другим причинам (износ оборудования и энергопотребление выше расчётного). Scaleway опять же чуть лояльнее к майнерам - разрешено, но надо предупреждать и тариф будет другим (вероятно, дороже).

РКН %99

Шереметьево? Но это давно было пора.

Как мило, т.е. по вашему хозяин ЦОД готов создавать условия для подставы себя? Например, условно бесплатные прокси заявленные как анонимные, реально анонимные: серьезно? Думаю, что тут уместно только про неуловимого Джо.

В ToS прямо пишут VPN нельзя

Недавно у нескольких хостеров смотрел ToS. Так там было написано, что публичных VPN нельзя, то есть открытых неограниченному списку лиц. В том числе и платных.

Нет подставы. Ответственность несёт кто крайний деанонимизировался.

Хостер идентифицирует всех клиентов (как минимум есть их данные карты, а часто больше), если к нему приходят органы, он выдаёт данные клиента и органы идут к нему.

Если клиент легальный VPN провайдер, он должен как минимум хранить логи подключений (а где-то и узнавать персональные данные клиентов, зависит от юрисдикции). Соответственно, он выдаёт органам IP с которого подключался клиент, его платёжные реквизиты и т п. Органы идут дальше.

Реальные проблемы у того на ком цепочка прервется или будет слишком неубедительной (например, чел представился VPN провайдером, но у него нет сайта или он фейковый, нет списка клиентов, нет платёжек от них).