LINUX.ORG.RU

Провайдер блочит https или же просто тупит сервер?

 , , ,


0

2

Предыстория:

Перестала работать сетевая игра (LoL) сразу на двух компах в сетке.
Выяснил что это из-за того что игра не может соединиться по https с сервером обновлений.



Проблема в том что невозможно установить соединение с https://riotgamespatcher-a.akamaihd.net
Это какой-то контент провайдер, и там видимо используется GeoIP, т.к. со своего компа и с VPS в другой стране получаю разные ip для этого хоста.
Выбираю IP 88.221.144.146 для чистоты эксперимента.

Делаю:

openssl s_client -connect 88.221.144.146:443

Вывод:
CONNECTED(00000003)
write:errno=104
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 0 bytes and written 308 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1463088856
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)
---

Вывод tcpdump:
01:53:12.535528 IP 192.168.1.2.51349 > 88.221.144.146.443: Flags [S], seq 1174005864, win 29200, options [mss 1460,sackOK,TS val 148474721 ecr 0,nop,wscale 7], length 0
01:53:12.617011 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [S.], seq 3327165184, ack 1174005865, win 28960, options [mss 1460,sackOK,TS val 1808023594 ecr 148474721,nop,wscale 5], length 0
01:53:12.617045 IP 192.168.1.2.51349 > 88.221.144.146.443: Flags [.], ack 1, win 229, options [nop,nop,TS val 148474802 ecr 1808023594], length 0
01:53:12.617614 IP 192.168.1.2.51349 > 88.221.144.146.443: Flags [P.], seq 1:309, ack 1, win 229, options [nop,nop,TS val 148474803 ecr 1808023594], length 308
01:53:12.699505 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [.], ack 309, win 939, options [nop,nop,TS val 1808023676 ecr 148474803], length 0
01:53:12.701212 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [R], seq 3327165185, win 0, length 0
01:53:12.701365 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [R], seq 3327166625, win 0, length 0
01:53:12.701425 IP 88.221.144.146.443 > 192.168.1.2.51349: Flags [R], seq 3327168065, win 0, length 0

В конце три подозрительных RST пакета.
Такое бывает при нормальном закрытии соединения?

Тоже самое с VPS проходит без ошибок.
Это меня провайдер фильтрует как-то криво или может просто akamaihd.net тупит?
Провайдер - Башинформсвязь, он вроде под Ростелекомом.

К сожалению на следующий день всё уже заработало, так что теперь возможен только ретроспективный анализ. Помечаю как «решённое», хотя конечно ничего не решено.

★★★★★

У меня ссылка открывается. Ростелеком.

mittorn ★★★★★ ()

Открывается, чебурашка. Наверное тебя просто админ забанил.

anonymous ()

Было бы хорошо tcpdump с ключиком -v, чтобы было видно ttl. Потом сравнить результат с соединениями на другие порты - 22, 80, 3306, можно вообще от балды какой-нибудь взять, главное чтобы ответ был. Если особых различий не будет, то сравнить все это с каким-нибудь другим IP из того же /24 блока.

anonymous ()
Ответ на: комментарий от Vsevolod-linuxoid

Да, другие вроде все работают, не заметил больше проблем.

Nao ★★★★★ ()
Ответ на: комментарий от anonymous

Да я сам себе админ локалхоста, выше меня только провайдер.

Nao ★★★★★ ()
Ответ на: комментарий от anonymous

К сожалению сегодня всё уже работает. Дамп я вчера всё же сохранил, вот выхлоп с -v:

01:53:12.535528 IP (tos 0x10, ttl 64, id 25353, offset 0, flags [DF], proto TCP (6), length 60)
    192.168.1.2.51349 > 88.221.144.146.443: Flags [S], cksum 0x9de8 (correct), seq 1174005864, win 29200, options [mss 1460,sackOK,TS val 148474721 ecr 0,nop,wscale 7], length 0
01:53:12.617011 IP (tos 0x0, ttl 52, id 0, offset 0, flags [DF], proto TCP (6), length 60)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [S.], cksum 0xa989 (correct), seq 3327165184, ack 1174005865, win 28960, options [mss 1460,sackOK,TS val 1808023594 ecr 148474721,nop,wscale 5], length 0
01:53:12.617045 IP (tos 0x10, ttl 64, id 25354, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.2.51349 > 88.221.144.146.443: Flags [.], cksum 0x483e (correct), ack 1, win 229, options [nop,nop,TS val 148474802 ecr 1808023594], length 0
01:53:12.617614 IP (tos 0x10, ttl 64, id 25355, offset 0, flags [DF], proto TCP (6), length 360)
    192.168.1.2.51349 > 88.221.144.146.443: Flags [P.], cksum 0x212e (correct), seq 1:309, ack 1, win 229, options [nop,nop,TS val 148474803 ecr 1808023594], length 308
01:53:12.699505 IP (tos 0x0, ttl 52, id 50042, offset 0, flags [DF], proto TCP (6), length 52)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [.], cksum 0x43f1 (correct), ack 309, win 939, options [nop,nop,TS val 1808023676 ecr 148474803], length 0
01:53:12.701212 IP (tos 0x0, ttl 52, id 50045, offset 0, flags [none], proto TCP (6), length 40)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [R], cksum 0xf123 (correct), seq 3327165185, win 0, length 0
01:53:12.701365 IP (tos 0x0, ttl 52, id 50045, offset 0, flags [none], proto TCP (6), length 40)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [R], cksum 0xeb83 (correct), seq 3327166625, win 0, length 0
01:53:12.701425 IP (tos 0x0, ttl 52, id 50045, offset 0, flags [none], proto TCP (6), length 40)
    88.221.144.146.443 > 192.168.1.2.51349: Flags [R], cksum 0xe5e3 (correct), seq 3327168065, win 0, length 0

Соединение на 80 порт по TCP, а так же ICMP ping тоже возращает пакет с TTL 52.
На других IP из этого блока разный ttl, например на 88.221.144.145 ttl тоже 52, а на 88.221.144.1 уже 244.
А что это даёт? Это могут быть разные машины или разные ОС, они вроде как не обязаны давать одинаковые TTL.

Nao ★★★★★ ()
Ответ на: комментарий от Nao

Думал, что если провайдер вылавливает трафик на 443 порт/этот IP, то будет другой ttl. А так - все выглядит на удивление валидно.

Адреса вида X.X.X.1 зачастую принадлежат всяким роутерам, у cisco и d-link'а, в частности, дефолтный ttl равен именно 255.

anonymous ()
Ответ на: комментарий от anonymous

Ясно.
Меня только смущают три подряд идущих RST. Зачем их три штуки? И это не случайность, я вчера дампил это подключение несколько раз и везде оно заканчивалось тремя RST.

Nao ★★★★★ ()
Ответ на: комментарий от Nao

Есть pcap? Если в IP-пейлоаде по смещению 4 было 4 байта нулей, и по 0x20 было 0x50140000, то это был DPI Ростелекома.

ValdikSS ★★★★ ()
Ответ на: комментарий от Nao

На всякий случай, чтобы таких казусов больше не происходило:

# iptables -t raw -A PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x60=0x7761726e && 0x64=0x696e672e && 0x68=0x72742e72" -m comment --comment "Rostelecom HTTP DPI" -j DROP
# iptables -t raw -A PREROUTING -p tcp --sport 443 -m u32 --u32 "4=0x00000000&&0x20=0x50140000" -m comment --comment "Rostelecom HTTPS DPI" -j DROP
ValdikSS ★★★★ ()
Ответ на: комментарий от ValdikSS

по смещению 4 было 4 байта нулей

Поле IP Identification? Нет, оно имеет значение отличное от нуля (кроме второго пакета в дампе), на листинге которое я приводил выше обозначено как «id».

по 0x20 было 0x50140000

TCP флаги RST и ACK? Нет, таких пактов нет.

Nao ★★★★★ ()

У меня постоянно всякие непонятки с https на Ростелекоме.

Причем через два разных VPN всё нормально...

fornlr ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.