Сбоев по маршрутам \ BGP и сбоев на стыках провайдеров с внешними интернетами не отмечено.
Изнутри РФ, судя по данным коллег, работали:
телеграмм
не шифрованный DNS
SSH трафик
ping
все VPN
вконтакт (почему-то).
РТК и Билайн сообщили "это не мы".
Белый список есть. Роснадзор уже два года как требует с всех организаций подать список своих IP через госуслуги. У кого была лицензия провайдера - с 2016 или 2017.
А если динамический айпи?! Конец строчки изменился, всё приехали, кина не будет
А если документацию открыть ?
The two crypto map types discussed and their usage:
Static crypto map - identifies peer and traffic to be encrypted explicitly. Typically used to accommodate a few tunnels with different profiles and characteristics (different partners, sites, location)
Dynamic crypto map - is one of the ways to accomodate peers sharing same characteristics (for example multiple branches offices sharing same configuration) or peers having dynamic IP addressing (DHCP, etc.)
Crypto map based IPsec VPN fundamentals - negotiation and configuration
https://community.cisco.com/t5/security-knowledge-base/crypt...
Здесь даже непонятно, что это за пост, и удалён ли он. Дайте ссылку, скажем конкретнее.
В последних строках было утверждение о работе государственных органов, не имеющее подтверждения.
Да нет там ничего огульного против официальных властей.
Там наблюдения, накиданные с ошибками.
#comment_336944132
Хм, а точнее можно. Упоминание "Что есть "белый список" интернета с госулугами и Яндекс дзеном". Вы про эту строку? Где здесь утверждение, что портал госуслуг работал?
В последних строках было утверждение о работе государственных органов, не имеющее подтверждения.
Теперь подтверждение есть, но ?
Скажу откровенно, автор того поста нихрена не понимает. Протоколы и порты, обфускация.
Нет ни у vless, ни у shadowsocks-2022 стандартного порта.
Более того, shadowsocks-2022 детектится by design, т.к. неотличим от потока случайных байтов.
А уж блокировка vless на 443 порту это банально блокировка всего https, что и было, т.к. не отличить поток vless reality от нормального трафика.
Ничего не понимающий автор за эти 15-20 минут, имея в распоряжении порядка 40 человек по стране и несколько крупных групп в телеге (те же квас, айтидог, эксплойт и тд) - успел провести массовый опрос и определить, что:
1) хттпс не работает в большинстве случаев, кроме ряда крупных сайтов. Госуслуги и дзен - работали.
2) телеграмм работает, хотя 443 порт.
3) впн не отключались, они вели себя как при потере пакетов - просто ожидание и всё, пока по тайму не отвалится браузер
4) пользователи впн на портах кроме 443 - не заметили проблем
5) амнезия и шадоу в "типовых" настройках - пострадали. "Типовые" - это рекомендация прятать впн под https протокол.
6) явление носило не всеобщий охват, но процентов 70-80 пользователей страны наблюдало. Локальные провы и сотовые. Дальний восток и Питер.
7) шадоу по 443 до сервера на даче внури локального провайдера (не выходило за прова наружу и не проходило ТСПУ) - работает.
8) Проблемы были на каналах, которые проходили через ТСПУ (предположительно, а то снова снесут).
9) Весь сбой сперва отрицался РКН, но через 15-20 минут после отката в рабочее состояние (не все сети восстановились сразу, как и не у всех провов маршрутизация, некоторые прямо ребутили железо) - ркн признал сбой.
10) это важный пункт - резиденты с кавказа утверждали, что в режиме "антитеррора" у них подобное применялось на несколько дней и выглядело 1в1.
По совокупности факторов, и имея исторический контекст блокировок, были сделаны личные оценочные суждения.
а) "сбой" был не сбоем, а неудачным применением жесткой формы блокировки (оверблок).
б) блокировка касалась 443 порта, была выборочной
в) самым логичным обьяснением её - блокировка наиболее типовых из еще работающих впн.
Вот и все.
Я реально достоин порицания, что использовал "обывательский формат" описания наблюдаемого?
Это нормально писать "Человек нихрена не понимает"? )
Если бы я нихрена не понимал - я бы вообще успел это за 15 минут сделать ?
Хочу повториться, что я выходил из дома и спешил, поэтому в целом написано сумбурно.
1 – Телеграм работал частично. У меня не грузилась gif, текстовые сообщения отправлялись и получались.
2 – телеграм использует не только 443 порт и у него свой протокол MTProto.
впн не отключались, они вели себя как при потере пакетов - просто ожидание и всё, пока по тайму не отвалится браузер
4) пользователи впн на портах кроме 443 - не заметили проблем
5) амнезия и шадоу в "типовых" настройках - пострадали. "Типовые" - это рекомендация прятать впн под https протокол.
3 – Vless и shadowsocks-2022 не «отваливаются». В принципе. Протокол такой. Без установки постоянного соединения.
4 – не были доступны и российские сайты по https, например skynet.ru. ssh даже до заграницы работал.
По совокупности факторов, и имея исторический контекст блокировок, были сделаны личные оценочные суждения.
а) "сбой" был не сбоем, а неудачным применением жесткой формы блокировки (оверблок).
б) блокировка касалась 443 порта, была выборочной
в) самым логичным обьяснением её - блокировка наиболее типовых из еще работающих впн.
Принцип бритвы Оккама нарушен, да и выводы не совсем логичные. Не существует способа обнаружения vless reality по сравнению с https. Блокировка vless на 443 порту = блокировка https. Shadowsocks-2022 детектится.
В итоге подъехали более-менее нормальные объяснения:
Сбой в работе рунета связан с обновлением Автоматической системы безопасности интернета, той самой, которая отвечает за «суверенный рунет»
По информации источника Осторожно Media в Минцифры, сбой произошел из-за того, что ПАО «Ростелеком» в рамках обновления АСБИ (именно так официально и называется система блокировки ресурсов РКН, которая также должна противостоять DDoS-атакам) «некорректно накатил обновление», которое привело к ошибкам и сбоям в работе технических средств противодействия угрозам (ТСПУ) по всей стране.
Собеседник уточнил, что ошибка была устранена относительно оперативно.
По всем пунктам, извиняюсь, придирки к деталям и "не везде а с исключениями". Глобально ничего не меняя.
Обьяснение "мы апнули всю россию некорректно накатив апдейт" - такое себе.
Не лучше моего.
Исторически проблем с обновлениями всем тспу по стране единовременно - не было ни разу.
А вот "глобальные блокировки впн" - были.
И по этой дороге ходят до сих пор.
Вы можете мне много написать, я воочию успел посмотреть как Shadow просто теряет все пакеты, а openvpn по udp - работает, в эти 15 минут.
Как wg внутри рф работает, вовне нет,
и при этом внутри рф не работает Amnesia на 443.
Моооожно конечно предположить
что что-то было в тспу у них на предмет блокировки 443 порта и они нечаянно включили, исключив госуслуги (работало у всех).
тогда вопрос - а зачем оно у них было в таком формате и как это можно нечаянно включить
я и предположил что колупали именно самый массовый тип впн, были уверены, что нашли решение, но оно в массе своей обрушило работу
Обьяснение "мы апнули всю россию некорректно накатив апдейт" -
Гораздо правдоподобнее вашего. Вы меня извините, но на таком уровне, когда блокируют протоколы уже знают, работает или нет.
Ладно, я понял. Критику по существу не воспринимаете. Но у вас есть какие-либо идеи, как, если они такие умные, они заблочили отечественные ip? У них, что, списка нет, не достать?
openvpn по udp - работает, в эти 15 минут.
именно самый массовый тип впн
блокировки 443 порта
1 – кто вам сказал, что самый массовый тип ВПН на 443 порту, когда можно его поставить на любой?
2 – кто вам сказал, что vless стал самым массовым?
3 – почему openvpn работал? Или мы блочим 443 порт (его же никак не сменить, да?).
Моооожно конечно предположить
что что-то было в тспу у них на предмет блокировки 443 порта и они нечаянно включили
ЧТО ЗНАЧИТ МОЖНО ПРЕДПОЛОЖИТЬ? Https трафик на 443 порту фильтруется давным давно. Вы думаете, почему SNI не работает? Почему byedpi работает?
P.S. можете на мои риторические вопросы не отвечать.
Ну, вам корона морального превосходства вижу нравится, значит по размеру )
Просите не спорить - не буду спорить )
Если бы вы массово настраивали чужие впн, сравнивали zoog/sigma/official и тд - вы бы знали что 443 используют поголовно все в пресетах коммерческих впн приложений.
И он почти всегда идет во всех рекомендациях по установке для самостийных пользователей.
И по этой причине - предельно массовый.
https://habr.com/ru/articles/865974/
А в теории то конечно, он МОЖЕТ быть на любом порту, от этого утверждение о массовости сразу опроверглось и вы предельно правы, прямо вот так правы что всех переспорили, в интернете неправых не осталось, а я плачу в углу ))
Да, и всегда начинайте диалог с фразы "оппонент не знает нихера" - это сразу увеличивает ваш интеллект на 15 процентов )
Я аплодирую вашей самооценке )
Мне бы такую
Из того, что критиковал, выбрали только то, что я не отрицал. Остальное можно даже и не комментировать (ведь это были риторические вопросы, показывающие вашу компетенцию). Ой как удобно.
Да я понял, да )
Корона не жмет и в размер.
Ну, от того, что я вас не убедил - мир не поменяется.
Здоровья вам и всего хорошего!
не просто можно поставить любой, а, например, самая популярная панель - 3x-ui, по умолчанию ставит рандомный порт. 443 нужно руками ставить
Я не силён в этом, но очень подозрительно, что пост снесли относительно быстро ( из-за упоминания портала госуслуги в "белом списке").
Правильно я понимаю, что существует большое колличество портов?
Vless маскируется под https, как я и писал, поэтому для лучшей маскировки используют 443 порт. Портов более 65000. Повторюсь, нет на сегодняшний день способа как-то vless отличить от https.
хмм. справедливо
если я правильно понимаю что у меня там настроено, V2Ray маскирует shadowsocks под websocket трафик, и шифрует всё tls
Хм, а если предположить, что разработали "гребёнку", которая распознает и блокирует трафик идущий в обход. До этого только поштучно блокировали, а теперь будут "мешками грести".
Поэтому в dest vless рекомендуют указывать тот глобальный ресурс, чьи cdn сидят в одной сети с твоим vpn сервером и им прикрываться.
Искать адрес для прикрытия можно например через RealiTLScanner.
Если вы не отправили специальное сообщение - попадёте на обычный сайт по обычному https. В этом и прелесть vless
если ты стукнешься влесс клиентом на сервер с инвалид кредами - он просто перенапаравит тебя на заглушку, которая настраивается тоже. Если я пропишу на сервере заглушку gosuslugi.ru - ты с инвалид кредами уйдёшь туда.
Извините, почему хуита?
Я не разбираюсь в этом.
Предположим, что назревает какая-нибудь ситуация или нужно в срочном порядке на время отключить народу доступ в интернет, но при этом ни один оператор/провайдер не должен быть замешан ( они же ничего не отключали и не блокировали).
Да просто это максимально тупой способ положить сразу и все (ну почти). Хотя, согласен, это вполне в духе РКН )
Лига Сисадминов
2.5K постов19K подписчиков
Правила сообщества
Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.