Почему сайт не грузится без DNS over HTTPS?

Question

[Степан]

Имеется сайт на cloudflare: https://mp.inbrand.info/
Внезапно перестало подключаться к нему и браузер выдаёт ERR_CONNECTION_RESET


Пробую через curl - всё работает

Но в браузере ни в какую. Далее поставил в браузере, чтобы DNS over HTTPS шёл через cloudflare (1.1.1.1) вместо "поставщика услуг по умолчанию" и сайт загрузился.

Вырубил проксирование в cloudflare и поставил DNS only, раскрывая реальный айпишник, но сайт всё равно не грузится. Пытался включать/выключать TLS 1.3, включать/выключать Encrypted Client Hello в панель cloudflare - всё без толку... Айпи и домена в реестре РКН нет.

В чем может быть причина? Как выяснить?

Comments

[VoidVolker]

Похоже на косяк DNS сервера вашего провайдера или кривую блокировку. Посмотрите, может ли он его найти и если нет - то обращайтесь к провайдеру вашему с этим вопросом.

[Степан]

VoidVolker, проверил на двух провайдерах домашних - у обоих не грузится. С мобильного грузит. Но мне больше непонятно почему curl работает (я даже скопировал курл точно такой же, как в девтулзах)

[AwesomeSayz]

Если не ошибаюсь, в браузере могут использоваться иные DNS серверы (как минимум, DoH/DoT), нежели в самой ОС.

Попробуйте проверить с двух разных устройств/браузеров.
Например, с телефона.

Также в браузерах есть функции защиты, можно проверить без них (но думаю, дело не в них , раз при включенном DoH на сайт пускает)

Ну и я бы ещё покопал в сторону ssl сертификата например, может просто curl позволяет через него получить страничку, а браузер почему - то нет)
Может сертификат не работает корректно, но включена переадресация на https на сервере.

UPD. Хотя сам сейчас и с мобильного, и домашнего инета не могу зайти, а curl 301 ошибку выдаёт. В данный момент проблема на стороне сервера.

[Adler]

AwesomeSayz, 301 это не ошибка, а редирект.
Попробуйте сделать

curl -L https://mp.inbrand.info/

[Wexter]

Степан, curl не поддерживает ECH

[Степан]

Wexter, тогда получается, если в браузере вырубить EHC, то запрос должен стать аналогичным курлу. Но курл работает, а браузер почему-то нет.
Ещё выяснил, что при включении GoodByeDPI сайт грузится) Ну а в терминале и без гудбая работает

[shurshur]

Степан, лучше всего записать pcap для браузера и для curl и сравнить.

Раз gbdpi помогает - значит, блокирует именно цензурное ведомство.

Может оказаться, что ECH на самом деле не выключен. В браузерах (по крайней мере хромовых) его сложно отключить.

Answer 1

[Пума Тайланд]

А как вы ech выключаете в панели когда они давно уже убрали такую опцию и можно выключить только через апи

Comments

[Степан]

А я через апи и выключал. Да и в принципе я отключал TLS 1.3

Answer 2

[baligins]

проблема в cloudflare

Comments

[Степан]

когда я ставил DNS only режим проблема сохранялась

[Виктор Таран]

вы в россии? клаудфлеер ?
и у вас вопросы ?
серьезно?
а новости мима вас прошли?
та мне реестра там клаудфлеер весь

[estat1k]

Сейчас РКН не всегда вносит домен в реестр, очень похоже на внереестровую блокировку. Сам с таким сталкивался уже дважды.

Answer 3

[Shohruh Uz]

Временно не использовать Cloudflare

Answer 4

[Иммануил Мотоциклов]

Cloudflare - серьёзная головная боль для РКН. Потому если что-то не фурычит - надо всегда пробовать заходить допустим из Японии. Хотя это и так очевидно ... Докатились до ручки, ужас!

Answer 5

[Владислав Евгеньевич Демидов]

Проблема, скорее всего, связана с конфигурацией DNS, сетевыми ограничениями или поведением провайдера. Вот краткий разбор и шаги для диагностики:

1. ERRCONNECTIONRESET: Ошибка указывает на сброс соединения на уровне TCP. Это может быть вызвано блокировкой провайдером, неправильной конфигурацией сервера или проблемами с TLS.

2. Работает через curl, но не в браузере: Curl менее строг к TLS и DNS, чем современные браузеры. Плюс, curl может использовать другие пути разрешения DNS. Это подтверждает, что сервер доступен, но что-то мешает браузеру.

3. DNS over HTTPS через Cloudflare решает проблему: Это намекает, что ваш провайдер или стандартный DNS-сервер может блокировать/фильтровать запросы к домену или возвращать некорректные данные. Без DoH провайдер может вмешиваться в трафик.

4. Проксирование Cloudflare и DNS Only: Переключение на DNS Only исключает влияние Cloudflare как прокси, но проблема остаётся, что указывает на блокировку на уровне DNS или IP у провайдера/сети.

5. TLS 1.3 и Encrypted Client Hello: Изменения этих настроек не помогли, так как проблема, скорее всего, не в шифровании соединения, а на этапе разрешения имени (DNS).

### Возможные причины:
- Блокировка провайдером: Даже если домен/IP не в реестре РКН, провайдер может фильтровать трафик выборочно, основываясь на анализе или сторонних списках.
- DNS-спуфинг: Провайдер может подменять ответы DNS, из-за чего браузер не может установить соединение.
- Локальная сеть: Если вы в корпоративной/ограниченной сети, там могут быть свои фильтры или ограничения на DNS-запросы.

### Что делать:
1. Проверить DNS: Выполните nslookup mp.inbrand.info или dig mp.inbrand.info с разными DNS-серверами (например, 1.1.1.1, 8.8.8.8, провайдерский). Сравните ответы. Если провайдерский DNS возвращает неверный IP или ошибку, проблема в нём.
nslookup mp.inbrand.info 1.1.1.1


2. Проверить блокировку IP: Узнайте реальный IP сервера (через dig или панель Cloudflare) и попробуйте зайти на сайт по IP через браузер (https:///). Если работает, проблема точно в DNS.

3. Тестирование с другим провайдером/сетью: Подключитесь через VPN или другую сеть (например, мобильный интернет). Если сайт грузится, виноват ваш провайдер.

4. Логи сервера: Проверьте логи веб-сервера (Nginx/Apache) на предмет ошибок или отсутствия запросов от браузера. Это поможет понять, доходит ли запрос до сервера.

5. Временное решение: Настройте DNS over HTTPS в браузере (или на уровне ОС) на 1.1.1.1 или 8.8.8.8, чтобы обойти провайдерские ограничения.

6. Обратиться к провайдеру: Если проблема только у конкретного провайдера, запросите у них информацию о возможной фильтрации.

Но как вариант я бы попробовал через vpn проверить. Если все работает то точно провайдер.