Аномальное поведение трафика у Hezner в финляндии?

Question

[Xard471]

Здравствуйте. Извиняюсь за странную формулировку вопроса. Сразу обговорю закупка дедика у Hezner идет через третье лицо koara, так как покупка у Hezner напрямую ограничена. Из за этого общение происходило с саппортом коары, что не дало никакого результата.

В первый же день настройки машины были выявлены проблемы с пробросом для grafana домена через nginx, а именно сайт grafana упорно отказывался нормально загружаться у меня. Я задумался над тем что проблема вероятно обстоит именно в конфигурации nginx, но брал я ее из документации. Далее по случайному стечению обстоятельств одному из "коллег" я дал домен, по которому у него все идиально заходило. После этого я решил заняться этим чуть позже, так как дедик нужен для игровых серверов. Такая же ситуация как и с grafana случилась с панелью управления, но уже не у меня а у другого пользователя. Мы сделали все возможные тесты, tracecert, tracetcp, ping, Winmtr, но не выявили не на одном хопе проблем. Tracetcp делали так как с игровыми серверами происходило все тоже самое. На игровом сервере перед заходом есть момент подгрузки с сервера кастомных игровых ассетов пользователю и это делается через tls 1.3 поверх tcp, но у части пользователей скорость скачивания 20-50 мбит (что является нормой), а у части скорость стабильно держится на 0.2 мбит и потом происходит разрыв соединения. По поводу сайтов панели и grafana в коде страницы во вкладке сеть проблема конкретно с "нестабильным соединением", а именно (пишу то что писал провайдеру)

половина пользователей просто не может взаимодействовать с машиной.
У меня при загрузке сайта во вкладке сеть для favicon.png Заблокирован и NS_ERROR_NET_PARTAL_TRANSFER для другого index пакета. То есть нестабильное или плохое соединение, что противоречит реальности. У меня на других сервисах на сервере все работает идиально. Такая же ситуация у других. Это продолжается постоянно. Опять же используется VPN или не используется. Разные регионы, страны - все равно

Ситуация настолько странная, что у меня есть nginx, который проксирует portiner и панель для управления игровыми серверами. У меня portiner загружается моментально, а панель висит с белым экраном. Такая же проблема наблюдается и с sftp. От панели она идет на не стандартном порту и даже при смене порта ситуация с недоступностью для того же числа лиц не меняется.

Ситуация напоминает проблему с ТСПУ и dpi проверками трафика, но блокировка не понятно как вообще работает. Почему у меня под VPN отлично работает любой сервис, но именно датацентр в хезнере на финах нормально не грузится пару сайтов? Почему блокируется то разные протоколы, то разные порты, почему в половине случаев VPN не помогает, то части помогает. У половины вообще без VPN все отлично работает. Как ТСПУ в принципе обрабатывают такой огромный поток трафика в таком случае?

P.S.
Для решения проблем пробывал и буфер для tcp увеличивать, и с mtu баловался, и порты менял у сервисов, и nginx перенастраивал, и пытался на прямую коннектится без nginx и т.п.

Могу по любому запросу докинуть больше информации.

Так же есть пользовательский Winmtr

----------------------------------------------------------------------------------------|


|                                      WinMTR statistics                                   |


|                       Host              -   %  | Sent | Recv | Best | Avrg | Wrst | Last |


|------------------------------------------------|------|------|------|------|------|------|


|                             192.168.0.1 -    0 |  461 |  461 |    0 |    1 |   25 |    1 |


|                              10.144.4.1 -    0 |  461 |  461 |    1 |    1 |   43 |    1 |


|                             172.22.1.21 -    0 |  461 |  461 |    1 |    1 |   40 |    1 |


|                          10.255.243.230 -    0 |  461 |  461 |    1 |    2 |  262 |    2 |


|                          10.255.243.248 -    0 |  461 |  461 |    1 |    2 |  251 |    1 |


|                          10.255.243.201 -    0 |  461 |  461 |    1 |    4 |  298 |    2 |


|                         195.239.191.140 -    0 |  461 |  461 |    1 |    3 |  314 |    2 |


|                 mx01.Frankfurt.gldn.net -    0 |  461 |  461 |   92 |   93 |  372 |   92 |


|                            213.33.140.1 -    0 |  461 |  461 |   92 |   96 |  351 |   93 |


|                   core4.fra.hetzner.com -    1 |  454 |  452 |   80 |   81 |  305 |   81 |


|                 core22.fsn1.hetzner.com -    0 |  461 |  461 |   86 |   88 |  275 |   86 |


|              ex9k1.dc8.fsn1.hetzner.com -    1 |  457 |  456 |   92 |   94 |  261 |   92 |


|static.156.32.201.138.clients.your-server.de -    0 |  461 |  461 |   86 |   87 |  231 |   88 |


|____________|||||||


WinMTR v1.00 GPLv2 (original by Appnor MSP - Fully Managed Hosting & Cloud Provider)

Дополнение:
Для решения проблем были попытки установить реверспрокси для некотрых сервисов, но ровным счетом ничего не менялось.

Comments

[Everything_is_bad]

Извиняюсь что в таком плохо читаемом виде.

ну так оберни тегом code

[Александр]

Автор еще не понял что глобального свободного интернета больше нет.
Чтобы пользоваться хостингом в финляндии, надо быть в финляндии.
Желательно кинуть кабель из дата центра прямо в офис.
Все остальное блокируется в произвольном объеме и направлениях.

[Xard471]

Александр, Здравствуйте. Прекрасно наблюдать как вопрос с пометкой "сложно" бьется об ответ: "автор дибил не понимает базы, инета глобального нету". Тогда вопрос почему все ок с датацентром хезнера в Германии? Там такого не наблюдается. Если у меня любая точка за границей вот таким образом вела себя, то я бы сюда вопрос не писал, а сделал уже выводы. Если инет умирает по причине отсуствие нормальной линии между дата центром и мной, то почему выборочно, почему хопы все нормальные (1% потерь это погрешность). Я бы принял критику такого уровня, если была конкретика и разбор с точки зрения технической составляющей.

[Xard471]

Everything_is_bad, я вообще про весь вопрос (:

[Александр]

Так как сейчас идет информационная война.
Для блокировок провайдеров обязали установить спец-оборудование, к которому у них нет доступа. После этого начались такие "приколы", что вроде-бы маршрут есть и пинги ходят, http простые ходят - страницы грузятся, а пытаешься скачать файл - 32 кБ только скачивается.

Кабель из ДЦ в офис - это метафора, и попытка сказать что работу оборудования можно обойти только физически.

Вполне ожидаема полная изоляция сети в границах государств, и работа любых игровых серверов - по заявкам, с предоставлением полного доступа к ним сотрудникам ФСБ. Международные сервера скоро будут под запретом. Большинство компаний не так давно были вынуждены срочно менять хостинги VPS - вы наверно заметили как поменялись цены под влиянием спроса.

В связи с чем ваши попытки наладки трансграничной работы хостинга выглядят смешно.

Ждите, возможно когда финляндию присоединят к РФ как финскую республику - все наладится. Осталось менее 50 лет.

[Xard471]

Александр, Спасибо за более развернутый ответ. Я понимаю что идет дегллобализация и тенденция такая не только в Рф происходит. Мы можем вообще с вами погружаться в политологию и дальше, но я уже сам в вопросе обьяснил что понимаю почему так происходит. Мне интересен технический параметр проблемы - как РКН в состоянии что-то замедлять, если оно обернуто в куча прокси и впнов. В таком случае то что мы видим на примере меня просто является показателем что блокировка происходит просто трафика из границы до рф. Она имеет веерный характер и основывается на всем трафике без выявления сигнатур определенных. Только такое обьяснение имеет место быть в таком случае.

[Xard471]

Так же хочу дополнить. Для решения проблем были плпытки установить реверспрокси для некотрых сервисов, но ровным счетом ничего не менялось.

[Everything_is_bad]

дополняй в самом вопросе, а не в ответах

[VoidVolker]

Мне интересен технический параметр проблемы - как РКН в состоянии что-то замедлять, если оно обернуто в куча прокси и впнов.

Добро пожаловать в мир, где бэкдоры в железе и протоколах вот так практически в открытую используются.

[Xard471]

VoidVolker, Здравствуйте. Какие бекдоры в протоколе Vless вы знаете ? Какие бедоры есть у TCP или Tls 1.3 ? Какие именно вы имели ввиду бекдоры на уровне железа, которые могут эксплотироваться для веерной блокировки трафика. Сильно буду рад получить полный и исчерпывающий ответ на вопросы. Заранен спасибо

[VoidVolker]

Xard471, хах, вы что, серьёзно верите, что сможете получить исчерпывающий ответ на такой вопрос? Бэкдоры для того и внедряют, чтобы их было очень трудно найти. Просто приведу пример: вот буквально в прошлом году, "внезапно" обнаружили попытку внедрения вредоносного кода в библиотеки связанные с безопасностью в линуксе (как раз что-то с SSL связанное, ЕМНИП) от, казалось бы, проверенного разработчика, который работал уже несколько лет с кодом. Ну вот, одного поймали, а скольких не поймали? А сколько вредоносного кода в репозиториях NPM? А в железе найти гораздо сложнее что-то найти и оно намного уязвимее. Даже сам основатель линукса истеричка и русофоб — думаете, к нему никто не приходил с предложением типа "вот тут паяльник, а вот тут чемодан денег, что выбираете"? Какое может быть доверие к такому разработчику?

[shurshur]

Xard471,

Мне интересен технический параметр проблемы - как РКН в состоянии что-то замедлять, если оно обернуто в куча прокси и впнов

"Замедление" (эвфемизм!) работает просто: дропаются рандомные пакеты. Например, если дропать 5% пакетов TCP, то всё начинает тормозить, пока потерянные пакеты не отресендятся. Для UDP дроп пакетов ещё хуже, потому что там ресендов нет, и если протокол уровня приложения не умеет хоть как-то работать с потерями пакетов, то всё вообще перестаёт работать - именно это происходит с голосовыми приложениями при блокировке, замаскированной под "замедление".

Answer 1

[Александр]

Блокируют.

Answer 2

[Кот Абсолютный]

1. Блокируют.
2. На...дувают (это я про третье лицо)

Тырнет, таким каким мы его знали лет так десять назад - мертв. Знаете, в средние века была такая жуткая казнь - разметывание лошадьми (хорошо описана у Дюма в романе "Сорок пять"). Это когда живого человека рвут на части четырьмя лошадьми, которых подгоняют в четыре разных направлениях.

Вот и с тырнетом происходит что-то подобное. Раньше, когда что-то не работало (особенно, если это "что-то" за бугром) - всегда думали "ну что-то поломалось". Сейчас же первая мысль - "опять кто-то блокировки усилил". Когда что-то не работает, а ты не можешь сказать, неисправно оно или же это просто очередная блокировка - это просто черт знает что такое и в этом "черт знает что" приходится жить.

Мне интересен технический параметр проблемы - как РКН в состоянии что-то замедлять, если оно обернуто в куча прокси и впнов.

Каком кверху. Когда ты в состоянии контролировать множество соединений одновременно - это позволяет выявлять интересные закономерности. Ну и если параноить по полной, то Вы не контролируете никакую VPS - ни в РФ ни за ее пределами (что означает, что не можете быть уверенными в сохранности ключей vpn).

Какие бекдоры в протоколе Vless вы знаете ?

Я - никаких. Но тем не менее его с недавних пор успешно блокируют (хотя конечно же есть способы обхода, которые пока работают).

Какие бедоры есть у TCP

Знаю как минимум один. Зовут его Линус Торвальдс. Помните ту самую историю про удаление из состава разработчиков линуха только за то, что почта в домене .ru? (там реально были люди, давно эмигрировавшие, но сохранившие свою почту)? Если не помните/не знаете - вот относительно полное изложение с множеством пруфов на сообщения в списках рассылки ядра линуха. Это чистейшей воды политическое решение - мы просто знаем о нем, потому что заметили. А сколько не заметили и потому не знаем?

или Tls 1.3 ?

Вы можете гарантировать, что работающая на данном конкретном сервере реализация TLS не содержит бэкдоров ? Я вот нет - я не видел тамошнего бинаря openssl и библиотек.