Задать вопрос

Владислав Евгеньевич Демидов

IT Team Lead
Ответы

  • Почему сайт не грузится без DNS over HTTPS?

    @wobujidao
    IT Team Lead
    Проблема, скорее всего, связана с конфигурацией DNS, сетевыми ограничениями или поведением провайдера. Вот краткий разбор и шаги для диагностики:

    1. ERRCONNECTIONRESET: Ошибка указывает на сброс соединения на уровне TCP. Это может быть вызвано блокировкой провайдером, неправильной конфигурацией сервера или проблемами с TLS.

    2. Работает через curl, но не в браузере: Curl менее строг к TLS и DNS, чем современные браузеры. Плюс, curl может использовать другие пути разрешения DNS. Это подтверждает, что сервер доступен, но что-то мешает браузеру.

    3. DNS over HTTPS через Cloudflare решает проблему: Это намекает, что ваш провайдер или стандартный DNS-сервер может блокировать/фильтровать запросы к домену или возвращать некорректные данные. Без DoH провайдер может вмешиваться в трафик.

    4. Проксирование Cloudflare и DNS Only: Переключение на DNS Only исключает влияние Cloudflare как прокси, но проблема остаётся, что указывает на блокировку на уровне DNS или IP у провайдера/сети.

    5. TLS 1.3 и Encrypted Client Hello: Изменения этих настроек не помогли, так как проблема, скорее всего, не в шифровании соединения, а на этапе разрешения имени (DNS).

    ### Возможные причины:
    - Блокировка провайдером: Даже если домен/IP не в реестре РКН, провайдер может фильтровать трафик выборочно, основываясь на анализе или сторонних списках.
    - DNS-спуфинг: Провайдер может подменять ответы DNS, из-за чего браузер не может установить соединение.
    - Локальная сеть: Если вы в корпоративной/ограниченной сети, там могут быть свои фильтры или ограничения на DNS-запросы.

    ### Что делать:
    1. Проверить DNS: Выполните nslookup mp.inbrand.info или dig mp.inbrand.info с разными DNS-серверами (например, 1.1.1.1, 8.8.8.8, провайдерский). Сравните ответы. Если провайдерский DNS возвращает неверный IP или ошибку, проблема в нём.
    nslookup mp.inbrand.info 1.1.1.1


    2. Проверить блокировку IP: Узнайте реальный IP сервера (через dig или панель Cloudflare) и попробуйте зайти на сайт по IP через браузер (https:///). Если работает, проблема точно в DNS.

    3. Тестирование с другим провайдером/сетью: Подключитесь через VPN или другую сеть (например, мобильный интернет). Если сайт грузится, виноват ваш провайдер.

    4. Логи сервера: Проверьте логи веб-сервера (Nginx/Apache) на предмет ошибок или отсутствия запросов от браузера. Это поможет понять, доходит ли запрос до сервера.

    5. Временное решение: Настройте DNS over HTTPS в браузере (или на уровне ОС) на 1.1.1.1 или 8.8.8.8, чтобы обойти провайдерские ограничения.

    6. Обратиться к провайдеру: Если проблема только у конкретного провайдера, запросите у них информацию о возможной фильтрации.

    Но как вариант я бы попробовал через vpn проверить. Если все работает то точно провайдер.
    Ответ написан
    Комментировать
    Комментировать

  • Как построить свой маршрут в обход провайдерского (mikrotik 7)?

    @wobujidao
    IT Team Lead
    Чтобы построить оптимальный маршрут в обход провайдерского на MikroTik (RouterOS 7), нужно использовать BGP или статические маршруты с учетом доступных стыков через сторонних провайдеров. Вот краткий план:

    1. Анализ трассировки:
    - Используйте traceroute с обоих IP для определения оптимальных путей через сторонних провайдеров.
    - Найдите узлы (AS), которые обеспечивают более короткий маршрут.

    2. Получение информации о стыках:
    - Проверьте, есть ли у ваших провайдеров или их партнеров доступ к нужным AS (через Looking Glass, PeeringDB).
    - Уточните, поддерживают ли провайдеры BGP или есть ли возможность арендовать туннель (GRE, IPIP, VXLAN) до нужного узла.

    3. Настройка на MikroTik:
    - BGP:
    - Если провайдеры поддерживают BGP, настройте iBGP/eBGP сессии.
    - Используйте фильтры маршрутов (route-filter, prefix-list) для приоритизации оптимального пути через нужные AS.
    - Настройте атрибуты BGP (например, local-pref, MED, as-path prepend) для управления выбором маршрута.
    - Статические маршруты:
    - Если BGP недоступен, настройте статические маршруты до целевого IP через шлюз стороннего провайдера, который обеспечивает оптимальный путь.
    - Используйте mangle и route rules для направления трафика на определённый шлюз.
    - Пример:

    /ip route
    add dst-address=ЦЕЛЕВОЙ_IP gateway=ШЛЮЗ_ПРОВАЙДЕРА distance=1
    /ip firewall mangle
    add chain=prerouting dst-address=ЦЕЛЕВОЙ_IP action=mark-routing new-routing-mark=to_optimal passthrough=yes
    /ip route rule
    add routing-mark=to_optimal action=lookup table=opt_route
    /ip route
    add dst-address=0.0.0.0/0 gateway=ШЛЮЗ_ПРОВАЙДЕРА table=opt_route


    4. Туннели (если прямого стыка нет):
    - Настройте GRE или IPIP-туннель до узла, где есть стык с нужным провайдером.
    - Пропишите маршруты через туннель.
    - Пример:
    /interface gre
    add name=gre1 local-address=ВАШ_IP remote-address=УДАЛЁННЫЙ_IP
    /ip address
    add address=10.0.0.1/30 interface=gre1
    /ip route
    add dst-address=ЦЕЛЕВОЙ_IP gateway=10.0.0.2


    5. Мониторинг и тестирование:
    - Используйте /tool traceroute и /tool ping для проверки маршрута.
    - Настройте Netwatch для отслеживания доступности маршрута и переключения при сбоях.

    6. Дополнительно:
    - Если провайдеры не сотрудничают, рассмотрите аренду VPS/серверов в точке с хорошим стыком и настройте туннель до него.
    - Используйте SD-WAN решения (например, через сторонние сервисы) для упрощения маршрутизации.

    Рекомендации:
    - Для точной настройки уточните IP-адреса, провайдеров и их AS.
    - Проверьте, есть ли у MikroTik лицензия для BGP (нужна Level 4+).
    - Если опыта с BGP мало, начните со статических маршрутов или туннелей.

    Если нужны конкретные команды или помощь с настройкой, напишите детали (IP, шлюзы, AS).
    Ответ написан
    2 комментария
    2 комментария