LINUX.ORG.RU
ФорумAdmin

Непонятная работа VPN(mikrotik, wireguard, sstp) не открывается сайт.

 , ,


0

1

Может кто подскажет. Есть VPS и роутер Mikrotik. И сайт, который по мнению старших товарищей подрывает все возможные устои…

Между VPS и роутером поднят WG туннель.

Настроено так: В mikrotik есть AddressList, где лежит адрес нужного сайта. В таблице Mangle, цепочке Prerouting на основании Adresslist маркируется маршрут и добавляется в таблицу маршрутизации. Далее трафик идет через VPS.

До недавнего времени все работало. Вчера ткнулся на этот сайт и ERR_TIMED_OUT

Но. Дальше интереснее.

Ткнулся на этот сайт телнетом на порт 443. Соединение установилось.

Завернул весь трафик с компа в туннель. Сайт открылся.

Вместо WG туннеля поднял SSTP. Все то же самое только вместо WG - SSTP. Сайт открылся…

Само собой, целевой сайт не один. Доступ к другим сайтом через WG туннель работает…

Может есть идеи?

Установить загрузчик на клонированную систему?
Установка РЕД АДМ в РЕД ОС
Ответ на: комментарий от NyXzOr

Туннель работает. Нет доступа к конкретному сайту, причем именно через WG туннель.

Я могу допустить, что научились избирательно блокировать шифрованный WG трафик… Но, как-то странно это)

AndrK189100
() автор топика
Ответ на: комментарий от AndrK189100

Вам насчет проверки адреса в первом ответе написали. Плюс ещё возможно, что сайт грузит что-то ещё и с другого доменного имени которое раньше не было в списках РКН, а теперь попало. Я бы посмотрел tcpdump-ом на какие IP ломится браузер при открытии этого сайта.

anc ★★★★★
()

  1. Что с IPv6 в этом сетапе? РКН с некоторых пор научился его успешно блокировать, и, если сайт его отдаёт, а туннель не поддерживает — всё понятно. В Файрфоксе на такой случай есть настройка network.dns.ipv4OnlyDomains.

  2. Что с DNS? Опять же, РКН успешно спуфит секьюрные сервера. Иногда, парадоксально, помогает отключить SSL/TLS, чтобы адрес нормально сресолвился, а потом уже по IP заворачивать в туннель. Да, товарищ майор поймёт, чего ты сресолвил, но это пока не наказуемо.

anonymous
()
Ответ на: комментарий от anc

Я таки не со всем тупой… Все с адресом нормально. Я же пишу. Через SSTP все работает. Все настройки одинаковые, за исключением технологии туннеля. Ну и еще при SSTP локальный адрес компа маскарадится на роутре, при WireGuard маршрутизируется.

TCP Dump запускал на VPS. Трафик ходит. Причем, ходит через, какую-то защиту от ddos. fqdn - ddos-guard.net

Может в этом проблема, или VPS, что-то не нравится.

Но, опят же, через SSTP все работает)

AndrK189100
() автор топика
Ответ на: комментарий от AndrK189100

Я таки не со всем тупой… Все с адресом нормально. Я же пишу. Через SSTP все работает.

Так вы проверили, что адрес один и тот же или положились на «Через SSTP все работает» и на этом успокоились?

TCP Dump запускал на VPS.

А надо было на локальном компе.

anc ★★★★★
()
Ответ на: комментарий от anc

Еще раз. Все с адресом нормально!!!. Он правильный, верный, не подмененный. Что мне смотреть на компе? Что приходят ip пакеты? Так они приходят… С компа соединение на 443 порт сайта устанавливается. Например telnet. Проблема, что сайт не отвечает по HTTP(S). Соединение закрывается по таймауту. Это, что-то в Wireguard.

AndrK189100
() автор топика
Ответ на: комментарий от AndrK189100

Еще раз. Все с адресом нормально!!!. Он правильный, верный, не подмененный. Что мне смотреть на компе? Что приходят ip пакеты? Так они приходят…

Ну раз у вас всё нормально, то зачем тему создаете?

anc ★★★★★
()
Установить загрузчик на клонированную систему?
Admin
Установка РЕД АДМ в РЕД ОС