Приёмная
Андрей

DNS over HTTPS и интернет от Мегафон

Все мои попытки достучаться до умных сетевых инженеров Мегафон успехом не увенчались. А вдруг поможет коллективный разум?

Суть проблемы в следующем. Текущим летом, пользуясь интернет от Мегафон с раздачей с роутера на компьютеры, был озадачен невозможностью открыть сайты booking.com и airbnb.com . Причем с этого же компьютера в тех же браузерах, но в сети другого провайдера, всё открывалось "на ура". Проблема оказалась во включенном режиме DNS over HTTPS - при отключении доступ появлялся. Служба поддержки Мегафон после первой моей заявки проблему вроде даже признала, но сразу предупредила, что срок её решения неизвестен.

Шло время, я периодически поднимал заявки, которые Мегафон успешно закрывал, проблема периодически трансформировалась,но не решалась полностью. На момент написания поста сайты стали открываться в режиме DNS over HTTPS лишь с использованием Google Public DNS. При этом они продолжают оставаться недоступны с использованием услуг DNS от Сloudflare, NextDNS и возможно некоторых других (все не проверял, небыло такой задачи). Cегодня обнаружил, что кроме booking.com и airbnb.com при использовании DNS over HTTPS от Сloudflare в сети Мегафон также не открывается сайт skyscanner.ru и gosuslugi.ru

Отмечу, что эта проблема проявляется не на конкретном абонентском номере или вышке, не на конкретном компьютере ( проверено и на windows и на linux) , а в целом по сети Мегафон (проверял и в городе и за городом). Собственно любой желающий может проверить это, что называется "на себе", раздав интернет от Мегафон с телефона на компьютер. Стоит обратить внимание, что для теста лучше установить отдельный "чистый" браузер, чтобы с аккуратным постоянством чистить его кэш после каждого переключения настроек DNS over HTTPS

0
40 комментариев
Написать комментарий...
Ярослав Яшин

Странно, что кто-то вмешивается в HTTPS трафик.
Я немного по другому проверил, а именно:
curl -H 'accept: application/dns-json' 'https://1.1.1.1/dns-query?name=booking.com&type=A' | jq .
Без браузеров, без кеша.
И т.д. (гугл)
curl -H 'accept: application/dns-json' 'https://8.8.8.8/resolve?name=booking.com&type=A' | jq .
Проверил booking, airbnb, gosuslugi у 1.1.1.1 , 8.8.8.8 через Мегафон и ростелеком. У меня всё хорошо. ЧЯДНТ?

Ответить
Развернуть ветку
John Doe

Скрепный рунет тестируют. Какие-то операторы проявляют больше рвения, какие-то - меньше.

Ответить
Развернуть ветку
Андрей
Автор

Попробуйте проверить не "немного по другому", а как обычный рядовой пользователь компьютера. Включите в Firefox, Opera или Chrome DNS over HTTPS от Сloudflare, закройте все лишние вкладки и очистите кэш, историю и т.п. . Перезагрузите браузер и зайдите на указанные сайты. Если получится - значит ЯВДНТ)
PS Используйте мобильный интернет от Мегафон.

Ответить
Развернуть ветку
Ярослав Яшин

Как обычный пользователь, зашел в firefox на обычном windows, включил dns через cloudflare (это и есть 1.1.1.1) Все gosuslugi , airbnb , booking открывается без проблем.
Я даже больше скажу; для чистоты эксперимента я после запретил 53 порт на роутере и остальные браузеры на этом компьютере перестали открывать любые сайты (что ожидаемо), firefox - без проблем.
p.s. PTR запись адреса client.yota.ru , но у меня не Yota, и никогда её не было. Самый обычный МегаФон.

Ответить
Развернуть ветку
Андрей
Автор

Ну супер. Надеюсь не забыли сбросить все куки, кэш, историю и т.п. после включения DNS over HTTPS от Сloudflare. Если это так, значит возможно есть региональные особенности. И вряд ли Yota тут совсем не причем, они с Мегафон всетаки взаимосвязаны. Вот скрин у меня с такими же настройками прямо сейчас . Но у меня IP по записи именно от Мегафон.

Ответить
Развернуть ветку
Ярослав Яшин

Естественно всё сброшено, из-за запрета обычного DNS, остальные браузеры у меня с такой же ошибкой.

Вы понимаете, технически DNS over HTTPS либо полностью работает, либо полностью не работает. Как проверить - я написал выше. Провайдер и государство видят только, что вы обращаетесь к DNS серверу (https host), но видят что вы у него спрашиваете.
Поэтому лучше вам проверить, как я показал с самого начала.
p.s. Ну не Yota у меня, не Yota. Перезагрузил пару раз роутер (с модемом), но подсеть /24 та же остаётся.
Нижегородская область.

Ответить
Развернуть ветку
Андрей
Автор

Технически я в целом представляю, как это должно работать, но вот как настроен и работает DPI у провайдера мне совсем не ведомо.
И вот совсем не понял, как влияет настройка одного браузера на настройки других браузеров? У меня как раз с этим нет проблем, на Firefox сайт не доступен (скрин), а на Edge и Opera с другими настройками DNS over HTTPS (Google Public) нет проблем.
PS. Yota по идее работает на базовых станциях Мегафона, но и свои у них есть, и своя сеть. Как делят я не знаю. Возможно ваша вышка Йотовская, но отдает также адреса Мегафону. Но это только ИМХО.

Ответить
Развернуть ветку
Ярослав Яшин
> И вот совсем не понял, как влияет настройка одного браузера на настройки других браузеров?

Никак. Я 53 порт отключил, поэтому остальные не работают. А Firefox через Cloudflare - работает. Просто я не был уверен, что браузер не попытается использовать обычный 53 порт (кстати, тогда вся "приватность" накроется), если не получит ответ через HTTPS.

Ответить
Развернуть ветку
Андрей
Автор

Ну если будет возможность протестить чистый Мегафон (явно с другой вышки) отпишитесь, интересно же.
Проверять другими способами для себя не вижу особого смысла, поскольку основная задача была просто попасть на нужный сайт из обычного браузера. В итоге пришлось разные браузеры по разному настраивать.
Вот кстати еще проверял, что при подключении из Мегафон по VPN к своему домашнему кабельному провайдеру проблема сразу пропадает, т.е. маршрутизация Мегафона всётаки имеет значение.

Ответить
Развернуть ветку
Андрей
Автор

Так и не удалось добраться до другой вышки и проверить на IP адресе Мегафона?? Жаль.
Я вот столкнулся, что figma.com тоже не хочет открываться при включении DNS over HTTPS, неважно какой браузер ((
Чуствую придется мне проверить всё, о чем я писал на Yota, чтобы небыло недомолвок.

Ответить
Развернуть ветку
Ярослав Яшин

Да как добраться? Это модем в стационарном роутере. Ну сейчас 83.149.46.2**, никакой йоты в реверсе нет, определяется МегаФоном. Всё работает так же. Т.е. работает.
Вы понимаете, что технически можно фильтровать ваш запрос только если есть сертификат, который позволяет иметь доступ к вашему трафику? Провайдер не может знать, какой DNS запрос внутри HTTPS трафика. Т.е. либо работает все, либо ничего.

Ответить
Развернуть ветку
Андрей
Автор

Ну это вы моим браузерам объясните, что они должны )) Ведь факт оставется фактом - как только я меняю сеть с Мегафона на другую, то без каких-либо доп перенастроек всё начинает открываться. Для технической реализации как я понимаю и применяются устройства DPI у провайдеров.
И TOR сегодня тоже блокируют и VPN сервисы, везде шифрованый трафик. Вопрос только в том, что не надо блокировать что не попадя...

Ответить
Развернуть ветку
Ярослав Яшин

У меня и TOR работает (в России); просто через мост; его блокируют примитивно, по IP адресам. А вот выборочно блокировать HTTPS на основе данных нельзя; тем более после того, как вы написали о проблеме с gosuslugi.ru - ну явно уже проблему стоит искать не в мегафоне; вернее может и в нём (т.е. из-за использования этого шлюза), но не в специальной блокировке. Я бы теоретически подумал о проблемах с MTU (кривой "свисток" или роутер\телефон себя так проявляет) или антивирус\брандмауэр (да , может избирательно блокировать в зависимости от соединения), но все варианты маловероятны.

Ответить
Развернуть ветку
Андрей
Автор

На даче использую роутер, в городе подключал для проверки через телефон (соответственно разные вышки, разные сим, разные натсройки). В обоих случаях проблема. Про антивирус\брандмауер тоже размышлял, но это неприменимо, поскольку в другой сети работает нормально.
Касательно работоспособности госуслуг - возможно просто кривизна общих настроек маршрутизации через DPI Ну не знаю, как это всё еще объяснить. В чудеса давно не верю.

Ответить
Развернуть ветку
Ярослав Яшин
> Про антивирус\брандмауер тоже размышлял, но это неприменимо, поскольку в другой сети работает нормально.

Как раз применимо. К разным сетям (подключениям) - разные настройки. На след. неделе ещё буду в офисах, у меня есть мегафоны, там могу перенастроить браузер через DoH и оставить, не жалко - будут проблемы, мне точно позвонят.

Ответить
Развернуть ветку
Андрей
Автор

Антивирус AVAST. Настройки одинаковые, как таковых их всего две - домашняя сеть или общественная. В обоих случая использую домашнюю. Более того пробовал удалять AVAST, ничего не изменялось.

Ответить
Развернуть ветку
Ярослав Яшин

Начните проверять wget-ом сначала, а то браузером вы проблему не локализуете.

Ответить
Развернуть ветку
Андрей
Автор

Ну не системный администратор я, а простой пользователь, чтобы изучать консольные утилиты нужно время. Если вы админ - давайте пример команды запроса к неоткрываемому сайту, например тот же figma.com , причем так, чтобы запрос уходил используя DNS over HTTPS от Сloudflare в точности так, как это делает браузер - я проверю и отпишусь.
Да, забыл еще раз напомнить, что в Firefox на linux mint такая-же ерунда при включения DNS over HTTPS от Сloudflare., так причем тут антивирус? Так, что будете офисы настраивать, установите им именно DNS over HTTPS от Сloudflare.

Ответить
Развернуть ветку
МегаФон

Андрей, здравствуйте! Напишите, пожалуйста, о произошедшей ситуации нам в личные сообщения одного из официальных сообществ: ВКонтакте, Facebook или Twitter. Дополнительно просим указать ссылку на ваш пост.
Будем рады помочь во всем разобраться!

Ответить
Развернуть ветку
Андрей
Автор

Уважаемый Мегафон. Уже пол года пишу вам о проблеме в поддержку, причем как в чате, так и в виде подробного письма на эл. почту. Вы и правда теперь попробуете разобраться, или опять напишите, что "на номере нет ограничений, бла...бла...бла..." ?

Ответить
Развернуть ветку
МегаФон

Пожалуйста, не волнуйтесь. Мы обязательно все проверим и поможем разобраться в данной ситуации!

Ответить
Развернуть ветку
Андрей
Автор

Я особо и не волнуюсь, ведь никто не будет разбираться. Только что вот получил очередной звонок от Мегафон. Звонила какая-то девушка, явно не сильно вникавщая в детали, сообщила, что по моим предыдущим обращениям всё уже проверили и считают, что у них всё отлично, а если чтото не открывается, то Мегафон по условиям договора ничего не гарантирует. Ну что тут скажешь еще, в этом ответе вся суть компании вероятно.

Так что надежда только на всех, кто также оставит заявки по описанной проблеме, т.е. как и писал в самом начале - на коллективный разум.

Ответить
Развернуть ветку
МегаФон

Если ваш вопрос ещё актуален и затруднения по-прежнему наблюдаются, то можете написать нам в личные сообщения здесь - будем разбираться далее.

Ответить
Развернуть ветку
Андрей
Автор

Как вы ранее просили, я уже написал в чате Facebook, а через день после этого получил ответ по телефону о котором уже написал выше, и от которого честно говоря несколько офигел. Вы ведь не сами разбираетесь, а передаете дальшей т.н. специалистам, а от них ответа другого не жду.

Ответить
Развернуть ветку
МегаФон

Будем вам признательны, если напишете нам об этом в FaceBook. Информацию, если вам будет также удобнее, можете отправить нам здесь в личные сообщения. Будем далее решать вопрос.

Ответить
Развернуть ветку
Андрей
Автор

Вместо того, чтобы "работать с аудиторией соцсетей на улучшения имиджа", лучше бы работали с сетевыми инженерами, по улучшению сети. Написал вам в личные сообщения и опять получил стандартные ответы "Каких-либо ограничений с нашей стороны нет" и "... вам может помочь сбросить все настройки до стандартных и почистить кэш ...". Это значит вы вообще не читаете, что тут написано, а только отрабатываете клиента (((

Ответить
Развернуть ветку
МегаФон

Жаль, что у вас сложилось такое мнение. 😔

Ответить
Развернуть ветку
Андрей
Автор

Мнение складывается только из ваших действий и отписок, и никак иначе.

Ответить
Развернуть ветку
Nikolay S

Да, они капец технически неграмотные. DoH и DoT им вообще не ведомы) Есть шаблоны, есть база знаний, все :)

Поддержка МегаФона - это просто конвейер тупых шаблонных ответов, многократно в этом убедился.

Ответить
Развернуть ветку
Иванов Олег

Doh блокирует государство. В отличие от проводного интернета, мобильный на 100% под контролем и проходит через железки роскомнадзора.

Ответить
Развернуть ветку
Ярослав Яшин

Т.е. у меня пока наблюдается недоработка )))

Ответить
Развернуть ветку
Kr1og5n

У меня пару дней назад отвалился Сloudflare полностью. Пакеты пробегают пару раз в минуту. Так что тут проблема массовая и она идёт не от мегафона.

Ответить
Развернуть ветку
Андрей
Автор

Ну одно дело, когда "иногда отваливается", а другое дело, когда не работает совсем и уже давно. Но, как я уже писал, после подключения VPN всё сразу начинает работать.

Ответить
Развернуть ветку
Kr1og5n

Не иногда, а отвалилось и не работает. И на счёт работы через vpn, vpn в какой стране? Я думаю естественно за рубежом. А вот потести на наших каналах. У меня проблемы на 5 разных провайдерах и все именно с cloudflare. Тут либо что-то делают с чебурнетом, либо проблемы между Россией и их серверами.

Ответить
Развернуть ветку
Андрей
Автор

Ну возможно от провайдера к провадеру действительно разная картина. Когда пользуюсь дома обычным проводным провайдером (очень крупным), то пока всё работает однако.
С VPN проверял конечно с зарубежным подключением.

Да, и с VPN кстати тоже интересная картина вырисовывается. Раньше иногда пользовался частным VPN каналом к своему домашнему подключению. В т.ч. проверял, что описанная в начале ситуация сразу меняется, т.е. сайты становятся доступны. А с некоторых пор канал устанавливается, а вот пакеты практически не бегут. Еще не сильно в этом разбирался но возможно потребуется отдельная ветка, если мои подозрения на блокировку частного VPN канала подтвердятся.

Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Ярослав Яшин
> который имеет возможность видеть запросы пользователей

Берите больше: он может даже ответы менять на своё усмотрение, причём даже если используется DNSSEC.

> Самое интересное, что doh должен защищать от человека по середине...

Разве? Вроде защищать от своего "любимого" провайдера p.s. А то некоторые уже настолько обнаглели, что в обычный HTTP трафик свою рекламу вставляют (от этого конечно, не защитит)

Ответить
Развернуть ветку
Аккаунт заморожен

Комментарий недоступен

Ответить
Развернуть ветку
Slava Тихонов

Почитал вашу историю, так как вчера столкнулся сам с такой проблемой.
Пред история такая что раздавал с телефона интернет на комп и планшет, далее столкнулся с проблемой что не могу зайти в госуслуги с телефона, с браузера хром (и атом тоже), приложение госуслуг также отказалась работать.
Тупо не могу войти в ЛК, по истечении времени пишет что "что то пошло не так", скорость мобильных данных падает до "0", а вот если через Wi-Fi то всё работает.
Долго и много делал скриншоты по просьбе техподдержки с госуслуг, ну как вы понимаете - ничего не решилось.
Выход нашелся - поменял VPN сторонним приложением (поставил Францию), и вуа-ля и через браузер и через приложение зашел в госуслуги, не благодарите

Ответить
Развернуть ветку
Андрей
Автор

Чтобы из России зайти на сайт госуслуг надо включить VPN и заходить через ж........Францию ? Смешно. В принципе вместо vpn можно было поиграть с настройками DNS over HTTPS.
Стоит учитывать, что множество сайтов в РФ сегодня не открываются из-за границы . НО всё это еще раз подтверждает, что ответственные энжиниры (не путать с инженерами) компании Мегафон нефига не умеют ( и\или не хотят). И дело тут только в Мегафон как в провайдере, а никак не в неоткрываемых сайтах.

Ответить
Развернуть ветку
Читать все 40 комментариев
null