О работе серверов в условиях изменений в сетевой фильтрации

В последнее время участились обращения клиентов, связанные с невозможностью подключиться к серверам по протоколам HTTPS, SSH и RDP. Часть пользователей также отмечает отсутствие ответа по ICMP (пинг). 

Проблема носит массовый характер, однако её причина находится вне нашей инфраструктуры — внутренние каналы связи и оборудование работают без сбоев. Сложности, предположительно, вызваны новыми подходами к фильтрации трафика, реализуемыми на стороне государственных регуляторов. Повлиять напрямую на настройки операторов связи или применяемые ими механизмы мы, к сожалению, не можем.

Что можно предпринять для восстановления доступа

Рекомендуем начать с обращения к вашему оператору связи. Это работает и для компаний, и для частных лиц. Вам потребуется предоставить данные для оперативного поиска и устранения инцидента. В случае необходимости оператор свяжется с нами для проведения совместной диагностики.

Информация, необходимая для проведения диагностики:

• подробное описание проблемы,
• тип протокола,
• есть ли периодичность в проявлении,
• точное время появления проблемы,
• конкретные примеры source-destination,
• результат выполнения nslookup/ping/trace для приведённых примеров.

Кроме того, существует ряд временных мер, которые могут помочь уже сейчас:

1. Вместо прямого подключения по SSH или RDP можно использовать веб-консоль (VNC), доступную в личном кабинете. Она работает через браузер и не подвержена указанным ограничениям.
2. Переключение между разными операторами связи (например, с домашнего проводного интернета на мобильный) в ряде случаев решает проблему — фильтрация применяется не у всех провайдеров одинаково.
3. Замена браузера на Mozilla Firefox даёт результат благодаря иному TLS-отпечатку по сравнению с браузерами на Chromium.
4. Отключение протокола QUIC (HTTP/3) в настройках браузера по адресу chrome://flags/#enable-quic (установить значение Disabled) переводит трафик на традиционный TCP, который обрабатывается стабильнее.
5. Смена IP-адреса на сервере иногда даёт временный эффект, но не гарантирует его: фильтрация зачастую нацелена на целые подсети, а не на отдельные адреса.

Мы держим ситуацию на контроле и поддерживаем связь с регулятором. Информация в этом материале будет дополняться по мере поступления новых данных.