суббота, 30 марта 2013 г.

Домолинк блокирует ресурсы Google

Сегодня обнаружилась довольно неприятная проблема в Калужском Филиале Ростелеком (Домолинк). По невыясненным пока до конца причинам наш блог периодически оказывается недоступен, если пользователь имеет домолинковское подключение, в то время как с других провайдеров в это же время он открывается отлично. В этом посте мы попытаемся разобраться в причинах происходящего, а также связаться со службой технической поддержки Ростелеком. Для начала проверим резольвинг DNS:

C:\>nslookup blog.compkaluga.ru 62.148.128.1
Server: ns.kaluga.ru
Address: 62.148.128.1

Неофициальный ответ:
Name: ghs.l.google.com
Addresses: 2a00:1450:4010:c04::79
74.125.143.121
Aliases: blog.compkaluga.ru
ghs.google.com

Мы видим, что домолинковский DNS резольвит этот адрес, однако первой возвращается AAAA запись, т.е. IPv6 адрес. И все бы ничего, только вот при попытке открыть http://blog.compkaluga.ru/ в браузере, страница не открывается, т.е. соединение просто "висит". Поначалу мы грешили на глюки операционной системы, и даже полностью отключили IPv6 в ней. Т.е. не просто сняли галочку с IPv6 в свойствах интерфейса, но и выполнили рекомендации приведенные в статье kb929852 - Отключение некоторых компонентов протокола IP версии 6 в Windows Vista, Windows 7 и Windows Server 2008. Т.е. в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\ в параметре DisabledComponents прописали 0xffffffff, после чего перезагрузили ПК.

Кстати, сделать это можно с помощью следующей команды:

reg add  HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters  /v DisabledComponents /t REG_DWORD /d 0xffffffff /f

Однако на ситуацию это ни коим образом не повлияло, блог по прежнему не открывался в браузере. Тогда мы решили провести дополнительные проверки. Со стороны Домолинка хост пингуется:

C:\>ping blog.compkaluga.ru

Обмен пакетами с ghs.l.google.com [74.125.143.121] с 32 байтами данных:
Ответ от 74.125.143.121: число байт=32 время=34мс TTL=47
Ответ от 74.125.143.121: число байт=32 время=33мс TTL=47
Ответ от 74.125.143.121: число байт=32 время=33мс TTL=47
Ответ от 74.125.143.121: число байт=32 время=33мс TTL=47

Статистика Ping для 74.125.143.121:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 33мсек, Максимальное = 34 мсек, Среднее = 33 мсек

Т.е. ICMP проходит, но, если попробовать telnet'ом законнектиться на 80-й порт, т.е. если выполнить telnet blog.compkaluga.ru 80, то мы увидим следующее:

C:\>telnet blog.compkaluga.ru 80
Подключение к blog.compkaluga.ru...Не удалось открыть подключение к этому узлу,
на порт 80: Сбой подключения

Однако, если попробовать то же самое используя подключение от другого провайдера, то соединение на 80-й порт устанавливается:


Из чего можно сделать вывод что Ростелеком блокирует исходящее HTTP соединение на 173.194.71.121. Это же подтверждается и в браузере, пробуем зайти на 173.194.71.121 из Opera с домолинковского подключения:


Пробуем то же самое от другого провайдера:

Как видно, мы получили Google'овскую 404 страницу, т.е. исходящее соединение на  173.194.71.121:80 проходит.

Описанный эксперимент был проведен на нескольких разных компьютерах, в нескольких разных точках подключения (подключение везде Домолинк, Калужский филиал). Во всех тестах исходящее TCP соединение на 173.194.71.121:80 блокировалось на стороне провайдера. 


Для того чтобы вы представляли себе масштабность проблемы, приведем несколько других примеров. На IP  173.194.71.121 помимо нашего блога, располагаются также следующие сайты (приведем лишь несколько, на самом деле их гораздо больше):
  1. http://www.kaporealty.ru/ - Коммерческая недвижимость в Казани
  2. http://www.shanskaya.ru/ - Персоональная страница фотографа-любителя Марины Шанской.
  3. http://chekulaeva.com/
  4. http://redfox.tomsk.ru/ - "Рыжий Лис" - это центр творчества и спорта для взрослых и детей.
Все они также недоступны из Домолинк калужского региона. Также, если попробовать прописать в настройках браузера калужский proxy Домолинк - proxy.kaluga.ru:8080 ресурсы оказываются по прежнему недоступны:

p.s. По факту периодической недоступности ресурсов мы оставили обращение в службу поддержки Ростелеком и будем продолжать освещать движение данной заявки здесь. Если вы также является абонентом Ростелеком, калужского или любого другого региона - просьба проверить доступность данных ресурсов у вас и отписаться в комментариях.

p.p.s. Тема обсуждения записи на нашем форуме - http://dml.compkaluga.ru/forum/index.php?showtopic=75421

p.p.p.s. В самом начале данного поста слово "периодически" указано не случайно, т.к. большую часть времени, соединение на 173.194.71.121:80, используя Домолинк, установить невозможно. Однако, бывают моменты когда соединение проходит и сайта все-таки бывают доступны. На скриншоте с Proxy точно видно время запроса, надеемся что эта информация поможет техническим специалистам Ростелеком (Домолинк) определить причину.




4 комментария:

  1. Ваше обращение в сервисное обслуживание №52496778 от 30.03.2013 было успешно отправлено:

    "Добрый день! Недавно выяснилось, что со стороны периодически блокируются некоторые ресурсы, располагающиеся на серверах Google. Конкретно блокируется исходящее TCP соединение на 80-й порт IP 173.194.71.121, т.е. такие ресурсы как:

    http://blog.compkaluga.ru/
    http://www.kaporealty.ru/
    http://www.shanskaya.ru/

    И многие другие, располагающиеся на том же IP, оказываются недоступны, при использовании интернет от Домолинк. Более подробно о проблеме можно прочитать тут:

    http://dml.compkaluga.ru/forum/index.php?showtopic=75421

    Или тут:

    http://blog.compkaluga.ru/2013/03/google.html

    Хотелось бы услышать комментарии технических специалистов Ростелеком по данному факту."

    Посмотрим что ответят.

    ОтветитьУдалить
  2. Уважаемый Клиент!
    Доступ на отдельные сайты не блокируются, только если они не являются экстримистскими. Рекомендуем Вам воспользоваться альтернативным браузером, и почистить временные файлы и файлы куки, проверить трассировку до данного ресурса и посмотреть, на каком адресе будет резкое увеличение пинга (Пуск-> Все программы-> Стандартные-> Командная строка-> ввести tracert адрес_сервера).
    С уважением, ОАО «Ростелеком».

    ОтветитьУдалить
  3. Вообщем, если кому-то интересно, продолжение дискуссии будет опубликовано здесь - http://dml.compkaluga.ru/forum/index.php?showtopic=75421

    ОтветитьУдалить
  4. На сети КФ ОАО Ростелеком не было обнаружено проблем, вызывающих ситуацию, описанную Вами.
    По сообщению от МРФ Ростелеком было обнаружено следующее: IP 173.194.71.121 в интервале <2013-03-19 13:02:14>-<2013-04-03 12:02:14> принадлежал ресурсу www.islamdin.biz, который внесен в федеральный список экстремистских материалов.
    В настоящее время ресурсы, приведенные в обращении, работают.

    Приносим извинения за доставленные неудобства.

    ОтветитьУдалить