全球主机交流论坛

标题: 联通宽带对部署了GTS证书网站的IP阶段性阻断 [打印本页]

作者: btpanel 时间: 2024-10-24 12:10
标题: 联通宽带对部署了GTS证书网站的IP阶段性阻断
本帖最后由 btpanel 于 2024-10-26 12:46 编辑

在折腾联通宽带下的虚拟机时，需要换源，在执行之前写的脚本的时候，发现阶段性无法链接，因此做了一些测试。

测试地区线路
北京联通、重庆联通、江苏南京联通、山东枣庄联通、浙江宁波电信、山东潍坊移动

网站影响
找了几个联通的用户测了一下
浏览器正常访问是不影响的
触发条件应该是非浏览器访问 + Cloudflare + GTS
但我在curl上面指定UA，依然阻断，具体怎么识别浏览器的还不清楚。
也就是会影响阻断命令行下载、api接口之类的请求。
不适合脚本站或者需要对接客户端提供API服务。

阻断情况
我执行了以下命令进行测试
```shell-session
curl --insecure --resolve "down.baota.me:443:162.159.140.224" "https://down.baota.me" -o "down.baota.me.txt" --max-time 10
```
测试发现所有联通都会阻断
第一次执行上述命令正常访问
第二次执行上述命令无法访问

阻断规律
为了搞清楚阻断频率因此我在江苏南京联通做了个每3分钟访问一次的计划任务
连续阻断情况为1-3次即有时候会阻断3-9分钟
阻断过后会有15分钟左右的正常访问时间
然后进入下次阻断周期
目前测试阻断全部CloudFlare的IP，包括一些跟CF合作的IP。

阻断原因
原以为是阻断了CF的IP或者ASN，经过loc论坛回复得知可能是因为证书品牌的缘故。
因此单独使用一个NS接入的域名进行测试.
测试结果
使用GTS证书
还是跟上面一样访问一次就阻断了。
然后使用API进行更换证书为let's证书
连续测试多次并且更换其他IP都没有阻断的情况

证书版本测试
群里有老哥说可能是因为tls1.3+ech导致的无差别阻断。
然后我改进了一下命令指定tls最大版本1.2进行测试
```shell-session
curl --insecure --resolve "down.baota.me:443:162.159.140.224" "https://down.baota.me" -o "down.baota.me.txt" --max-time 10 --tls-max 1.2
```
测试阻断依旧

解决办法
Cloudflare NS方式接入，可以使用API的方法修改证书颁发机构。
Cloudflare使用api更换证书颁发机构(https://www.baota.me/post-453.html)
Cloudflare SAAS方式接入的无解，API提示需要Enterprise套餐。
也可以使用其他CDN来服务联通线路的用户。

作者: 我是老王 时间: 2024-10-24 12:12
对你们都换运营商，让我一个人用联通

作者: imslc 时间: 2024-10-24 12:20
我这联通还好，会偶尔随机阻断国外IP和网址，大部分刷新两下就恢复了，，，移动反而变态死了。一直阻断ip,套了cf反而还能多刷新几下后恢复一会儿。

作者: btpanel 时间: 2024-10-24 12:20

我是老王发表于 2024-10-24 12:12
对你们都换运营商，让我一个人用联通

自从联通把我公网IP收回去，我就换移动了。
本来联通宽带一年600块钱200M，手机月租31块钱。
我爸妈两个人一个月消费68移动就送一条宽带。
还是感觉移动的好用的多。

作者: 随便起个名字 时间: 2024-10-24 12:21
梦回大清

作者: btpanel 时间: 2024-10-24 12:24

imslc 发表于 2024-10-24 12:20
我这联通还好，会偶尔随机阻断国外IP和网址，大部分刷新两下就恢复了，，，移动反而变态死了。一直阻断ip, ...

可能我一直都是套CF，到是没发现阻断国外IP。
不过我知道移动之前是对eu.org、tk等免费域名全国性阻断。
不过一般都是开会那段时间阻断的厉害些，过了那段时间就放开了。

作者: 帅气的呱呱 时间: 2024-10-24 12:25
我这用的联通感觉挺好的，比移动电信强多了

作者: btpanel 时间: 2024-10-24 13:04

帅气的呱呱发表于 2024-10-24 12:25
我这用的联通感觉挺好的，比移动电信强多了

我用过联通、移动，说实话我们绝大部分访问的网站都是国内的，所以这些宽带用起来其实也没啥太大的区别。

作者: аdmin 时间: 2024-10-24 13:10
山东阻断和证书也有关

作者: 红蜘蛛 时间: 2024-10-24 13:31
月消费59元送500M宽带 20G通用流量 200分钟通话感觉好亏

作者: 网上邻居 时间: 2024-10-24 13:48
CloudFront 只有联通限速吗？楼主求证下我还以为CloudFront全中国都限速了

作者: stingeo 时间: 2024-10-24 13:50
南京联通是这样的，还不如移动舒服。

作者: dole 时间: 2024-10-24 13:52
联通才开始啊移动开始两年了

作者: zby 时间: 2024-10-24 14:01

btpanel 发表于 2024-10-24 13:04
我用过联通、移动，说实话我们绝大部分访问的网站都是国内的，所以这些宽带用起来其实也没啥太大的区别。 ...

这说明你附近有骨干交换中心而且没超负载。以前我们这跨网要绕800公里。同城跨网延迟都在40+，速度那就别提了

作者: qidian8 时间: 2024-10-24 14:07
联通这波操作确实让人头疼，希望尽快解决。

作者: Yzindex 时间: 2024-10-24 14:33
跨省流量都心疼，跨国流量就别说了。

作者: btpanel 时间: 2024-10-24 14:58

网上邻居发表于 2024-10-24 13:48
CloudFront 只有联通限速吗？楼主求证下我还以为CloudFront全中国都限速了

应该是三网都限速
不过我
移动就山东移动本地一个测速点没遇到啥问题
联通共四个测速点 2个地区限速
电信共四个测速点也是2个地区限速

作者: btpanel 时间: 2024-10-24 15:00

аdmin 发表于 2024-10-24 13:10
山东阻断和证书也有关

也有可能我做一下测试

作者: btpanel 时间: 2024-10-24 15:04
本帖最后由 btpanel 于 2024-10-24 15:07 编辑

红蜘蛛发表于 2024-10-24 13:31
月消费59元送500M宽带 20G通用流量 200分钟通话感觉好亏

还行吧
我联通手机号套餐是31元的
1160分钟电话 20G流量
联通宽带之前是单独拉的
600块钱一年200M算下来50块钱一个月了
去营业厅老让我改99的套餐
父母都是移动然后送了一条宽带我没用
后面联通的公网IP收回去了也懒得要了
就直接退了用移动的了
现在用着V6公网也一样

作者: btpanel 时间: 2024-10-24 16:00

аdmin 发表于 2024-10-24 13:10
山东阻断和证书也有关

确认是google证书导致的，换成Let’s Encrypt正常。
不过对于saas优选也挺麻烦,试了一下操作saas主机名的api，需要付费套餐才能用。

作者: 你是人 时间: 2024-10-24 16:03
上海联通也是。

作者: HKYUN 时间: 2024-10-24 16:19

红蜘蛛发表于 2024-10-24 13:31
月消费59元送500M宽带 20G通用流量 200分钟通话感觉好亏

月租19 送600M宽带 20G流量限1，400通话
但是感觉不如广西 0元千兆香

作者: lnx 时间: 2024-10-24 16:41
好像真的，昨天还是前天，访问带cf cdn的网站报错。

作者: 吃瓜中 时间: 2024-10-24 16:46
逐渐收紧

作者: btpanel 时间: 2024-10-26 12:41
网站影响
找了几个联通的用户测了一下
浏览器正常访问是不影响的
触发条件应该是非浏览器访问 + Cloudflare + GTS
也就是会影响阻断命令行下载、api接口之类的请求。
不适合脚本站或者需要对接客户端提供API服务。

作者: haozi 时间: 2024-10-26 18:59
遇到了，一模一样的表现。
cf+GTS+联通=阻断

作者: btpanel 时间: 2024-10-26 19:14

haozi 发表于 2024-10-26 18:59
遇到了，一模一样的表现。
cf+GTS+联通=阻断

你是浏览器访问吗

作者: haozi 时间: 2024-10-26 19:26

btpanel 发表于 2024-10-26 19:14
你是浏览器访问吗

itdog测试的

欢迎光临全球主机交流论坛 (https://52.ht/)