Коротко — похоже на проблему маршрутизации/фильтрации на уровне провайдера или на баг/особенность роутера (или IPv6/MTU), а не на «сам Apple». Чтобы локализовать проблему, нужно сделать несколько простых проверок и собрать доказательства для провайдера. Ниже шаги, которые выполните подряд, и пояснения, что они покажут.
Сначала уточнение
- Где вы запускали curl, когда он «без проблем открывает сайт» — на том же компьютере из локальной сети, на роутере, или удалённо (например, на сервере)? Это сильно меняет диагностику.
Диагностика (выполняйте в момент, когда сайт не доступен из браузера)
1) Проверка DNS
- Выполните на ПК:
- dig apple.com @8.8.8.8
- dig apple.com @<адрес_вашего_роутера_или_локального_DNS>
- dig AAAA apple.com
- nslookup apple.com
Что смотреть: совпадают ли ответы (A/AAAA) у разных резолверов? Если браузер не разрешает AAAA — возможно IPv6-адреса «падают». Если резолверы дают разные IP — проблема кеша/прокси на роутере.
2) IPv4 vs IPv6
- curl -4 -I https://apple.com
- curl -6 -I https://apple.com
Если -4 работает, а -6 — нет, у вас проблема с IPv6-маршрутом; браузеры обычно предпочитают AAAA и будут пытаться по IPv6.
3) Трассировка и проверка маршрута
- traceroute -n apple.com (Linux/mac)
- tracert -d apple.com (Windows)
- tcptraceroute apple.com 443 (или traceroute -T -p 443)
Смотреть, где «обрывается» маршрут или появляется резкое увеличение времени. Это покажет, где происходит потеря/блокировка.
4) Проверка соединения на TCP/HTTPS уровне
- telnet <ip_из_resolve> 443 (или: openssl s_client -connect <ip>:443 -servername apple.com)
Что смотреть: проходит ли TCP handshake. Если SYN уходит, но нет SYN-ACK — возможно, upstream блокирует/теряет пакеты.
5) Сравнение с роутером / внешним местом
- Выполните те же команды (dig/traceroute/curl) на роутере (если есть SSH) и, если возможно, на удалённом сервере или телефоне через мобильный интернет.
Если на роутере/внешнем сервере всё ок, а на устройствах в LAN — проблема в роутере (NAT/переадресация/DNS прокси/MTU). Если на роутере тоже плохо — проблема у провайдера.
6) Снятие трафика (tcpdump)
На роутере или PC во время проблемы:
- tcpdump -i <iface> host <ip_apple> and port 443 -w apple.pcap
Посмотрите: уходят ли SYN от клиента, возвращаются ли SYN-ACK. Если SYN-ACK приходит к роутеру, но не доходит до клиента — асимметричный маршрут/фильтрация в роутере.
7) MTU и фрагментация
Иногда L2TP/PPPoE + большие MSS вызывает «черную дыру» HTTPS (особенно при блокировке ICMP fragmentation-needed). Проверьте:
- ping -M do -s 1472 apple.com (уменьшайте размер до тех пор, пока не пройдет)
- Попробуйте временно уменьшить MTU на клиенте (например до 1400) или на интерфейсе PPP и проверить, исчезает ли проблема.
8) Логи роутера / DPI / брандмауэр
- Посмотрите логи NAT/Firewall на KN-1811 в моменты падения. Возможно, таблица сессий переполняется либо включён «application filter»/IPS, который ошибочно режет соединения к CDN Apple.
9) Временное решение обхода
- Если по IPv6 проблема — отключите IPv6 на клиенте.
- Если DNS/маршрут у провайдера — пользуйтесь VPN/DoH/DoT (как вы уже пробовали).
- Можно настроить статическое правило на роутере (если известно стабильное IP-адреса CDN), но это временно и ненадёжно.
К кому обращаться и что показать провайдеру
- Результаты traceroute (в момент неисправности).
- tcpdump/pcap с попытками соединения (SYN/SYN-ACK/RST).
- Результаты dig и вывод curl -4/-6.
Эти данные позволят провайдеру увидеть, где теряются пакеты или режется трафик.
Возможные причины (кратко)
- Проблемы маршрутизации к IP-адресам CDN Apple у вашего провайдера.
- Ошибка/ограничение на роутере (DNS-кеш, NAT таблица, MTU, buggy firmware).
- Проблема с IPv6-маршрутом — браузеры пытаются по AAAA и «виснут», curl (автор сделав -4) проходит.
- DPI/фильтрация у провайдера, которая периодически вмешивается.
Что пришлите мне, если хотите, чтобы я помог дальше
- Выводы dig + traceroute (в момент «провала» и в момент «нормы»).
- Результат curl -4 и curl -6 (с флагом -v).
- Кратко: где запускали curl (роутер/ПК/удалённо).
Если хотите, дам точный набор команд для Windows/Linux/macOS и как снять tcpdump на вашем роутере (если в нём есть SSH).