squid+gmail.com (SSL) проблема

[skiff2002]

Доброго времени суток.
Столкнулся со следующей проблемой: имеем прокси-сервер:

Код: Выделить всё

> squid -v
Squid Cache: Version 3.1.19
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.2' 'build_alias=i386-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.19 --enable-ltdl-convenience

При попытке выйти на https://google.com (accounts.google.com, gmail.com, etc), в браузере (Google Chrome) вываливается ошибка: Ошибка 111 (net::ERR-TUNNEL-CONNECTION-FAILED): неизвестная ошибка. Обновляем страницу (F5), и все загружается на ура
access.log:

1340265714.287 90 10.1.2.141 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -
1340265724.683 10235 10.1.2.141 TCP_MISS/200 0 CONNECT accounts.google.com:443 - DIRECT/74.125.143.84 -

Вопрос: почему не директит с первого раза? Уже пробовал и always_direct allow SSL, и кеширование гугла отключал, и dns_nameservers подсовывал, и с размером буфера баловался, и с MTU на клиенте
Что характерно, прочие SSL ресурсы открываются с первого пинка и без каких-либо затруднений:
access.log:

1340266039.778 1207 10.1.2.141 TCP_MISS/200 21981 CONNECT login.live.com:443 - DIRECT/65.54.165.177 -
1340266146.933 1380 10.1.2.141 TCP_MISS/200 5724 CONNECT login.yahoo.com:443 - DIRECT/209.191.92.114 -
и т.д.

Хотя бы в какую сторону копать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[skiff2002]

Ошибки в cache.log:

Код: Выделить всё

2012/06/21 12:05:03| Select loop Error. Retry 1
2012/06/21 12:09:05| TunnelStateData::Connection::error: FD 1244: read/write failure: (32) Broken pipe
2012/06/21 12:09:52| TunnelStateData::Connection::error: FD 311: read/write failure: (60) Operation timed out
2012/06/21 12:55:01| comm_old_accept: FD 14: (53) Software caused connection abort
2012/06/21 12:55:01| httpAccept: FD 14: accept failure: (53) Software caused connection abort
2012/06/21 12:55:01| comm_old_accept: FD 14: (53) Software caused connection abort
2012/06/21 12:55:01| httpAccept: FD 14: accept failure: (53) Software caused connection abort
2012/06/21 12:59:33| urlParse: URL too large (13631 bytes)
2012/06/21 13:38:49| TunnelStateData::Connection::error: FD 677: read/write failure: (32) Broken pipe

[alexius]

Та же проблема появилась уже с месяц. Причем не только gmail.com, но и еще некоторые сайты. squid был 3.1.9 обновил до 3.1.20 - не помогло. С настройками тоже баловался (очищал кэш, разрешал весь траффик по всем портам и сетям, отключил все сторонние программы(сквидгуард, кламав), отключил delay_pools)- не помогает.

[alexius]

Добавлю еще, что никаких ошибок в логах не видно, а при заходе на gmail.com нажимать F5 нужно два раза: сначало долгая загрузка и ошибка, потом если нажать F5, загружается страница, но не полностью (некторые картинки крестиком, типа недоступны, ошибка 503 в логах), отом если нажать F5, загружаются и они. Поведение стабильное, всегда так 100%. На некоторых других сайтах тоже не все подгружается, приходится F5 нажимать. Такое впечатление что какие то запросы теряются, или ответы теряются. При этом без прокси все работает нормально.
Куда копать?

[hizel]

google для лохов, чоужтам: http://squid-web-proxy-cache.1019090.n4 ... 10795.html

[alexius]

google для лохов, чоужтам: http://squid-web-proxy-cache.1019090.n4 ... 10795.html

не работает. там у человека есть вышестоящий прокси, у меня его нет (или он транспарент у провайдера), так что при диррективе never_direct он вообще не знает куда их отсылать и https не работает

[alexius]

Проблема все еще осталась, причем не завист от провайдера - его менял

[skiff2002]

google для лохов, чоужтам: http://squid-web-proxy-cache.1019090.n4 ... 10795.html

не работает. там у человека есть вышестоящий прокси, у меня его нет (или он транспарент у провайдера), так что при диррективе never_direct он вообще не знает куда их отсылать и https не работает

подтверждаю. описанный способ не решает проблему. так тоже пробовал. как и always_direct, впрочем.

[alexius]

Давно тут не был, прошло 4 месяца, обновился до последнего squid-3.1.21_1. Проблема все еще есть.

[alexius]

Нашел решение на opennet.ru:

Отключил поддержку ipv6

squid -v
Squid Cache: Version 3.1.20
configure options: ..... '--disable-ipv6' ....

пару дней работает - полет нормальный.

[Sorryxs]

Такая же проблема возникла. Не пускает на Контурн екстерн и gmail. Ругается на SSL 503 ошибка Miss.
Решение нашли? ipv6 ты вырубил у сквида или ядро пересобрал без его поддержки?

[MIDLE]

Нашел решение на opennet.ru:

Отключил поддержку ipv6

squid -v
Squid Cache: Version 3.1.20
configure options: ..... '--disable-ipv6' ....

пару дней работает - полет нормальный.

Отключил поддержку ipv6 (USES="-ipv6") - и проблема тоже решилась.
Спасибо.