Страница 1 из 1
squid+gmail.com (SSL) проблема
Добавлено: 2012-06-21 11:11:22
skiff2002
Доброго времени суток.
Столкнулся со следующей проблемой: имеем прокси-сервер:
Код: Выделить всё
> squid -v
Squid Cache: Version 3.1.19
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.2' 'build_alias=i386-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.19 --enable-ltdl-convenience
При попытке выйти на
https://google.com (accounts.google.com, gmail.com, etc), в браузере (Google Chrome) вываливается ошибка: Ошибка 111 (net::ERR-TUNNEL-CONNECTION-FAILED): неизвестная ошибка. Обновляем страницу (F5), и все загружается на ура
access.log:
1340265714.287 90 10.1.2.141 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -
1340265724.683 10235 10.1.2.141 TCP_MISS/200 0 CONNECT accounts.google.com:443 - DIRECT/74.125.143.84 -
Вопрос: почему не директит с первого раза? Уже пробовал и always_direct allow SSL, и кеширование гугла отключал, и dns_nameservers подсовывал, и с размером буфера баловался, и с MTU на клиенте
Что характерно, прочие SSL ресурсы открываются с первого пинка и без каких-либо затруднений:
access.log:
1340266039.778 1207 10.1.2.141 TCP_MISS/200 21981 CONNECT login.live.com:443 - DIRECT/65.54.165.177 -
1340266146.933 1380 10.1.2.141 TCP_MISS/200 5724 CONNECT login.yahoo.com:443 - DIRECT/209.191.92.114 -
и т.д.
Хотя бы в какую сторону копать?
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-06-21 12:40:37
skiff2002
Ошибки в cache.log:
Код: Выделить всё
2012/06/21 12:05:03| Select loop Error. Retry 1
2012/06/21 12:09:05| TunnelStateData::Connection::error: FD 1244: read/write failure: (32) Broken pipe
2012/06/21 12:09:52| TunnelStateData::Connection::error: FD 311: read/write failure: (60) Operation timed out
2012/06/21 12:55:01| comm_old_accept: FD 14: (53) Software caused connection abort
2012/06/21 12:55:01| httpAccept: FD 14: accept failure: (53) Software caused connection abort
2012/06/21 12:55:01| comm_old_accept: FD 14: (53) Software caused connection abort
2012/06/21 12:55:01| httpAccept: FD 14: accept failure: (53) Software caused connection abort
2012/06/21 12:59:33| urlParse: URL too large (13631 bytes)
2012/06/21 13:38:49| TunnelStateData::Connection::error: FD 677: read/write failure: (32) Broken pipe
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-07-06 15:25:13
alexius
Та же проблема появилась уже с месяц. Причем не только gmail.com, но и еще некоторые сайты. squid был 3.1.9 обновил до 3.1.20 - не помогло. С настройками тоже баловался (очищал кэш, разрешал весь траффик по всем портам и сетям, отключил все сторонние программы(сквидгуард, кламав), отключил delay_pools)- не помогает.
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-07-06 15:52:49
alexius
Добавлю еще, что никаких ошибок в логах не видно, а при заходе на gmail.com нажимать F5 нужно два раза: сначало долгая загрузка и ошибка, потом если нажать F5, загружается страница, но не полностью (некторые картинки крестиком, типа недоступны, ошибка 503 в логах), отом если нажать F5, загружаются и они. Поведение стабильное, всегда так 100%. На некоторых других сайтах тоже не все подгружается, приходится F5 нажимать. Такое впечатление что какие то запросы теряются, или ответы теряются. При этом без прокси все работает нормально.
Куда копать?
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-07-06 16:03:11
hizel
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-07-06 16:37:57
alexius
не работает. там у человека есть вышестоящий прокси, у меня его нет (или он транспарент у провайдера), так что при диррективе never_direct он вообще не знает куда их отсылать и https не работает
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-07-09 12:26:28
alexius
Проблема все еще осталась, причем не завист от провайдера - его менял
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-07-12 14:20:52
skiff2002
alexius писал(а):
не работает. там у человека есть вышестоящий прокси, у меня его нет (или он транспарент у провайдера), так что при диррективе never_direct он вообще не знает куда их отсылать и https не работает
подтверждаю. описанный способ не решает проблему. так тоже пробовал. как и always_direct, впрочем.
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-12-01 21:12:52
alexius
Давно тут не был, прошло 4 месяца, обновился до последнего squid-3.1.21_1. Проблема все еще есть.
Re: squid+gmail.com (SSL) проблема
Добавлено: 2012-12-03 13:47:03
alexius
Нашел решение на opennet.ru:
Отключил поддержку ipv6
squid -v
Squid Cache: Version 3.1.20
configure options: ..... '--disable-ipv6' ....
пару дней работает - полет нормальный.
Re: squid+gmail.com (SSL) проблема
Добавлено: 2013-04-11 7:21:28
Sorryxs
Такая же проблема возникла. Не пускает на Контурн екстерн и gmail. Ругается на SSL 503 ошибка Miss.
Решение нашли? ipv6 ты вырубил у сквида или ядро пересобрал без его поддержки?
Re: squid+gmail.com (SSL) проблема
Добавлено: 2013-11-28 15:02:48
MIDLE
alexius писал(а):Нашел решение на opennet.ru:
Отключил поддержку ipv6
squid -v
Squid Cache: Version 3.1.20
configure options: ..... '--disable-ipv6' ....
пару дней работает - полет нормальный.
Отключил поддержку ipv6 (USES="-ipv6") - и проблема тоже решилась.
Спасибо.