The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"squid+gmail.com (SSL) проблема"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Squid)
Изначальное сообщение [ Отслеживать ]

"squid+gmail.com (SSL) проблема"  +1 +/
Сообщение от skiff2002 (ok) on 31-Июл-12, 14:56 
Доброго времени суток.
Столкнулся со следующей проблемой: имеем прокси-сервер:

> squid -v

Squid Cache: Version 3.1.19
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.2' 'build_alias=i386-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe  -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.19 --enable-ltdl-convenience

При попытке выйти на https://google.com (accounts.google.com, gmail.com, etc), в браузере (Google Chrome) вываливается ошибка: Ошибка 111 (net::ERR-TUNNEL-CONNECTION-FAILED): неизвестная ошибка. Обновляем страницу (F5), и все загружается на ура

access.log:
1340265714.287 90 10.1.2.141 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -
1340265724.683 10235 10.1.2.141 TCP_MISS/200 0 CONNECT accounts.google.com:443 - DIRECT/74.125.143.84 -

Вопрос: почему не директит с первого раза? Уже пробовал и always_direct allow SSL, и кеширование гугла отключал, и dns_nameservers подсовывал, и с размером буфера баловался, и с MTU на клиенте.
Что характерно, прочие SSL ресурсы открываются с первого пинка и без каких-либо затруднений:

access.log:
1340266039.778 1207 10.1.2.141 TCP_MISS/200 21981 CONNECT login.live.com:443 - DIRECT/65.54.165.177 -
1340266146.933 1380 10.1.2.141 TCP_MISS/200 5724 CONNECT login.yahoo.com:443 - DIRECT/209.191.92.114 -
и т.д.

Такое впечатление, что какие-то запросы или ответы теряются. При этом без прокси все работает нормально.

Хотя бы в какую сторону копать?
P.S. Решение, найденное на http://squid-web-proxy-cache.1019090.n4.nabble.com/squid-and... - не для меня, ибо там у человека есть вышестоящий прокси.
P.P.S. Проблема появилась достаточно давно. Обновление сквида до последней версии ее не решило.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "squid+gmail.com (SSL) проблема"  +/
Сообщение от IceMan76 email on 31-Июл-12, 17:36 
> Доброго времени суток.
> Столкнулся со следующей проблемой: имеем прокси-сервер:

...
> P.P.S. Проблема появилась достаточно давно. Обновление сквида до последней версии ее не
> решило.

Подтверждаю, аналогичная ситуация. и не только с Гугловскими сайтами. Еще и vk.com раздражает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "squid+gmail.com (SSL) проблема"  +1 +/
Сообщение от Etch on 31-Июл-12, 22:45 
А не связано ли это с SPDY? Отключать его в браузере не пробовали?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "squid+gmail.com (SSL) проблема"  +/
Сообщение от skiff2002 (ok) on 31-Июл-12, 23:05 
> А не связано ли это с SPDY? Отключать его в браузере не
> пробовали?

Проблема возникла и на машинах, браузеры которых не поддерживают SPDY в виду того, что долго не обновлялись. Скорее всего, проблема не в нем.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "squid+gmail.com (SSL) проблема"  +/
Сообщение от skiff2002 (ok) on 01-Авг-12, 10:11 
>> А не связано ли это с SPDY? Отключать его в браузере не
>> пробовали?
> Проблема возникла и на машинах, браузеры которых не поддерживают SPDY в виду
> того, что долго не обновлялись. Скорее всего, проблема не в нем.

Проверил на 14 Файрфоксе с отключенным SPDY - проблема осталась

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "squid+gmail.com (SSL) проблема"  +1 +/
Сообщение от eg15 (ok) on 01-Авг-12, 13:33 
IPV6 отключить не помогает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "squid+gmail.com (SSL) проблема"  +/
Сообщение от skiff2002 (ok) on 01-Авг-12, 17:41 
> IPV6 отключить не помогает?

Спасибо! первый проблеск надежды, что все будет хорошо!
отключил поддержку ipv6

squid -v
Squid Cache: Version 3.1.20
configure options:  ..... '--disable-ipv6' ....

вроде, помогло. пойду тестить. о результатах отпишусь.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "squid+gmail.com (SSL) проблема"  +/
Сообщение от skiff2002 (ok) on 07-Авг-12, 09:11 
>> IPV6 отключить не помогает?

уже неделю - полет нормальный. спасибо огромное!


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "squid+gmail.com (SSL) проблема"  +/
Сообщение от dj_lexa (??) on 20-Ноя-12, 23:51 
>>> IPV6 отключить не помогает?
> уже неделю - полет нормальный. спасибо огромное!

Скажите, как отключить поддержку IPv6 не удаляя сквид? Это возможно?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "squid+gmail.com (SSL) проблема"  +/
Сообщение от Andrey Mitrofanov on 21-Ноя-12, 11:20 
> Скажите, как отключить поддержку IPv6 не удаляя сквид? Это возможно?

Во-первых, там ввирху сквид не "удаляли", а пересобирали.

Во-вторых, в интерентах куууча заметок, как отключить ipv6 в _OS_ Linux.

В-третих, duckduckgo.com/?q=squid+отключить+поддержку+IPv6 поведал мне о http://www.opennet.dev/base/net/squid_conf.txt.html, штудируя который вокруг вхожде**ний** букв ipv6 можно нарыть Много.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "squid+gmail.com (SSL) проблема"  +/
Сообщение от Аноним (??) on 28-Янв-13, 11:45 
squid.conf:

...
tcp_outgoing_address 0.0.0.0 all

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "squid+gmail.com (SSL) проблема"  +/
Сообщение от Артем email(??) on 13-Мрт-13, 10:36 
Товарищи, та же самая проблема. Версия сквида 3.1.20. Отключил поддержку ipv6 следующими способами

Добавил в sysctl.conf

net.inet6.ip6.v6only=0

В директории /sys/i386/conf из файла GENERIC удалил след строки

options        INET6                   # IPv6 communications protocols
options        SCTP                    # Stream Control Transmission Protocol

Но, к сожалению, не помогло. В гугл так и не пускает. Помогите, пожалуйста. Может быть, я что-то не так сделал? Недавно общаюсь с FreeBSD, опыта пока маловато

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "squid+gmail.com (SSL) проблема"  +/
Сообщение от deys (ok) on 10-Окт-13, 10:51 
я тут тоже столкнулся с отключением у сквида ipv6. Отключил его в ядре (на Ubuntu server 12.04) строчками

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1

Ребутнул сервак, сквид отказался пускать в инет. В логах постоянно при попытке выйти на какой либо сайт

externalAclLookup: 'ldap_check' queue overload (ch=0x7f2ab463e588)

а при запуске сквида:

WARNING: Cannot run '/usr/lib/squid3/squid_ldap_group' process.
10/10 12:54:50| commBind: Cannot bind socket FD 591 to [::1]: (99) Cannot assign requested address
10/10 12:54:50| commBind: Cannot bind socket FD 592 to [::1]: (99) Cannot assign requested address
10/10 12:54:50| ipcCreate: Failed to create child FD.

сквид из респозитария и собран с ipv6. Пересобирать не хочется из исходиков. В итоге всякие варианты пробовал, но помогло добавление в строчку "external_acl_type" параметра "ipv4"

external_acl_type ldap_check ttl=1200 ipv4 children=100 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=mydom,dc=local" -f "(&(sAMAccountName=%v)(memberof:1.2.840.113556
.1.4.1941:=cn=%a,OU=Internet-Groups,DC=mydom,DC=local))" -D "squid@mydom.local" -w "password" -K dc1.mydom.local

Мало ли, кто столкнется с подобной проблемой (у меня авторизация через керберос). Кстати, сразу избавился еще от одного глюка, который не мог решить. В гугль хроме есть удобная вещь, как перевод странички на русский язык. Так вот с виндовых машин эта функция прекрасно в нем работала, а со своего компа с убунтой постоянно получал динайды. Так как только отключил ipv6, сразу эта фунция заработала.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "squid+gmail.com (SSL) проблема"  +/
Сообщение от burovets email on 09-Апр-14, 14:47 
>[оверквотинг удален]
> external_acl_type ldap_check ttl=1200 ipv4 children=100 %LOGIN /usr/lib/squid3/squid_ldap_group
> -R -b "dc=mydom,dc=local" -f "(&(sAMAccountName=%v)(memberof:1.2.840.113556
> .1.4.1941:=cn=%a,OU=Internet-Groups,DC=mydom,DC=local))" -D "squid@mydom.local"
> -w "password" -K dc1.mydom.local
> Мало ли, кто столкнется с подобной проблемой (у меня авторизация через керберос).
> Кстати, сразу избавился еще от одного глюка, который не мог решить.
> В гугль хроме есть удобная вещь, как перевод странички на русский
> язык. Так вот с виндовых машин эта функция прекрасно в нем
> работала, а со своего компа с убунтой постоянно получал динайды. Так
> как только отключил ipv6, сразу эта фунция заработала.

В конфиге squid.conf параметр есть dns_v4_first, по умолчанию он
#dns_v4_first off
Убираем комментарий, меняем на dns_v4_first on, сохраняем, затем -
squid3 -k reconfigure
Все работает. Удачи всем.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "squid+gmail.com (SSL) проблема"  +/
Сообщение от Man (ok) on 06-Окт-14, 23:55 
>а при запуске сквида:
>
>WARNING: Cannot run '/usr/lib/squid3/squid_ldap_group' process.
>10/10 12:54:50| commBind: Cannot bind socket FD 591 to [::1]: (99) Cannot assign >requested address
>10/10 12:54:50| commBind: Cannot bind socket FD 592 to [::1]: (99) Cannot assign >requested address
>10/10 12:54:50| ipcCreate: Failed to create child FD.

Были такие же сообщения в логе, параметр ipv4 помог! Спасибо за инфу!
Но авторизация пользователя не проходит автоматически, а запрашивается логин и пароль. А как сделать автоматическую авторизацию, помогите?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру