Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Proxy+ Sitio HTTPS
213 views
Skip to first unread message
Raydel Hernández Martínez
Feb 2, 2015, 12:50:03 PM2/2/15
to
Hola lista, saludos a todos. Hace dia estoy presentando algo curioso con
mi Proxy Squid v 3.1.19 sobre Ubuntu 12.04, y el tema está dado, en que
no conecta con el sitio de facebook, da un ERROR TIME OUT, algo raro,
pero es solo con este sitio, les detallo lo que sucede, desde un
navegador usando este proxy, solicito el sitio de facebook, y se demora
demasiado, y al final no conecta, hago un telnet desde la consola del
mismo server Proxy al puerto 80 de facebook, y si conecta, o al 5222 de
su chat y también, sin embargo, lo hago al puerto 443 y no conecta, da
un error de Connection Time Out; en algunas ocasiones, he reiniciado el
servidor completamente, y cuando inicia, hago el mismo telnet al 443 de
facebook, y si conecta, al igual por el navegador que usa este proxy,
así me está pasando varias veces al día, desde hace 5 dias, lo curioso
es que es esporádicamente en el día, con mas ningún sitio https me
sucede, ni http, lo cual veo curioso, es como si mi server estuviera
bloqueando la conexión al 443 de facebook, porque sin embargo, desde mi
estación de trabajo, desde la cual salgo directamente a internet,
mediante un NAT, y es la misma IP real al final por la que sale el
proxy, sin usar el proxy, si puedo acceder a facebook, tanto desde el
navegador, como haciendo un telnet desde la consola, eso en el mismo
momento que no funciona desde el proxy. El logs de squid me devuelve
cuando esto sucede, lo siguiente: TCP_MISS/503 0 Connect
www.facebook.com. No he cambiado configuraciones en el proxy ni nada, es
la misma que vengo usando hace meses, pudiera ser un problema de bugs en
esta versión?, o un problema a la hora de resolver el dominio facebook,
porque con otros sitios https no lo hace.
Alguien tiene una idea, de que pudiera estar sucediendo.
Saludos a todos, gracias de antemano.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/54CFB2E6...@vnz.uci.cu
mi Proxy Squid v 3.1.19 sobre Ubuntu 12.04, y el tema está dado, en que
no conecta con el sitio de facebook, da un ERROR TIME OUT, algo raro,
pero es solo con este sitio, les detallo lo que sucede, desde un
navegador usando este proxy, solicito el sitio de facebook, y se demora
demasiado, y al final no conecta, hago un telnet desde la consola del
mismo server Proxy al puerto 80 de facebook, y si conecta, o al 5222 de
su chat y también, sin embargo, lo hago al puerto 443 y no conecta, da
un error de Connection Time Out; en algunas ocasiones, he reiniciado el
servidor completamente, y cuando inicia, hago el mismo telnet al 443 de
facebook, y si conecta, al igual por el navegador que usa este proxy,
así me está pasando varias veces al día, desde hace 5 dias, lo curioso
es que es esporádicamente en el día, con mas ningún sitio https me
sucede, ni http, lo cual veo curioso, es como si mi server estuviera
bloqueando la conexión al 443 de facebook, porque sin embargo, desde mi
estación de trabajo, desde la cual salgo directamente a internet,
mediante un NAT, y es la misma IP real al final por la que sale el
proxy, sin usar el proxy, si puedo acceder a facebook, tanto desde el
navegador, como haciendo un telnet desde la consola, eso en el mismo
momento que no funciona desde el proxy. El logs de squid me devuelve
cuando esto sucede, lo siguiente: TCP_MISS/503 0 Connect
www.facebook.com. No he cambiado configuraciones en el proxy ni nada, es
la misma que vengo usando hace meses, pudiera ser un problema de bugs en
esta versión?, o un problema a la hora de resolver el dominio facebook,
porque con otros sitios https no lo hace.
Alguien tiene una idea, de que pudiera estar sucediendo.
Saludos a todos, gracias de antemano.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/54CFB2E6...@vnz.uci.cu
Camaleón
Feb 3, 2015, 9:40:04 AM2/3/15
to
El Mon, 02 Feb 2015 12:54:54 -0430, Raydel Hernández Martínez escribió:
> Hola lista, saludos a todos. Hace dia estoy presentando algo curioso con
> mi Proxy Squid v 3.1.19 sobre Ubuntu 12.04,
Vale, pues entonces al menos marca el hilo como OT.
> Hola lista, saludos a todos. Hace dia estoy presentando algo curioso con
> mi Proxy Squid v 3.1.19 sobre Ubuntu 12.04,
> y el tema está dado, en que no conecta con el sitio de facebook, da un
> ERROR TIME OUT, algo raro, pero es solo con este sitio,
https? ¿Has configurado el proxy para que trabaje sobre ssl?
> les detallo lo que sucede, desde un navegador usando este proxy,
> solicito el sitio de facebook, y se demora demasiado, y al final no
> conecta, hago un telnet desde la consola del mismo server Proxy al
> puerto 80 de facebook, y si conecta, o al 5222 de su chat y también,
> sin embargo, lo hago al puerto 443 y no conecta, da un error de
> Connection Time Out;
que usses openssl no telnet:
sm01@stt008:~$ openssl s_client -connect facebook.com:443
CONNECTED(00000003)
> en algunas
> ocasiones, he reiniciado el servidor completamente, y cuando inicia,
> hago el mismo telnet al 443 de facebook, y si conecta, al igual por el
> navegador que usa este proxy, así me está pasando varias veces al día,
> desde hace 5 dias, lo curioso es que es esporádicamente en el día, con
> mas ningún sitio https me sucede, ni http, lo cual veo curioso, es como
> si mi server estuviera bloqueando la conexión al 443 de facebook,
del navegador para facebook y cómo la gestiona (si la rechaza, la acepta
o da error...)
> porque sin embargo, desde mi
> estación de trabajo, desde la cual salgo directamente a internet,
> mediante un NAT, y es la misma IP real al final por la que sale el
> proxy, sin usar el proxy, si puedo acceder a facebook, tanto desde el
> navegador, como haciendo un telnet desde la consola, eso en el mismo
> momento que no funciona desde el proxy. El logs de squid me devuelve
> cuando esto sucede, lo siguiente: TCP_MISS/503 0 Connect
> www.facebook.com.
https://www.google.es/webhp?
complete=0&hl=en&gws_rd=cr,ssl&ei=bdzQVKwZ5ZLsBqKOgPAE#complete=0&hl=en&q=TCP_MISS
%2F503+0+Connect+www.facebook.com.&btnK=Google+Search
> No he cambiado configuraciones en el proxy ni nada, es
> la misma que vengo usando hace meses, pudiera ser un problema de bugs en
> esta versión?, o un problema a la hora de resolver el dominio facebook,
> porque con otros sitios https no lo hace.
parece que te pasa algo similar:
[squid-users] Strange 503 on https sites
http://www.squid-cache.org/mail-archive/squid-users/201106/0341.html
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Raydel Hernández Martínez
Feb 4, 2015, 3:10:03 PM2/4/15
to
Hola, muchas gracias por la respuestas a este hilo, he seguido cada una
de sus sugerencias, y por más que reviso el tema una y otra vez, me
sigue pareciendo que no es un problema del squid, le explico, las
siguientes pruebas que he realizado:
1- Desde la consola del server Proxy, el cual tiene una IP en un
segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el
firewall principal, el cual acepta todo el trafico saliente del proxy,
hice una prueba de conexión utilizando openssl como me recomendó, y en
un primer momento, conectó con el sitio de facebook, devolviendo el
siguiente fragmento:
root@proxy:~# openssl s_client -connect facebook.com:443
CONNECTED(00000003)
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert
High Assurance CA-3
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=CA/L=Menlo Park/O=Facebook, Inc./CN=*.facebook.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High
Assurance CA-3
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High
Assurance CA-3
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High
Assurance EV Root CA
2- Luego hice la misma operación, pero indicando: openssl s_client
-connect www.facebook.com:443
Y me devuelve un error, con lo siguiente:
connect: Connection timed out
connect:errno=110
Algo curioso tambien, es que cuando hago un telnet desde la consola a:
telnet www.facebook.com 443, me devuelve una IP con dirección:
31.13.73.1, y haciendo el mismo telnet, pero solo a: telnet facebook.com
443, si conecta, pero devolviendo la IP 173.252.120.6, devolviendo la
conexión satisfactoria.
Trying 173.252.120.6...
Connected to facebook.com.
Escape character is '^]'
Es como si declarando el CNAME www de este dominio no pudiera conectar,
o a la IP según la ubicación geográfica desde donde accedo, pero como
explicaba en el correo anterior, no sucede periódicamente en el día,
sino a cada rato en el día, sin embargo el acceso a: chat.facebook.com
al puerto 5222, siempre se mantiene, y nunca da problemas, y es mediante
el mismo proxy desde los clientes.
- Pudiera ser que Squid tuviera problema de resolución Ipv6, pero sería
solo con el bloque IP de facebook, el cual no puede resolver??, porque
con sitios como google, youtube, etc, y accesos https a otros sitios no
da problemas. Tengo la resolución Ipv6 desactivada en sysctl.conf del
sistema.
--
Albet
Raydel Hernández Martínez.
*Especialista de Tecnología.*
*Administrador de Redes y Sistemas.*
*Móvil:* 0058-4265200309.
*Dirección:* Ave. Conde. Hotel "El Conde". Caracas. Venezuela.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/54D27AF8...@vnz.uci.cu
de sus sugerencias, y por más que reviso el tema una y otra vez, me
sigue pareciendo que no es un problema del squid, le explico, las
siguientes pruebas que he realizado:
1- Desde la consola del server Proxy, el cual tiene una IP en un
segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el
firewall principal, el cual acepta todo el trafico saliente del proxy,
hice una prueba de conexión utilizando openssl como me recomendó, y en
un primer momento, conectó con el sitio de facebook, devolviendo el
siguiente fragmento:
root@proxy:~# openssl s_client -connect facebook.com:443
CONNECTED(00000003)
depth=1 C = US, O = DigiCert Inc, OU = www.digicert.com, CN = DigiCert
High Assurance CA-3
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=CA/L=Menlo Park/O=Facebook, Inc./CN=*.facebook.com
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High
Assurance CA-3
1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High
Assurance CA-3
i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High
Assurance EV Root CA
2- Luego hice la misma operación, pero indicando: openssl s_client
-connect www.facebook.com:443
Y me devuelve un error, con lo siguiente:
connect: Connection timed out
connect:errno=110
Algo curioso tambien, es que cuando hago un telnet desde la consola a:
telnet www.facebook.com 443, me devuelve una IP con dirección:
31.13.73.1, y haciendo el mismo telnet, pero solo a: telnet facebook.com
443, si conecta, pero devolviendo la IP 173.252.120.6, devolviendo la
conexión satisfactoria.
Trying 173.252.120.6...
Connected to facebook.com.
Escape character is '^]'
Es como si declarando el CNAME www de este dominio no pudiera conectar,
o a la IP según la ubicación geográfica desde donde accedo, pero como
explicaba en el correo anterior, no sucede periódicamente en el día,
sino a cada rato en el día, sin embargo el acceso a: chat.facebook.com
al puerto 5222, siempre se mantiene, y nunca da problemas, y es mediante
el mismo proxy desde los clientes.
- Pudiera ser que Squid tuviera problema de resolución Ipv6, pero sería
solo con el bloque IP de facebook, el cual no puede resolver??, porque
con sitios como google, youtube, etc, y accesos https a otros sitios no
da problemas. Tengo la resolución Ipv6 desactivada en sysctl.conf del
sistema.
--
Albet
Raydel Hernández Martínez.
*Especialista de Tecnología.*
*Administrador de Redes y Sistemas.*
*Móvil:* 0058-4265200309.
*Dirección:* Ave. Conde. Hotel "El Conde". Caracas. Venezuela.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Camaleón
Feb 5, 2015, 9:40:02 AM2/5/15
to
El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió:
No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
de responder al creado un mensaje nuevo? Hay que responder a los mensajes
para que queden bien archivos, de lo contrario se pierde contexto.
> Hola, muchas gracias por la respuestas a este hilo, he seguido cada una
> de sus sugerencias, y por más que reviso el tema una y otra vez, me
> sigue pareciendo que no es un problema del squid,
Veamos... cuando pasas a través de squid tienes problemas y cuando sales
directamente a través del router no ¿y dices que no es problema del
proxy? :-)
> le explico, las siguientes pruebas que he realizado:
>
> 1- Desde la consola del server Proxy, el cual tiene una IP en un
> segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el
> firewall principal, el cual acepta todo el trafico saliente del proxy,
> hice una prueba de conexión utilizando openssl como me recomendó, y en
> un primer momento, conectó con el sitio de facebook, devolviendo el
> siguiente fragmento:
Hum, no. Mejor que hagas las pruebas desde lo clientes, no el servidor.
(...)
Bueno, ese equipo conecta sin problemas al servidor, pero aún así
conviene que revises el registro de Squid para ver qué es lo que hace y
cómo registra la conexión (o si no registra nada).
> 2- Luego hice la misma operación, pero indicando: openssl s_client
> -connect www.facebook.com:443 Y me devuelve un error, con lo siguiente:
> connect: Connection timed out connect:errno=110
Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes
alguna regla en el proxy que permite unas conexiones pero rechaza otras.
Hasta que no revises los registros vamos a seguir especulando lo que
puede estar pasando ;-)
> Algo curioso tambien, es que cuando hago un telnet desde la consola a:
> telnet www.facebook.com 443, me devuelve una IP con dirección:
> 31.13.73.1, y haciendo el mismo telnet, pero solo a: telnet facebook.com
> 443, si conecta, pero devolviendo la IP 173.252.120.6, devolviendo la
> conexión satisfactoria.
>
> Trying 173.252.120.6...
> Connected to facebook.com.
> Escape character is '^]'
Sí, yo también recibo esos datos:
sm01@stt008:~$ telnet facebook.com 443
Escape character is '^]'.
sm01@stt008:~$ telnet www.facebook.com 443
Trying 31.13.83.8...
Connected to star.c10r.facebook.com.
Escape character is '^]'.
> Es como si declarando el CNAME www de este dominio no pudiera conectar,
> o a la IP según la ubicación geográfica desde donde accedo, pero como
> explicaba en el correo anterior, no sucede periódicamente en el día,
> sino a cada rato en el día, sin embargo el acceso a: chat.facebook.com
> al puerto 5222, siempre se mantiene, y nunca da problemas, y es mediante
> el mismo proxy desde los clientes.
Son dos direcciones distintas, sí, y ambas tienen habilitado IPv6:
sm01@stt008:~$ host facebook.com
facebook.com has address 173.252.120.6
facebook.com has IPv6 address 2a03:2880:2130:cf05:face:b00c:0:1
facebook.com mail is handled by 10 msgin.vvv.facebook.com.
sm01@stt008:~$ host www.facebook.com
www.facebook.com is an alias for star.c10r.facebook.com.
star.c10r.facebook.com has address 31.13.83.8
star.c10r.facebook.com has IPv6 address 2a03:2880:f004:1:face:b00c:0:1
star.c10r.facebook.com mail is handled by 10 msgin.vvv.facebook.com.
> - Pudiera ser que Squid tuviera problema de resolución Ipv6, pero sería
> solo con el bloque IP de facebook, el cual no puede resolver??, porque
> con sitios como google, youtube, etc, y accesos https a otros sitios no
> da problemas. Tengo la resolución Ipv6 desactivada en sysctl.conf del
> sistema.
Revisa los enlaces que te pasé, consulta los registros de squid para ver
qué sucede realmente y prueba desactivando IPv6 (si está habilitado en
squid) para ver si obtienes algún resultado distinto.
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/pan.2015.02...@gmail.com
No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
de responder al creado un mensaje nuevo? Hay que responder a los mensajes
para que queden bien archivos, de lo contrario se pierde contexto.
> Hola, muchas gracias por la respuestas a este hilo, he seguido cada una
> de sus sugerencias, y por más que reviso el tema una y otra vez, me
> sigue pareciendo que no es un problema del squid,
directamente a través del router no ¿y dices que no es problema del
proxy? :-)
> le explico, las siguientes pruebas que he realizado:
>
> 1- Desde la consola del server Proxy, el cual tiene una IP en un
> segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el
> firewall principal, el cual acepta todo el trafico saliente del proxy,
> hice una prueba de conexión utilizando openssl como me recomendó, y en
> un primer momento, conectó con el sitio de facebook, devolviendo el
> siguiente fragmento:
(...)
Bueno, ese equipo conecta sin problemas al servidor, pero aún así
conviene que revises el registro de Squid para ver qué es lo que hace y
cómo registra la conexión (o si no registra nada).
> 2- Luego hice la misma operación, pero indicando: openssl s_client
> -connect www.facebook.com:443 Y me devuelve un error, con lo siguiente:
> connect: Connection timed out connect:errno=110
alguna regla en el proxy que permite unas conexiones pero rechaza otras.
Hasta que no revises los registros vamos a seguir especulando lo que
puede estar pasando ;-)
> Algo curioso tambien, es que cuando hago un telnet desde la consola a:
> telnet www.facebook.com 443, me devuelve una IP con dirección:
> 31.13.73.1, y haciendo el mismo telnet, pero solo a: telnet facebook.com
> 443, si conecta, pero devolviendo la IP 173.252.120.6, devolviendo la
> conexión satisfactoria.
>
> Trying 173.252.120.6...
> Connected to facebook.com.
> Escape character is '^]'
sm01@stt008:~$ telnet facebook.com 443
Escape character is '^]'.
sm01@stt008:~$ telnet www.facebook.com 443
Trying 31.13.83.8...
Connected to star.c10r.facebook.com.
Escape character is '^]'.
> Es como si declarando el CNAME www de este dominio no pudiera conectar,
> o a la IP según la ubicación geográfica desde donde accedo, pero como
> explicaba en el correo anterior, no sucede periódicamente en el día,
> sino a cada rato en el día, sin embargo el acceso a: chat.facebook.com
> al puerto 5222, siempre se mantiene, y nunca da problemas, y es mediante
> el mismo proxy desde los clientes.
sm01@stt008:~$ host facebook.com
facebook.com has address 173.252.120.6
facebook.com has IPv6 address 2a03:2880:2130:cf05:face:b00c:0:1
facebook.com mail is handled by 10 msgin.vvv.facebook.com.
sm01@stt008:~$ host www.facebook.com
www.facebook.com is an alias for star.c10r.facebook.com.
star.c10r.facebook.com has address 31.13.83.8
star.c10r.facebook.com has IPv6 address 2a03:2880:f004:1:face:b00c:0:1
star.c10r.facebook.com mail is handled by 10 msgin.vvv.facebook.com.
> - Pudiera ser que Squid tuviera problema de resolución Ipv6, pero sería
> solo con el bloque IP de facebook, el cual no puede resolver??, porque
> con sitios como google, youtube, etc, y accesos https a otros sitios no
> da problemas. Tengo la resolución Ipv6 desactivada en sysctl.conf del
> sistema.
qué sucede realmente y prueba desactivando IPv6 (si está habilitado en
squid) para ver si obtienes algún resultado distinto.
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Raydel Hernández Martínez
Feb 5, 2015, 4:30:05 PM2/5/15
to
El 05/02/15 a las 10:08, Camaleón escribió:
he realizado han sido desde la misma consola del Proxy, desde donde no
uso el servicio de Squid, porque es el mismo servidor Squid, es decir:
sin pasar por el Proxy desde el mismo proxy, realizo estas pruebas de
conexión, usando el comando:
root@proxy:~# openssl s_client -connect www.facebook.com:443
Y el mismo me arroja el error que le comentaba anteriormente, cuando en
realidad, deberia conectar sin problemas porque tiene permitido todo el
tráfico en Output en el firewall principal, esto es sin necesidad de
usar el proxy como bien le decía, por lo que he descartado que sea un
problema del Squid como tal. Otro elemento es que al sitio de facebook,
si puedo mantener una conexión a toda hora al puerto 5222 de su chat,
asi como al puerto 80 de www.facebook.com y facebook.com, claro al
puerto 80 solo lo he usado para realizar puebas de conectividad a la IP
31.13.73.1, que es la que por https da el problema de conexión.
>
>> le explico, las siguientes pruebas que he realizado:
>>
>> 1- Desde la consola del server Proxy, el cual tiene una IP en un
>> segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el
>> firewall principal, el cual acepta todo el trafico saliente del proxy,
>> hice una prueba de conexión utilizando openssl como me recomendó, y en
>> un primer momento, conectó con el sitio de facebook, devolviendo el
>> siguiente fragmento:
> Hum, no. Mejor que hagas las pruebas desde lo clientes, no el servidor.
>
>> root@proxy:~# openssl s_client -connect facebook.com:443
>> CONNECTED(00000003)
> (...)
>
> Bueno, ese equipo conecta sin problemas al servidor, pero aún así
> conviene que revises el registro de Squid para ver qué es lo que hace y
> cómo registra la conexión (o si no registra nada).
>
>> 2- Luego hice la misma operación, pero indicando: openssl s_client
>> -connect www.facebook.com:443 Y me devuelve un error, con lo siguiente:
>> connect: Connection timed out connect:errno=110
> Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes
> alguna regla en el proxy que permite unas conexiones pero rechaza otras.
> Hasta que no revises los registros vamos a seguir especulando lo que
> puede estar pasando ;-)
Usando el Proxy en el navegador de los clientes, por momentos puedo
entrar al sitio de facebook, pero en otros momentos no puedo, pero sin
embargo puedo entrar en cualquier otro sitio https, ya sea gmail,
google, yahoo, etc, cualquier otro sitio por https en cualquier momento
sin problemas, solo da este problema con el sitio de facebook, que es a
donde mas se generan peticiones a diario, en casi todas las horas del
día. No tengo ninguna regla en el squid.conf que deniegue el acceso a
facebook por horario, solo una regla que no permite almacenar en cache
nada del dominio facebook, todo lo solicita directamente.
Revice los enlaces recomendados, solo me queda por probar la sugerencia
de desactivar el ipv6 en el Squid, porque incluso lo desactive en el
sysctl.conf del sistema, y añadí una línea en el squid.conf que indica
que todas las resoluciones dns las haga primeramente usando IPv4, lo
hice despues que ya estaba dando el problema, a ver si lo solucionaba,
pero nada, esta es la directiva: dns_v4_first on
El fragmento del logs de Squid es el siguiente:
root@proxy-usr:~# tailf /var/log/squid3/access.log | grep facebook
1423170327.000 59993 10.13.8.12 TCP_MISS/503 0 CONNECT
4-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 -
1423170330.001 59990 10.13.5.20 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170335.000 59998 10.13.9.155 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170339.000 59966 10.14.5.190 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170341.001 59994 10.13.11.27 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170341.001 59985 10.14.5.67 TCP_MISS/503 0 CONNECT
0-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 -
Aquí se ve que no puede conectar con el sitio de facebook, al 443, pero
sin embargo, si puede conectar en las peticiones https de gmail, yahoo,
youtube, etc, como muestra el siguiente fragmento del log.
1423170677.469 10173 10.13.1.6 TCP_MISS/200 3986 CONNECT
lh3.googleusercontent.com:443 raydel DIRECT/216.58.219.97 -
1423170695.001 59852 10.13.1.6 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170699.718 11651 10.13.1.6 TCP_MISS/200 4298 CONNECT
ssl.gstatic.com:443 user DIRECT/216.58.219.131 -
1423170699.914 198 10.13.1.6 TCP_MISS/301 745 GET
http://www.youtube.com/ user DIRECT/216.58.219.110 text/html
1423170710.730 10193 10.13.1.6 TCP_MISS/200 4297 CONNECT
s.ytimg.com:443 user DIRECT/216.58.219.110 -
1423170717.338 2 10.13.1.6 TCP_HIT/301 849 GET http://yahoo.es/
user NONE/- text/html
1423170718.482 10899 10.13.1.6 TCP_MISS/200 4297 CONNECT
apis.google.com:443 user DIRECT/216.58.219.142 -
1423170719.155 668 10.13.1.6 TCP_MISS/200 6421 CONNECT s.yimg.com:443
user DIRECT/190.90.15.4 -
1423170720.731 19500 10.13.1.6 TCP_MISS/200 4296 CONNECT
i.ytimg.com:443 user
1423170720.733 11187 10.13.1.6 TCP_MISS/200 4297 CONNECT
ssl.gstatic.com:443 user DIRECT/216.58.219.131 -
1423170720.734 19451 10.13.1.6 TCP_MISS/200 3970 CONNECT
yt3.ggpht.com:443 user DIRECT/216.58.219.97 -
Estuve pensando en que pudiera ser que facebook bloque por momentos mi
IP, pero desde mi PC de trabajo, no uso proxy, salgo directamente a
Internet mediante el firewall, como mismo hace el Proxy, y si puedo
conectar con facebook, sin ningún problema todo el día, en mi PC uso los
mismos DNS que usa el servidor Proxy.
Gracias a todos por las respuestas.
Saludos
--
Albet
Raydel Hernández Martínez.
*Especialista de Tecnología.*
*Administrador de Redes y Sistemas.*
*Móvil:* 0058-4265200309.
*Dirección:* Ave. Conde. Hotel "El Conde". Caracas. Venezuela.
> El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió:
>
> No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
> de responder al creado un mensaje nuevo? Hay que responder a los mensajes
> para que queden bien archivos, de lo contrario se pierde contexto.
>
>> Hola, muchas gracias por la respuestas a este hilo, he seguido cada una
>> de sus sugerencias, y por más que reviso el tema una y otra vez, me
>> sigue pareciendo que no es un problema del squid,
> Veamos... cuando pasas a través de squid tienes problemas y cuando sales
> directamente a través del router no ¿y dices que no es problema del
> proxy? :-)
Hola, gracias por las sugerencias anteriores. Explico, las pruebas que
>
> No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
> de responder al creado un mensaje nuevo? Hay que responder a los mensajes
> para que queden bien archivos, de lo contrario se pierde contexto.
>
>> Hola, muchas gracias por la respuestas a este hilo, he seguido cada una
>> de sus sugerencias, y por más que reviso el tema una y otra vez, me
>> sigue pareciendo que no es un problema del squid,
> Veamos... cuando pasas a través de squid tienes problemas y cuando sales
> directamente a través del router no ¿y dices que no es problema del
> proxy? :-)
he realizado han sido desde la misma consola del Proxy, desde donde no
uso el servicio de Squid, porque es el mismo servidor Squid, es decir:
sin pasar por el Proxy desde el mismo proxy, realizo estas pruebas de
conexión, usando el comando:
root@proxy:~# openssl s_client -connect www.facebook.com:443
Y el mismo me arroja el error que le comentaba anteriormente, cuando en
realidad, deberia conectar sin problemas porque tiene permitido todo el
tráfico en Output en el firewall principal, esto es sin necesidad de
usar el proxy como bien le decía, por lo que he descartado que sea un
problema del Squid como tal. Otro elemento es que al sitio de facebook,
si puedo mantener una conexión a toda hora al puerto 5222 de su chat,
asi como al puerto 80 de www.facebook.com y facebook.com, claro al
puerto 80 solo lo he usado para realizar puebas de conectividad a la IP
31.13.73.1, que es la que por https da el problema de conexión.
>
>> le explico, las siguientes pruebas que he realizado:
>>
>> 1- Desde la consola del server Proxy, el cual tiene una IP en un
>> segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el
>> firewall principal, el cual acepta todo el trafico saliente del proxy,
>> hice una prueba de conexión utilizando openssl como me recomendó, y en
>> un primer momento, conectó con el sitio de facebook, devolviendo el
>> siguiente fragmento:
> Hum, no. Mejor que hagas las pruebas desde lo clientes, no el servidor.
>
>> root@proxy:~# openssl s_client -connect facebook.com:443
>> CONNECTED(00000003)
> (...)
>
> Bueno, ese equipo conecta sin problemas al servidor, pero aún así
> conviene que revises el registro de Squid para ver qué es lo que hace y
> cómo registra la conexión (o si no registra nada).
>
>> 2- Luego hice la misma operación, pero indicando: openssl s_client
>> -connect www.facebook.com:443 Y me devuelve un error, con lo siguiente:
>> connect: Connection timed out connect:errno=110
> Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes
> alguna regla en el proxy que permite unas conexiones pero rechaza otras.
> Hasta que no revises los registros vamos a seguir especulando lo que
> puede estar pasando ;-)
entrar al sitio de facebook, pero en otros momentos no puedo, pero sin
embargo puedo entrar en cualquier otro sitio https, ya sea gmail,
google, yahoo, etc, cualquier otro sitio por https en cualquier momento
sin problemas, solo da este problema con el sitio de facebook, que es a
donde mas se generan peticiones a diario, en casi todas las horas del
día. No tengo ninguna regla en el squid.conf que deniegue el acceso a
facebook por horario, solo una regla que no permite almacenar en cache
nada del dominio facebook, todo lo solicita directamente.
de desactivar el ipv6 en el Squid, porque incluso lo desactive en el
sysctl.conf del sistema, y añadí una línea en el squid.conf que indica
que todas las resoluciones dns las haga primeramente usando IPv4, lo
hice despues que ya estaba dando el problema, a ver si lo solucionaba,
pero nada, esta es la directiva: dns_v4_first on
El fragmento del logs de Squid es el siguiente:
root@proxy-usr:~# tailf /var/log/squid3/access.log | grep facebook
1423170327.000 59993 10.13.8.12 TCP_MISS/503 0 CONNECT
4-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 -
1423170330.001 59990 10.13.5.20 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170335.000 59998 10.13.9.155 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170339.000 59966 10.14.5.190 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170341.001 59994 10.13.11.27 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170341.001 59985 10.14.5.67 TCP_MISS/503 0 CONNECT
0-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 -
Aquí se ve que no puede conectar con el sitio de facebook, al 443, pero
sin embargo, si puede conectar en las peticiones https de gmail, yahoo,
youtube, etc, como muestra el siguiente fragmento del log.
1423170677.469 10173 10.13.1.6 TCP_MISS/200 3986 CONNECT
lh3.googleusercontent.com:443 raydel DIRECT/216.58.219.97 -
1423170695.001 59852 10.13.1.6 TCP_MISS/503 0 CONNECT
www.facebook.com:443 user DIRECT/31.13.73.1 -
1423170699.718 11651 10.13.1.6 TCP_MISS/200 4298 CONNECT
ssl.gstatic.com:443 user DIRECT/216.58.219.131 -
1423170699.914 198 10.13.1.6 TCP_MISS/301 745 GET
http://www.youtube.com/ user DIRECT/216.58.219.110 text/html
1423170710.730 10193 10.13.1.6 TCP_MISS/200 4297 CONNECT
s.ytimg.com:443 user DIRECT/216.58.219.110 -
1423170717.338 2 10.13.1.6 TCP_HIT/301 849 GET http://yahoo.es/
user NONE/- text/html
1423170718.482 10899 10.13.1.6 TCP_MISS/200 4297 CONNECT
apis.google.com:443 user DIRECT/216.58.219.142 -
1423170719.155 668 10.13.1.6 TCP_MISS/200 6421 CONNECT s.yimg.com:443
user DIRECT/190.90.15.4 -
1423170720.731 19500 10.13.1.6 TCP_MISS/200 4296 CONNECT
i.ytimg.com:443 user
1423170720.733 11187 10.13.1.6 TCP_MISS/200 4297 CONNECT
ssl.gstatic.com:443 user DIRECT/216.58.219.131 -
1423170720.734 19451 10.13.1.6 TCP_MISS/200 3970 CONNECT
yt3.ggpht.com:443 user DIRECT/216.58.219.97 -
Estuve pensando en que pudiera ser que facebook bloque por momentos mi
IP, pero desde mi PC de trabajo, no uso proxy, salgo directamente a
Internet mediante el firewall, como mismo hace el Proxy, y si puedo
conectar con facebook, sin ningún problema todo el día, en mi PC uso los
mismos DNS que usa el servidor Proxy.
Gracias a todos por las respuestas.
Saludos
--
Albet
Raydel Hernández Martínez.
*Especialista de Tecnología.*
*Administrador de Redes y Sistemas.*
*Móvil:* 0058-4265200309.
*Dirección:* Ave. Conde. Hotel "El Conde". Caracas. Venezuela.
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/54D3DF7D...@vnz.uci.cu
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Camaleón
Feb 6, 2015, 10:30:03 AM2/6/15
to
El Thu, 05 Feb 2015 16:54:13 -0430, Raydel Hernández Martínez escribió:
> El 05/02/15 a las 10:08, Camaleón escribió:
>> El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió:
>>
>> No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
>> de responder al creado un mensaje nuevo? Hay que responder a los
>> mensajes para que queden bien archivos, de lo contrario se pierde
>> contexto.
>>
>>> Hola, muchas gracias por la respuestas a este hilo, he seguido cada
>>> una de sus sugerencias, y por más que reviso el tema una y otra vez,
>>> me sigue pareciendo que no es un problema del squid,
>> Veamos... cuando pasas a través de squid tienes problemas y cuando
>> sales directamente a través del router no ¿y dices que no es problema
>> del proxy? :-)
> Hola, gracias por las sugerencias anteriores. Explico, las pruebas que
> he realizado han sido desde la misma consola del Proxy, desde donde no
> uso el servicio de Squid, porque es el mismo servidor Squid, es decir:
> sin pasar por el Proxy desde el mismo proxy, realizo estas pruebas de
> conexión, usando el comando:
Es que eso no sirve, es decir, para hacer las pruebas tienes que hacerlo
> El 05/02/15 a las 10:08, Camaleón escribió:
>> El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió:
>>
>> No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
>> de responder al creado un mensaje nuevo? Hay que responder a los
>> mensajes para que queden bien archivos, de lo contrario se pierde
>> contexto.
>>
>>> Hola, muchas gracias por la respuestas a este hilo, he seguido cada
>>> una de sus sugerencias, y por más que reviso el tema una y otra vez,
>>> me sigue pareciendo que no es un problema del squid,
>> Veamos... cuando pasas a través de squid tienes problemas y cuando
>> sales directamente a través del router no ¿y dices que no es problema
>> del proxy? :-)
> Hola, gracias por las sugerencias anteriores. Explico, las pruebas que
> he realizado han sido desde la misma consola del Proxy, desde donde no
> uso el servicio de Squid, porque es el mismo servidor Squid, es decir:
> sin pasar por el Proxy desde el mismo proxy, realizo estas pruebas de
> conexión, usando el comando:
desde un cliente que accede a Internet a través del proxy de lo contrario
no sirve de nada porque ya sabemos que sin pasar por Squid todo funciona
bien.
> root@proxy:~# openssl s_client -connect www.facebook.com:443
>
> Y el mismo me arroja el error que le comentaba anteriormente, cuando en
> realidad, deberia conectar sin problemas porque tiene permitido todo el
> tráfico en Output en el firewall principal, esto es sin necesidad de
> usar el proxy como bien le decía, por lo que he descartado que sea un
> problema del Squid como tal.
1/ Problemas intermitentes de conexión desde equipos que NO pasan por
proxy
2/ Problemas con Squid ya que los clientes reciben un "time out" cuando
intentan acceder a la página de facebook.
Para el primer problema, y si tienes cortafuegos de por medio, te digo
lo mismo que con Squid: revisa los registros, en este caso de iptables,
para ver que si la petición está siendo rechazada o bloqueada por algún
motivo.
> Otro elemento es que al sitio de facebook, si puedo mantener una
> conexión a toda hora al puerto 5222 de su chat, asi como al puerto 80
> de www.facebook.com y facebook.com, claro al puerto 80 solo lo he usado
> para realizar puebas de conectividad a la IP 31.13.73.1, que es la que
> por https da el problema de conexión.
configuraciones redundantes, cdn, etc... y tienen varias direcciones IP
asignadas a una misma máquina.
(...)
>>> 2- Luego hice la misma operación, pero indicando: openssl s_client
>>> -connect www.facebook.com:443 Y me devuelve un error, con lo
>>> siguiente: connect: Connection timed out connect:errno=110
>> Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes
>> alguna regla en el proxy que permite unas conexiones pero rechaza
>> otras. Hasta que no revises los registros vamos a seguir especulando lo
>> que puede estar pasando ;-)
> Usando el Proxy en el navegador de los clientes, por momentos puedo
> entrar al sitio de facebook, pero en otros momentos no puedo, pero sin
> embargo puedo entrar en cualquier otro sitio https, ya sea gmail,
> google, yahoo, etc, cualquier otro sitio por https en cualquier momento
> sin problemas, solo da este problema con el sitio de facebook, que es a
> donde mas se generan peticiones a diario, en casi todas las horas del
> día. No tengo ninguna regla en el squid.conf que deniegue el acceso a
> facebook por horario, solo una regla que no permite almacenar en cache
> nada del dominio facebook, todo lo solicita directamente.
proxy? ¿funciona, no funciona...? Si funciona bien (como creo que has
indicado antes) parece lógico pensar que algo de Squid les impide la
conexión.
(...)
>>> - Pudiera ser que Squid tuviera problema de resolución Ipv6, pero
>>> sería solo con el bloque IP de facebook, el cual no puede resolver??,
>>> porque con sitios como google, youtube, etc, y accesos https a otros
>>> sitios no da problemas. Tengo la resolución Ipv6 desactivada en
>>> sysctl.conf del sistema.
>> Revisa los enlaces que te pasé, consulta los registros de squid para
>> ver qué sucede realmente y prueba desactivando IPv6 (si está habilitado
>> en squid) para ver si obtienes algún resultado distinto.
>>
>>
> Revice los enlaces recomendados, solo me queda por probar la sugerencia
> de desactivar el ipv6 en el Squid, porque incluso lo desactive en el
> sysctl.conf del sistema, y añadí una línea en el squid.conf que indica
> que todas las resoluciones dns las haga primeramente usando IPv4, lo
> hice despues que ya estaba dando el problema, a ver si lo solucionaba,
> pero nada, esta es la directiva: dns_v4_first on
Creo que con esa directiva (dns_v4_first) no desactivas el soporte de
> de desactivar el ipv6 en el Squid, porque incluso lo desactive en el
> sysctl.conf del sistema, y añadí una línea en el squid.conf que indica
> que todas las resoluciones dns las haga primeramente usando IPv4, lo
> hice despues que ya estaba dando el problema, a ver si lo solucionaba,
> pero nada, esta es la directiva: dns_v4_first on
IPv6 en squid, sólo le dices que consulte primero usando IPv4 pero
igualmente usa IPv6.
> El fragmento del logs de Squid es el siguiente:
>
> root@proxy-usr:~# tailf /var/log/squid3/access.log | grep facebook
>
> 1423170327.000 59993 10.13.8.12 TCP_MISS/503 0 CONNECT 4-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 -
> 1423170330.001 59990 10.13.5.20 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 -
> Aquí se ve que no puede conectar con el sitio de facebook, al 443, pero
> sin embargo, si puede conectar en las peticiones https de gmail, yahoo,
> youtube, etc, como muestra el siguiente fragmento del log.
>
> 1423170677.469 10173 10.13.1.6 TCP_MISS/200 3986 CONNECT lh3.googleusercontent.com:443 raydel DIRECT/216.58.219.97 -
> 1423170695.001 59852 10.13.1.6 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 -
> 1423170699.718 11651 10.13.1.6 TCP_MISS/200 4298 CONNECT ssl.gstatic.com:443 user DIRECT/216.58.219.131 -
> 1423170699.914 198 10.13.1.6 TCP_MISS/301 745 GET http://www.youtube.com/ user DIRECT/216.58.219.110 text/html
> Estuve pensando en que pudiera ser que facebook bloque por momentos mi
> IP, pero desde mi PC de trabajo, no uso proxy, salgo directamente a
> Internet mediante el firewall, como mismo hace el Proxy, y si puedo
> conectar con facebook, sin ningún problema todo el día, en mi PC uso los
> mismos DNS que usa el servidor Proxy.
algunas sugerencias del cuál podría ser el origen del problema:
https://www.google.es/webhp?complete=0&hl=en&gws_rd=cr,ssl&ei=ptvUVIPFIIKvUf6EhKgC#complete=0&hl=en&q=TCP_MISS%2F503+facebook
Por otra parte, prueba a usar distintos servidores DNS (p. ej., los de tu
ISP, los de Google, los de OpenDNS...) para ver si notas alguna diferencia,
es decir, si aparecen menos errores o sigue igual.
Saludos,
--
Camaleón
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Angel Claudio Alvarez
Feb 6, 2015, 7:20:03 PM2/6/15
to
El Mon, 2 Feb 2015 12:54:54 -0430
Raydel Hernández Martínez <ray...@vnz.uci.cu> escribió:
Te equivocaste de lista, pregunta en ubuntu
Angel Claudio Alvarez <an...@angel-alvarez.com.ar>
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Archive: https://lists.debian.org/20150206211821.c82c...@angel-alvarez.com.ar
Raydel Hernández Martínez <ray...@vnz.uci.cu> escribió:
> --
> To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
> Archive: https://lists.debian.org/54CFB2E6...@vnz.uci.cu
>
--
> To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
> Archive: https://lists.debian.org/54CFB2E6...@vnz.uci.cu
>
Angel Claudio Alvarez <an...@angel-alvarez.com.ar>
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
0 new messages