PFSense 2.1 - Lentidão Squid, até latência aumenta
-
LFCavalcanti,
Minhas sugestões:
-
Faça uma instalação limpa, com o Squid 2.7 e volte o backup (gere ele antes, claro);
-
Desligue o tráfego de pacotes IPv6.
Teste assim e valide. Depois, se for atualizar para o Squid 3 ou Squid3-Dev, esteja atento as dependências. Fique de olho e consulte os logs do Squid.
Créditos das dicas ao nosso consultor, aqui da ConexTI, Felipe Ortega. ;)
Abraços!
JackOlá JackL!
Este servidor estava rodando com o Squid 2.7 a principio. Mesmo assim, nosso colega Gilmar Cabral já fez isto, conforme comentário dele abaixo:
Irei participar deste problema.
Como o LFCavalcanti informou o problema dele e igual o meu.
Eu fiz a instalação do zero.
Em seguida desabilitei o trafego na GUI de ipv6.
ai configurei e instalei o squid e quando rodo o comando netstat -an vejo que a porta esta closed.
Ai removi o squid3-dev e instalei o squid e o problema permanece.
Teste todas versões do squid que o pfsense possui.Vou tentar então gerar as regras de NAT Outbound manualmente, mas se a porta do Proxy é bloqueada… estranho "tchê". ;D
Algum local onde podemos editar as regras do Firewall manualmente? Seja em arquivo ou console?
-
-
boa noite.
Tenho novidade sobre o squid 2.7 com o suporte ao IPV6 desabilitado na GUI do pfsense 2.1
Agora esta funcionando.
Desabilitei o suporte a ipv6 na GUI do pfsense 2.1 com isso o squid2.7 inicializou e funcionoaru 100%.
Sem este suporte ao IPV6 ate a minha openvpn não cria mais a rota ipv6 automaticamente sendo que estou usando ipv4.
Agora irei fazer o teste atualizando para a versão squid3 ou squid3-dev para ver se funciona.
Pelo menos a versão do squid2.7 funciona sem dependência do ipv6. -
Jackl uma duvida sobre sua sugestão.
Voce sugere que depois de tudo validado e testado no squid 2.7 atualiza-lo para o squid3 ou squid3-dev com suas dependencias de SSL resolvidadas assim devera funcionar?
Caso for isso uma duvida como seria esta atualização?
Remoçâo do squid 2.7 e intalando o squid3 ou squid3-dev?
Ou mantenho o squid 2.7 e instalo omsquid3 ou o squid3-dev?
Desde ja agradeço. -
Sempre removendo….
-
ta usando ipv6 ou só ipv4?
Obrigado pela ajuda, mas preciso pedir que leia o tópico novamente, inclusive suas referencias para não termos que repassar a mesma informação várias vezes.
Desculpe não vi nesse tópico seu relato sobre ipv6 ou ipv4 te falei isso pois foi o mesmo conselho que passei pro GilmarCabral quando conversamos sobre esse problema, fazer o teste somente com ipv4
-
Boa tarde.
Jack tentei atualizando o squid para a versão squid3-dev porem sem sucesso.
A única versão que funcionou sem o suporte ao ipv6 foi o squid 2.7 -
Boa tarde.
Jack tentei atualizando o squid para a versão squid3-dev porem sem sucesso.
A única versão que funcionou sem o suporte ao ipv6 foi o squid 2.7Olá!
Estava viajando então não tive tempo pra testar aquele servidor que mencionei.
Vou fazer os testes e logo mais posto o que verifiquei. Mas saliento que no meu caso mesmo com o 2.7 não funciona.
-
LFCavalcanti estou utilizando o squid 2.7 com o squidguard integrado autenticando em basa openldap e esta funcionando normalmente.
O squid autenticando no openldap e o squidguard esta utilizando um script de consulta de grupos no openldap agendado no cron pois o nativo do squidguard não funcionou de maneira alguma.
Inclusive quando simuli o failover o squid cintinua funcionando normal.
Obs, utilizo outbound manual.
Espero ter ajudado. -
Encontrei um problema no Squid 2.7.
Pois esta versão não possui na GUI o patch para ser aplicado pelo captive portal para o squid -
Olá!
Fiz os testes, inclusive com uma instalação "zerada", tenho os mesmos problemas.
Vamos ao cenário…
Versão do PFSense:
2.1-RELEASE (amd64)
built on Wed Sep 11 18:17:48 EDT 2013
FreeBSD 8.3-RELEASE-p11Não vou especificar Hardware pois executei os testes no servidor do cliente, mas também em VMs no VirtualBox e no VMWare.
Verifiquei 2 problemas simples e objetivos:
1 - O Squid 3-DEV atualmente disponível no repositório não funciona em modo "não transparente" a não ser que seja configurado um método de autenticação. Se não ele gera a mensagem que já postei anteriormente.
2 - Se desmarcarmos a opção "Allow IPv6" em System > Advanced > Networking o Squid3 e Squid3-DEV param de receber e transmitir dados, como o colega Gilmar Cabral já havia relatado, a porta é bloqueada. O Squid 2.7 apesar de funcionar, está com desempenho bem abaixo do normal, mesmo com cache em disco desabilitado.
-
1 - O Squid 3-DEV atualmente disponível no repositório não funciona em modo "não transparente" a não ser que seja configurado um método de autenticação. Se não ele gera a mensagem que já postei anteriormente.
Não consegui simular isso aqui. O pacote sem autenticação definida e com ou sem modo transparente sobe tranquilamente…
squid -k parse
2013/10/30 19:07:43| Startup: Initializing Authentication Schemes ... 2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'basic' 2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'digest' 2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'negotiate' 2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'ntlm' 2013/10/30 19:07:43| Startup: Initialized Authentication. 2013/10/30 19:07:43| Processing Configuration File: /usr/pbi/squid-amd64/etc/squid/squid.conf (depth 0) 2013/10/30 19:07:43| Processing: http_port 172.16.xx.75:3128 2013/10/30 19:07:43| Processing: icp_port 7 2013/10/30 19:07:43| Processing: dns_v4_first on 2013/10/30 19:07:43| Processing: pid_filename /var/run/squid.pid 2013/10/30 19:07:43| Processing: cache_effective_user proxy 2013/10/30 19:07:43| Processing: cache_effective_group proxy 2013/10/30 19:07:43| Processing: error_default_language pt-br 2013/10/30 19:07:43| Processing: icon_directory /usr/pbi/squid-amd64/etc/squid/icons 2013/10/30 19:07:43| Processing: visible_hostname xxx.yyy.zz.br 2013/10/30 19:07:43| Processing: cache_mgr admin@localhost 2013/10/30 19:07:43| Processing: access_log /var/squid/logs/access.log 2013/10/30 19:07:43| Processing: cache_log /var/squid/logs/cache.log 2013/10/30 19:07:43| Processing: cache_store_log none 2013/10/30 19:07:43| Processing: logfile_rotate 30 2013/10/30 19:07:43| Processing: shutdown_lifetime 3 seconds 2013/10/30 19:07:43| Processing: acl localnet src 172.16.xx.0/24 2013/10/30 19:07:43| Processing: uri_whitespace strip 2013/10/30 19:07:43| Processing: acl dynamic urlpath_regex cgi-bin \? 2013/10/30 19:07:43| Processing: cache deny dynamic 2013/10/30 19:07:43| Processing: cache_mem 8 MB 2013/10/30 19:07:43| Processing: maximum_object_size_in_memory 32 KB 2013/10/30 19:07:43| Processing: memory_replacement_policy heap GDSF 2013/10/30 19:07:43| Processing: cache_replacement_policy heap LFUDA 2013/10/30 19:07:43| Processing: minimum_object_size 0 KB 2013/10/30 19:07:43| Processing: maximum_object_size 10 KB 2013/10/30 19:07:43| Processing: offline_mode off 2013/10/30 19:07:43| Processing: cache allow all 2013/10/30 19:07:43| Processing: acl allsrc src all 2013/10/30 19:07:43| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 8443 3128 3127 1025-65535 2013/10/30 19:07:43| Processing: acl sslports port 443 563 8443 2013/10/30 19:07:43| Processing: acl purge method PURGE 2013/10/30 19:07:43| Processing: acl connect method CONNECT 2013/10/30 19:07:43| Processing: acl HTTP proto HTTP 2013/10/30 19:07:43| Processing: acl HTTPS proto HTTPS 2013/10/30 19:07:43| Processing: acl allowed_subnets src 172.16.0.0/12 2013/10/30 19:07:43| Processing: http_access allow manager localhost 2013/10/30 19:07:43| Processing: http_access deny manager 2013/10/30 19:07:43| Processing: http_access allow purge localhost 2013/10/30 19:07:43| Processing: http_access deny purge 2013/10/30 19:07:43| Processing: http_access deny !safeports 2013/10/30 19:07:43| Processing: http_access deny CONNECT !sslports 2013/10/30 19:07:43| Processing: request_body_max_size 0 KB 2013/10/30 19:07:43| Processing: delay_pools 1 2013/10/30 19:07:43| Processing: delay_class 1 2 2013/10/30 19:07:43| Processing: delay_parameters 1 -1/-1 -1/-1 2013/10/30 19:07:43| Processing: delay_initial_bucket_level 100 2013/10/30 19:07:43| Processing: delay_access 1 allow allsrc 2013/10/30 19:07:43| Processing: acl sglog url_regex -i sgr=ACCESSDENIED 2013/10/30 19:07:43| Processing: http_access deny sglog 2013/10/30 19:07:43| Processing: http_access allow allowed_subnets 2013/10/30 19:07:43| Processing: http_access allow localnet 2013/10/30 19:07:43| Processing: http_access deny allsrc 2013/10/30 19:07:43| Initializing https proxy contextsquid.conf
# This file is automatically generated by pfSense # Do not edit manually ! http_port 172.16.xx.75:3128 icp_port 7 dns_v4_first on pid_filename /var/run/squid.pid cache_effective_user proxy cache_effective_group proxy error_default_language pt-br icon_directory /usr/pbi/squid-amd64/etc/squid/icons visible_hostname xx.yy.zz.br cache_mgr admin@localhost access_log /var/squid/logs/access.log cache_log /var/squid/logs/cache.log cache_store_log none logfile_rotate 30 shutdown_lifetime 3 seconds # Allow local network(s) on interface(s) acl localnet src 172.16.xx.0/24 uri_whitespace strip acl dynamic urlpath_regex cgi-bin \? cache deny dynamic cache_mem 8 MB maximum_object_size_in_memory 32 KB memory_replacement_policy heap GDSF cache_replacement_policy heap LFUDA minimum_object_size 0 KB maximum_object_size 10 KB offline_mode off cache allow all # No redirector configured #Remote proxies # Setup some default acls # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in. # acl localhost src 127.0.0.1/32 acl allsrc src all acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 8443 3128 3127 1025-65535 acl sslports port 443 563 8443 # From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in. #acl manager proto cache_object acl purge method PURGE acl connect method CONNECT # Define protocols used for redirects acl HTTP proto HTTP acl HTTPS proto HTTPS acl allowed_subnets src 172.16.0.0/12 http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !safeports http_access deny CONNECT !sslports # Always allow localhost connections # From 3.2 further configuration cleanups have been done to make things easier and safer. # The manager, localhost, and to_localhost ACL definitions are now built-in. # http_access allow localhost request_body_max_size 0 KB delay_pools 1 delay_class 1 2 delay_parameters 1 -1/-1 -1/-1 delay_initial_bucket_level 100 delay_access 1 allow allsrc # Reverse Proxy settings # Custom options acl sglog url_regex -i sgr=ACCESSDENIED http_access deny sglog # Setup allowed acls # Allow local network(s) on interface(s) http_access allow allowed_subnets http_access allow localnet # Default block all to be sure http_access deny allsrc2 - Se desmarcarmos a opção "Allow IPv6" em System > Advanced > Networking o Squid3 e Squid3-DEV param de receber e transmitir dados,
Desta forma o squid não consegue subir a porta.
Só consegui diagnosticar que isso ocorre quando o squid é compilado com ipv6 -
LFCavalcanti fiz um novo teste.
Tenho um pfsense 2.03 rodando o squid3 e o squidguard.
Gerei o backup dele e retornei no pfsense 2.1.
O squidguard deu problema então removi e instalei novamente.
Mas tudo funcionou.
Ate removi o squid3 e instalei novamente e o mesmo funcionou.
Não fiz o teste com o squid3-dev.
Mas com o squid3 e o squidguard funcionou normalmente.
Testa desta forma e nos informe. -
Interessante… em suma, se você pega a configuração do 2.0.3 onde não havia suporte ao IPv6, o Squid trabalha normalmente. Isso claramente é um problema no pacote Squid então. Existe alguma maneira de forçarmos a configuração do Squid a obedecer apenas ao IPv4?
Marcelloc,
Sobre a questão da autenticação, aqui o meu Squid.conf está diferente, mesmo formatando. Testei usando a versão Squid3-DEV que está no repositório oficial. O trecho diferente é o que anexei aqui mesmo no tópico, algumas postagens antes.
De qualquer forma vou deixar o cliente com o PFSense 2.0.3 e depois que estiver tudo ok com o 2.1 faço o upgrade.
-
Pois é muito interessante.
O que fiquei mais cucado que removendo o pacote do squid e instalando o mesmo funciona.
Só ainda não testei com o squid3-dev. -
Estou usando a versão 2.1 também e estou com o mesmo problema.
Atualmente meu squid estava na versão 2.7.9 pkg v.4.3.3 + squidGuard modo transparente
cada pagina a ser visitada demora uns 4 a 6 segundos (Provavelmente tempo de download de Cache)
Resolvi mudar para o Squid-Dev3 baixei as libs faltantes e o squid subia e alguns segundos depois caia e não erguia mais
removi squid e squid-dev e tentei voltar ao squid 2.7.9 mas ele não ergue.
No momento na navegação esta direta poi não consigo erguer o squid.
alguém pode me dar um help ?
-
Estou usando a versão 2.1 também e estou com o mesmo problema.
Atualmente meu squid estava na versão 2.7.9 pkg v.4.3.3 + squidGuard modo transparente
cada pagina a ser visitada demora uns 4 a 6 segundos (Provavelmente tempo de download de Cache)
Resolvi mudar para o Squid-Dev3 baixei as libs faltantes e o squid subia e alguns segundos depois caia e não erguia mais
removi squid e squid-dev e tentei voltar ao squid 2.7.9 mas ele não ergue.
No momento na navegação esta direta poi não consigo erguer o squid.
alguém pode me dar um help ?
Te aconselho a atualizar para a versão PRERELEASE da 2.1.1 ou voltar para a versão 2.0.3.
