PFSense 2.1 - Lentidão Squid, até latência aumenta

LFCavalcanti

@gilmarcabral:

Boa tarde.
Jack tentei atualizando o squid para a versão squid3-dev porem sem sucesso.
A única versão que funcionou sem o suporte ao ipv6 foi o squid 2.7

Olá!

Estava viajando então não tive tempo pra testar aquele servidor que mencionei.

Vou fazer os testes e logo mais posto o que verifiquei. Mas saliento que no meu caso mesmo com o 2.7 não funciona.

gilmarcabral

LFCavalcanti estou utilizando o squid 2.7 com o squidguard integrado autenticando em basa openldap e esta funcionando normalmente.
O squid autenticando no openldap e o squidguard esta utilizando um script de consulta de grupos no openldap agendado no cron pois o nativo do squidguard não funcionou de maneira alguma.
Inclusive quando simuli o failover o squid cintinua funcionando normal.
Obs,  utilizo outbound manual.
Espero ter ajudado.

gilmarcabral

Encontrei um problema no Squid 2.7.
Pois esta versão não possui na GUI o patch para ser aplicado pelo captive portal para o squid

LFCavalcanti

Olá!

Fiz os testes, inclusive com uma instalação "zerada", tenho os mesmos problemas.

Vamos ao cenário…

Versão do PFSense:
2.1-RELEASE (amd64)
built on Wed Sep 11 18:17:48 EDT 2013
FreeBSD 8.3-RELEASE-p11

Não vou especificar Hardware pois executei os testes no servidor do cliente, mas também em VMs no VirtualBox e no VMWare.

Verifiquei 2 problemas simples e objetivos:

1 - O Squid 3-DEV atualmente disponível no repositório não funciona em modo "não transparente" a não ser que seja configurado um método de autenticação. Se não ele gera a mensagem que já postei anteriormente.

2 - Se desmarcarmos a opção "Allow IPv6" em System > Advanced > Networking o Squid3 e Squid3-DEV param de receber e transmitir dados, como o colega Gilmar Cabral já havia relatado, a porta é bloqueada. O Squid 2.7 apesar de funcionar, está com desempenho bem abaixo do normal, mesmo com cache em disco desabilitado.

marcelloc

@LFCavalcanti:

1 - O Squid 3-DEV atualmente disponível no repositório não funciona em modo "não transparente" a não ser que seja configurado um método de autenticação. Se não ele gera a mensagem que já postei anteriormente.

Não consegui simular isso aqui. O pacote sem autenticação definida e com ou sem modo transparente sobe tranquilamente…

squid -k parse

2013/10/30 19:07:43| Startup: Initializing Authentication Schemes ...
2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'basic'
2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'digest'
2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'negotiate'
2013/10/30 19:07:43| Startup: Initialized Authentication Scheme 'ntlm'
2013/10/30 19:07:43| Startup: Initialized Authentication.
2013/10/30 19:07:43| Processing Configuration File: /usr/pbi/squid-amd64/etc/squid/squid.conf (depth 0)
2013/10/30 19:07:43| Processing: http_port 172.16.xx.75:3128
2013/10/30 19:07:43| Processing: icp_port 7
2013/10/30 19:07:43| Processing: dns_v4_first on
2013/10/30 19:07:43| Processing: pid_filename /var/run/squid.pid
2013/10/30 19:07:43| Processing: cache_effective_user proxy
2013/10/30 19:07:43| Processing: cache_effective_group proxy
2013/10/30 19:07:43| Processing: error_default_language pt-br
2013/10/30 19:07:43| Processing: icon_directory /usr/pbi/squid-amd64/etc/squid/icons
2013/10/30 19:07:43| Processing: visible_hostname xxx.yyy.zz.br
2013/10/30 19:07:43| Processing: cache_mgr admin@localhost
2013/10/30 19:07:43| Processing: access_log /var/squid/logs/access.log
2013/10/30 19:07:43| Processing: cache_log /var/squid/logs/cache.log
2013/10/30 19:07:43| Processing: cache_store_log none
2013/10/30 19:07:43| Processing: logfile_rotate 30
2013/10/30 19:07:43| Processing: shutdown_lifetime 3 seconds
2013/10/30 19:07:43| Processing: acl localnet src  172.16.xx.0/24
2013/10/30 19:07:43| Processing: uri_whitespace strip
2013/10/30 19:07:43| Processing: acl dynamic urlpath_regex cgi-bin \?
2013/10/30 19:07:43| Processing: cache deny dynamic
2013/10/30 19:07:43| Processing: cache_mem 8 MB
2013/10/30 19:07:43| Processing: maximum_object_size_in_memory 32 KB
2013/10/30 19:07:43| Processing: memory_replacement_policy heap GDSF
2013/10/30 19:07:43| Processing: cache_replacement_policy heap LFUDA
2013/10/30 19:07:43| Processing: minimum_object_size 0 KB
2013/10/30 19:07:43| Processing: maximum_object_size 10 KB
2013/10/30 19:07:43| Processing: offline_mode off
2013/10/30 19:07:43| Processing: cache allow all
2013/10/30 19:07:43| Processing: acl allsrc src all
2013/10/30 19:07:43| Processing: acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 8443 3128 3127 1025-65535
2013/10/30 19:07:43| Processing: acl sslports port 443 563 8443
2013/10/30 19:07:43| Processing: acl purge method PURGE
2013/10/30 19:07:43| Processing: acl connect method CONNECT
2013/10/30 19:07:43| Processing: acl HTTP proto HTTP
2013/10/30 19:07:43| Processing: acl HTTPS proto HTTPS
2013/10/30 19:07:43| Processing: acl allowed_subnets src 172.16.0.0/12
2013/10/30 19:07:43| Processing: http_access allow manager localhost
2013/10/30 19:07:43| Processing: http_access deny manager
2013/10/30 19:07:43| Processing: http_access allow purge localhost
2013/10/30 19:07:43| Processing: http_access deny purge
2013/10/30 19:07:43| Processing: http_access deny !safeports
2013/10/30 19:07:43| Processing: http_access deny CONNECT !sslports
2013/10/30 19:07:43| Processing: request_body_max_size 0 KB
2013/10/30 19:07:43| Processing: delay_pools 1
2013/10/30 19:07:43| Processing: delay_class 1 2
2013/10/30 19:07:43| Processing: delay_parameters 1 -1/-1 -1/-1
2013/10/30 19:07:43| Processing: delay_initial_bucket_level 100
2013/10/30 19:07:43| Processing: delay_access 1 allow allsrc
2013/10/30 19:07:43| Processing: acl sglog url_regex -i sgr=ACCESSDENIED
2013/10/30 19:07:43| Processing: http_access deny sglog
2013/10/30 19:07:43| Processing: http_access allow allowed_subnets
2013/10/30 19:07:43| Processing: http_access allow localnet
2013/10/30 19:07:43| Processing: http_access deny allsrc
2013/10/30 19:07:43| Initializing https proxy context

squid.conf

# This file is automatically generated by pfSense
# Do not edit manually !

http_port 172.16.xx.75:3128
icp_port 7
dns_v4_first on
pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_default_language pt-br
icon_directory /usr/pbi/squid-amd64/etc/squid/icons
visible_hostname xx.yy.zz.br
cache_mgr admin@localhost
access_log /var/squid/logs/access.log
cache_log /var/squid/logs/cache.log
cache_store_log none

logfile_rotate 30
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  172.16.xx.0/24
uri_whitespace strip

acl dynamic urlpath_regex cgi-bin \?
cache deny dynamic

cache_mem 8 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA

minimum_object_size 0 KB
maximum_object_size 10 KB
offline_mode off
cache allow all

# No redirector configured

#Remote proxies

# Setup some default acls
# From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
# acl localhost src 127.0.0.1/32
acl allsrc src all
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901 8443 3128 3127 1025-65535 
acl sslports port 443 563 8443 

# From 3.2 further configuration cleanups have been done to make things easier and safer. The manager, localhost, and to_localhost ACL definitions are now built-in.
#acl manager proto cache_object

acl purge method PURGE
acl connect method CONNECT

# Define protocols used for redirects
acl HTTP proto HTTP
acl HTTPS proto HTTPS
acl allowed_subnets src 172.16.0.0/12
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
# From 3.2 further configuration cleanups have been done to make things easier and safer. 
# The manager, localhost, and to_localhost ACL definitions are now built-in.
# http_access allow localhost

request_body_max_size 0 KB
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
delay_access 1 allow allsrc

# Reverse Proxy settings

# Custom options

acl sglog url_regex -i sgr=ACCESSDENIED
http_access deny sglog
# Setup allowed acls
# Allow local network(s) on interface(s)
http_access allow allowed_subnets
http_access allow localnet
# Default block all to be sure
http_access deny allsrc

@LFCavalcanti:

2 - Se desmarcarmos a opção "Allow IPv6" em System > Advanced > Networking o Squid3 e Squid3-DEV param de receber e transmitir dados,

Desta forma o squid não consegue subir a porta.
Só consegui diagnosticar que isso ocorre quando o squid é compilado com ipv6

gilmarcabral

LFCavalcanti fiz um novo teste.
Tenho um pfsense 2.03 rodando o squid3 e o squidguard.
Gerei o backup dele e retornei no pfsense 2.1.
O squidguard deu problema então removi e instalei novamente.
Mas tudo funcionou.
Ate removi o squid3 e instalei novamente e o mesmo funcionou.
Não fiz o teste com o squid3-dev.
Mas com o squid3 e o squidguard funcionou normalmente.
Testa desta forma e nos informe.

LFCavalcanti

Interessante… em suma, se você pega a configuração do 2.0.3 onde não havia suporte ao IPv6, o Squid trabalha normalmente. Isso claramente é um problema no pacote Squid então. Existe alguma maneira de forçarmos a configuração do Squid a obedecer apenas ao IPv4?

Marcelloc,

Sobre a questão da autenticação, aqui o meu Squid.conf está diferente, mesmo formatando. Testei usando a versão Squid3-DEV que está no repositório oficial. O trecho diferente é o que anexei aqui mesmo no tópico, algumas postagens antes.

De qualquer forma vou deixar o cliente com o PFSense 2.0.3 e depois que estiver tudo ok com o 2.1 faço o upgrade.

gilmarcabral

Pois é muito interessante.
O que fiquei mais cucado que removendo o pacote do squid e instalando o mesmo funciona.
Só ainda não testei com o squid3-dev.

guitarcleiton

Estou usando a versão 2.1 também e estou com o mesmo problema.

Atualmente meu squid estava na versão 2.7.9 pkg v.4.3.3 + squidGuard modo transparente

cada pagina a ser visitada demora uns 4 a 6 segundos (Provavelmente tempo de download de Cache)

Resolvi mudar para o Squid-Dev3 baixei as libs faltantes e o squid subia e alguns segundos depois caia e não erguia mais

removi squid e squid-dev e tentei voltar ao squid 2.7.9 mas ele não ergue.

No momento na navegação esta direta poi não consigo erguer o squid.

alguém pode me dar um help ?

LFCavalcanti

@guitarcleiton:

Estou usando a versão 2.1 também e estou com o mesmo problema.

Atualmente meu squid estava na versão 2.7.9 pkg v.4.3.3 + squidGuard modo transparente

cada pagina a ser visitada demora uns 4 a 6 segundos (Provavelmente tempo de download de Cache)

Resolvi mudar para o Squid-Dev3 baixei as libs faltantes e o squid subia e alguns segundos depois caia e não erguia mais

removi squid e squid-dev e tentei voltar ao squid 2.7.9 mas ele não ergue.

No momento na navegação esta direta poi não consigo erguer o squid.

alguém pode me dar um help ?

Te aconselho a atualizar para a versão PRERELEASE da 2.1.1 ou voltar para a versão 2.0.3.