Páginas muito demoradas para serem carregadas…

elvio.tche

@zilmar:

Estou passando pelo mesmo problema.

Minha configuração é pfSense2.1+squid+squidGuard+autenticação integrada ao AD.

Não tenho nenhuma regra no firewall (só as padrões), e no squidguard somente filtro sites indesejáveis.
No custom options do squid tenho:

acl windowsupdate dstdomain windowsupdate.microsoft.com;acl windowsupdate dstdomain .update.microsoft.com;acl windowsupdate dstdomain download.windowsupdate.com;acl windowsupdate dstdomain redir.metaservices.microsoft.com;acl windowsupdate dstdomain images.metaservices.microsoft.com;acl windowsupdate dstdomain c.microsoft.com;acl windowsupdate dstdomain www.download.windowsupdate.com;acl windowsupdate dstdomain wustat.windows.com;acl windowsupdate dstdomain crl.microsoft.com;acl windowsupdate dstdomain sls.microsoft.com;acl windowsupdate dstdomain productactivation.one.microsoft.com;acl windowsupdate dstdomain ntservicepack.microsoft.com;acl CONNECT method CONNECT;acl wuCONNECT dstdomain www.update.microsoft.com;acl wuCONNECT dstdomain sls.microsoft.com;http_access allow CONNECT wuCONNECT localnet;http_access allow windowsupdate localnet;acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;http_access allow java_app;acl java_vm browser regexp -i Java;acl java urlpath_regex -i \.class$ \.jar; http_access allow java;http_access allow java_vm; acl_uses_indirect_client on;follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 10;auth_param ntlm keep_alive on;acl password proxy_auth REQUIRED;http_access allow password;redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

Vou testar ao meio-dia também! :D

elvio.tche

@zilmar:

Estou passando pelo mesmo problema.

Minha configuração é pfSense2.1+squid+squidGuard+autenticação integrada ao AD.

Não tenho nenhuma regra no firewall (só as padrões), e no squidguard somente filtro sites indesejáveis.
No custom options do squid tenho:

acl windowsupdate dstdomain ...

Só para confirmar, editei o conteúdo do "[ code ] … [ / code ] e ficou assim:

acl windowsupdate dstdomain windowsupdate.microsoft.com;
acl windowsupdate dstdomain .update.microsoft.com;
acl windowsupdate dstdomain download.windowsupdate.com;
acl windowsupdate dstdomain redir.metaservices.microsoft.com;
acl windowsupdate dstdomain images.metaservices.microsoft.com;
acl windowsupdate dstdomain c.microsoft.com;
acl windowsupdate dstdomain www.download.windowsupdate.com;
acl windowsupdate dstdomain wustat.windows.com;
acl windowsupdate dstdomain crl.microsoft.com;
acl windowsupdate dstdomain sls.microsoft.com;
acl windowsupdate dstdomain productactivation.one.microsoft.com;
acl windowsupdate dstdomain ntservicepack.microsoft.com;
acl CONNECT method CONNECT;
acl wuCONNECT dstdomain www.update.microsoft.com;
acl wuCONNECT dstdomain sls.microsoft.com;
http_access allow CONNECT wuCONNECT localnet;
http_access allow windowsupdate localnet;
acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;
http_access allow java_app;
acl java_vm browser regexp -i Java;
acl java urlpath_regex -i \.class$ \.jar;
http_access allow java;
http_access allow java_vm;
acl_uses_indirect_client on;
follow_x_forwarded_for allow localhost;
auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;
auth_param ntlm children 10;
auth_param ntlm keep_alive on;
acl password proxy_auth REQUIRED;
http_access allow password;
redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;
redirector_bypass off;
url_rewrite_children 5

…é isso mesmo?

zilmar

Elvio, na verdade eu não estou te sugerindo uma solução. Esse é o meu caso de uso e estou passando pelo mesmo problema que você. hehe

acl windowsupdate dstdomain windowsupdate.microsoft.com;
acl windowsupdate dstdomain .update.microsoft.com;
acl windowsupdate dstdomain download.windowsupdate.com;
acl windowsupdate dstdomain redir.metaservices.microsoft.com;
acl windowsupdate dstdomain images.metaservices.microsoft.com;
acl windowsupdate dstdomain c.microsoft.com;
acl windowsupdate dstdomain www.download.windowsupdate.com;
acl windowsupdate dstdomain wustat.windows.com;
acl windowsupdate dstdomain crl.microsoft.com;
acl windowsupdate dstdomain sls.microsoft.com;
acl windowsupdate dstdomain productactivation.one.microsoft.com;
acl windowsupdate dstdomain ntservicepack.microsoft.com;
acl CONNECT method CONNECT;
acl wuCONNECT dstdomain www.update.microsoft.com;
acl wuCONNECT dstdomain sls.microsoft.com;
http_access allow CONNECT wuCONNECT localnet;
http_access allow windowsupdate localnet;
acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;
http_access allow java_app;
acl java_vm browser regexp -i Java;
acl java urlpath_regex -i \.class$ \.jar;
http_access allow java;
http_access allow java_vm; 
acl_uses_indirect_client on;
follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;
auth_param ntlm children 10;
auth_param ntlm keep_alive on;
acl password proxy_auth REQUIRED;
http_access allow password;
redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;
redirector_bypass off;
url_rewrite_children 5

elvio.tche

@zilmar:

Elvio, na verdade eu não estou te sugerindo uma solução. Esse é o meu caso de uso e estou passando pelo mesmo problema que você. hehe

acl windowsupdate dstdomain windowsupdate.microsoft.com;
acl windowsupdate dstdomain .update.microsoft.com;
acl windowsupdate dstdomain download.windowsupdate.com;
acl windowsupdate dstdomain redir.metaservices.microsoft.com;
acl windowsupdate dstdomain images.metaservices.microsoft.com;
acl windowsupdate dstdomain c.microsoft.com;
acl windowsupdate dstdomain www.download.windowsupdate.com;
acl windowsupdate dstdomain wustat.windows.com;
acl windowsupdate dstdomain crl.microsoft.com;
acl windowsupdate dstdomain sls.microsoft.com;
acl windowsupdate dstdomain productactivation.one.microsoft.com;
acl windowsupdate dstdomain ntservicepack.microsoft.com;
acl CONNECT method CONNECT;
acl wuCONNECT dstdomain www.update.microsoft.com;
acl wuCONNECT dstdomain sls.microsoft.com;
http_access allow CONNECT wuCONNECT localnet;
http_access allow windowsupdate localnet;
acl java_app browser Java/1.4 Java/1.5 Java/1.6 Java/1.7;
http_access allow java_app;
acl java_vm browser regexp -i Java;
acl java urlpath_regex -i \.class$ \.jar;
http_access allow java;
http_access allow java_vm; 
acl_uses_indirect_client on;
follow_x_forwarded_for allow localhost;auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;
auth_param ntlm children 10;
auth_param ntlm keep_alive on;
acl password proxy_auth REQUIRED;
http_access allow password;
redirect_program /usr/pbi/squidguard-i386/bin/squidGuard -c /usr/pbi/squidguard-i386/etc/squidGuard/squidGuard.conf;
redirector_bypass off;
url_rewrite_children 5

Entendi, até pq tem algumas linhas de referência que não tem o mesmo diretório no pfSense, etc.
Só "desmontei" a linha e coloquei uma abaixo da outra para melhor leitura e interpretação.

Valeu.

elvio.tche

@neo_X:

Configura esses valores e reinicia o DG
Min/Max AGE = 32/180
Prefork = 10
…

Creio que por tais alterações, surgiu a seguinte mensagem:

Approaching the limit on PV entries, consider increasing either the vm.pmap.shpgperproc or the vm.pmap.pv_entry_max sysctl

… então pesquisei sobre tal mensagem, encontrei algumas sugestões, editei o arquivo /boot/loader.conf e defini os seguintes valores as variáveis:

vm.pmap.shpgperproc="500"
vm.pmap.pv_entry_max="1743504"
kern.ipc.nmbclusters="0"

… no final do arquivo e, por enquanto, não surgiu mais mensagem alguma.

Vou testando depois vou postar se deu diferença ou não.

Até mais...

elvio.tche

@neo_X:

Configura esses valores e reinicia o DG
Min/Max AGE = 32/180

Prefork = 10
…

Parece ter melhorado.
Junto a isso, estou colocando alguns sites na lista "Do not cache" do Squid.

oracle.com
sun.com
java.com
nvidia.com
smiles.com.br
youtube.com

Por enquanto, vou deixar assim e observar.

Consegui outra máquina para testar a versão 2.1.1 e ver se fica legal.
Ainda quero testar a própria versão 2.1 com squid3-dev para ver se fica funcional e estável.

Por enquanto é isso!

sosmicro

Apenas para postar minha experiência….
Testei TODOS os tunnings possiveis e imaginaveis com o Dansguardian, além de diversas máquinas (servidores dell, ibm, hp) tanto com o 2.03 quanto com o 2.1...Mas.... desisti do DANS....
Em redes pequenas ele funfa até sem problemas, mas passou dos 50 users aí começa a dor de cabeça....
Hoje uso uma solução com squidguard sem nenhum problema. Embora seja uma solução bem menos poderosa, atende bem no quesito filtro de conteudo (proxy não transparente)...
O mais estranho é que até uma determinada versão do DANS, nenhum problema ocorria...pena :(

neo_X

Ainda não testei o DG no pfSense. Eu uso  proxy autenticado (endian) + DG com 800 usuários e no início tive que ajustar alguns valores para a minha rede. Depois disso não tive mais dor de cabeça.
Quero migrar para o pfSense futuramente, vamos ver o que dá.

elvio.tche

@sosmicro:

Apenas para postar minha experiência….
Testei TODOS os tunnings possiveis e imaginaveis com o Dansguardian, além de diversas máquinas (servidores dell, ibm, hp) tanto com o 2.03 quanto com o 2.1...Mas.... desisti do DANS....
Em redes pequenas ele funfa até sem problemas, mas passou dos 50 users aí começa a dor de cabeça....
Hoje uso uma solução com squidguard sem nenhum problema. Embora seja uma solução bem menos poderosa, atende bem no quesito filtro de conteudo (proxy não transparente)...
O mais estranho é que até uma determinada versão do DANS, nenhum problema ocorria...pena :(

Valeu por compartilhar a experiência.
Amanhã vou tentar configurar e testar em outro PC a instalação com o SquidGuard (sem o DG) - isso se eu tiver tempo, claro!

elvio.tche

@neo_X:

Ainda não testei o DG no pfSense. Eu uso  proxy autenticado (endian) + DG com 800 usuários e no início tive que ajustar alguns valores para a minha rede. Depois disso não tive mais dor de cabeça.
Quero migrar para o pfSense futuramente, vamos ver o que dá.

Como tenho poucos usuários e não tenho um AD, por enquanto está mais simples de contornar as situações.

Valeu.

jleandro

Ola pessoal, acompanhei a discussão de vocs, mas no meu caso não ajudou muito, não uso Dansguardian…
Meu cenário
Duas  lans (lan + wifi) em nics diferentes, squid2.7/squidGuard/sarg em média 50 usuáriosas vezes um pouco mais as vezes um pouco menos.
Nos ultimos dois dias desativei o squidGuard mas mesmo assim, continuava lento.

Hoje fiz a experiencia de voltar meu servidor openSuse e a diferença foi brutal. As páginas carregam muito rápido.
Mas, eu preciso usar o pfSense, os controles que fiz com MACs, aliases e etc são muito eficazes
e tenho um projeto de unificar um pfSense que uso como gw de vpn ipsec com proxy/fw deixando tudo em uma máquina. Infelizmente não sei o que fazer para resolver isso. Alguma sugestão ?
Obs.: meu pfsense roda em Vmware ESXi 4.1,  uso NICs E1000. (o openSuse está em outro VMware, mas com as mesmas caracteristicas)

abs

zilmar

@jleandro:

Ola pessoal, acompanhei a discussão de vocs, mas no meu caso não ajudou muito, não uso Dansguardian…
Meu cenário
Duas  lans (lan + wifi) em nics diferentes, squid2.7/squidGuard/sarg em média 50 usuáriosas vezes um pouco mais as vezes um pouco menos.
Nos ultimos dois dias desativei o squidGuard mas mesmo assim, continuava lento.

Hoje fiz a experiencia de voltar meu servidor openSuse e a diferença foi brutal. As páginas carregam muito rápido.
Mas, eu preciso usar o pfSense, os controles que fiz com MACs, aliases e etc são muito eficazes
e tenho um projeto de unificar um pfSense que uso como gw de vpn ipsec com proxy/fw deixando tudo em uma máquina. Infelizmente não sei o que fazer para resolver isso. Alguma sugestão ?
Obs.: meu pfsense roda em Vmware ESXi 4.1,  uso NICs E1000. (o openSuse está em outro VMware, mas com as mesmas caracteristicas)

abs

Eu alterei o meu wpad.dat e agora nada passa pelo tráfego, toda requisição recebe um DIRECT. O tráfego está normal, mas não tenho nenhuma filtragem mais… Ainda estou em busca de uma solução também.

neo_X

Você usa o wpad.dat?

Dá uma olhada nesse tutorial.  Quando implantei o wpad tive lentidão nos acessos à internet.

http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

zilmar

@neo_X:

Você usa o wpad.dat?

Dá uma olhada nesse tutorial.  Quando implantei o wpad tive lentidão nos acessos à internet.

http://www.pfsense-br.org/blog/2013/12/configuracao-wpad-no-pfsense-2-1/

Uso, as portas estão todas padrão.
Meu wpad.dat está assim:

function FindProxyForURL(url, host){
var host_ip;
host_ip= dnsResolve(host);
if (isInNet(host_ip, "127.0.0.1", "255.255.255.255"))
return "DIRECT";
if(shExpMatch(url,"*.bb.com.br/*"))
return "DIRECT";
if (isInNet(myIpAddress(), "192.168.0.0", "255.255.255.0"))
return "PROXY 192.168.0.252:3128";
else
return "DIRECT";
}

Será que o shExpMatch do BB tá dando zica? Vou testar sem pra ver…

neo_X

Essa exceção pode ser feita no proxy.

Qual é a porta que utiliza para acesso ao seu firewall?

Veja isso:

Observação: Verifique a porta do WebConfigurator e o protocolo utilizado. Neste exemplo, procurei usar a porta 80 (http). Fiz testes utilizando o https://IP_do_pfSense:11000 e uma porta diferente por exemplo 11000 e o browser de internet demorou para carregar as páginas.

zilmar

@neo_X:

Essa exceção pode ser feita no proxy.

Qual é a porta que utiliza para acesso ao seu firewall?

Veja isso:

Observação: Verifique a porta do WebConfigurator e o protocolo utilizado. Neste exemplo, procurei usar a porta 80 (http). Fiz testes utilizando o https://IP_do_pfSense:11000 e uma porta diferente por exemplo 11000 e o browser de internet demorou para carregar as páginas.

Porta 80, nunca alterei isso.
Retirei a exceção do wpad.dat também.

zilmar

@zilmar:

@neo_X:

Essa exceção pode ser feita no proxy.

Qual é a porta que utiliza para acesso ao seu firewall?

Veja isso:

Observação: Verifique a porta do WebConfigurator e o protocolo utilizado. Neste exemplo, procurei usar a porta 80 (http). Fiz testes utilizando o https://IP_do_pfSense:11000 e uma porta diferente por exemplo 11000 e o browser de internet demorou para carregar as páginas.

Porta 80, nunca alterei isso.
Retirei a exceção do wpad.dat também.

Não resolveu…
Nos logs do squidGuard tenho isso:

26.02.2014 09:14:12	squidGuard ready for requests (1393416852.985)
26.02.2014 09:14:12	squidGuard 1.4 started (1393416852.932)
26.02.2014 09:14:12	squidGuard ready for requests (1393416852.980)
26.02.2014 09:14:12	squidGuard 1.4 started (1393416852.929)
26.02.2014 09:14:12	squidGuard ready for requests (1393416852.979)
26.02.2014 09:14:12	squidGuard 1.4 started (1393416852.928)
26.02.2014 09:14:12	squidGuard ready for requests (1393416852.974)
26.02.2014 09:14:12	squidGuard 1.4 started (1393416852.927)
26.02.2014 09:14:12	squidGuard ready for requests (1393416852.961)
26.02.2014 09:14:12	squidGuard 1.4 started (1393416852.928)
26.02.2014 09:14:04	squidGuard stopped (1393416844.891)
26.02.2014 09:14:04	squidGuard stopped (1393416844.891)
26.02.2014 09:14:04	squidGuard stopped (1393416844.891)
26.02.2014 09:14:04	squidGuard stopped (1393416844.891)
26.02.2014 09:14:04	squidGuard stopped (1393416844.891)
26.02.2014 09:13:58	Warning: Possible bypass attempt. Found multiple slashes where only one is expected: http://pricelist.skype.com/destinations/1.0//BRL/pt-BR/xml/
26.02.2014 09:07:52	squidGuard ready for requests (1393416472.749)
26.02.2014 09:07:52	squidGuard 1.4 started (1393416472.696)
26.02.2014 09:07:52	squidGuard ready for requests (1393416472.749)
26.02.2014 09:07:52	squidGuard 1.4 started (1393416472.696)
26.02.2014 09:07:52	squidGuard ready for requests (1393416472.747)
26.02.2014 09:07:52	squidGuard 1.4 started (1393416472.700)
26.02.2014 09:07:52	squidGuard ready for requests (1393416472.745)
26.02.2014 09:07:52	squidGuard 1.4 started (1393416472.695)
26.02.2014 09:07:52	squidGuard ready for requests (1393416472.723)
26.02.2014 09:07:52	squidGuard 1.4 started (1393416472.696)
26.02.2014 09:07:49	squidGuard stopped (1393416469.684)
26.02.2014 09:07:49	squidGuard stopped (1393416469.681)
26.02.2014 09:07:49	squidGuard stopped (1393416469.681)
26.02.2014 09:07:49	squidGuard stopped (1393416469.681)
26.02.2014 09:07:49	squidGuard stopped (1393416469.681)
26.02.2014 09:04:04	squidGuard ready for requests (1393416244.751)
26.02.2014 09:04:04	squidGuard 1.4 started (1393416244.696)
26.02.2014 09:04:04	squidGuard ready for requests (1393416244.745)
26.02.2014 09:04:04	squidGuard 1.4 started (1393416244.697)
26.02.2014 09:04:04	squidGuard ready for requests (1393416244.745)
26.02.2014 09:04:04	squidGuard 1.4 started (1393416244.695)
26.02.2014 09:04:04	squidGuard ready for requests (1393416244.743)
26.02.2014 09:04:04	squidGuard 1.4 started (1393416244.700)
26.02.2014 09:04:04	squidGuard ready for requests (1393416244.742)
26.02.2014 09:04:04	squidGuard 1.4 started (1393416244.695)
26.02.2014 09:04:01	squidGuard stopped (1393416241.686)
26.02.2014 09:04:01	squidGuard stopped (1393416241.683)
26.02.2014 09:04:01	squidGuard stopped (1393416241.680)
26.02.2014 09:04:01	squidGuard stopped (1393416241.680)
26.02.2014 09:04:01	squidGuard stopped (1393416241.680)
26.02.2014 08:56:07	squidGuard ready for requests (1393415767.917)
26.02.2014 08:56:07	squidGuard 1.4 started (1393415767.863)
26.02.2014 08:56:07	squidGuard ready for requests (1393415767.916)

Será que preciso reinstalar o squidGuard? Eu reinstalando, preciso reconfigurá-lo?

neo_X

Não precisa reconfigurar, mas antes faça um bkp do seu firewall.

zilmar

Reinstalei o squid e squidGuard e nada.