Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Прокси не пускает с ошибко в логе TAG_NONE/503

    Scheduled Pinned Locked Moved Russian
    27 Posts 3 Posters 11.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hvac14400
      last edited by

      @Maxim_Al:

      Что-то никак не выходит каменный цветок блин.

      • System - Advanced - Networking : галка Prefer IPv4 over IPv6  установлена

      у меня там ещё выключена Allow IPv6.

      Причём интересно, если я даю nslookup c web-морды, то получаю так:
      Result Record type
      173.194.73.121 A
      2a00:1450:4010:c05::79 AAAA
      ghs.google.com CNAME

      Если захожу в консоль то:
      Server:        127.0.0.1
      Address:        127.0.0.1#53

      Non-authoritative answer:
      code.getmdl.io  canonical name = ghs.google.com.
      ghs.google.com  canonical name = ghs.l.google.com.
      Name:  ghs.l.google.com
      Address: 173.194.73.121

      где IPv6 и не пахнет.

      попробуй вместо nslookup команду host - тогда запахнет : )

      PS tcp_outgoing_address как я понял отношения к проблеме не имеет…

      а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.

      1 Reply Last reply Reply Quote 0
      • M
        Maxim_Al
        last edited by

        @hvac14400:

        у меня там ещё выключена Allow IPv6.

        Галка не стоит. Т.е. IPv6 выключен

        @hvac14400:

        попробуй вместо nslookup команду host - тогда запахнет : )

        упс, точно

        @hvac14400:

        PS tcp_outgoing_address как я понял отношения к проблеме не имеет…

        а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.

        может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…
        http://www.thin.kiev.ua/router-os/50-pfsense/411-squidmulti-wan-.html
        http://sysadmins.ru/topic395093.html

        Ладно, допустим что это то что надо.
        1. прописывать "tcp_outgoing_address 127.0.0.1"?
        2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"

        попробовал прописать tcp_outgoing_address 127.0.0.1 в Integrations, результат нуль.

        И я уже сомневаюсь что проблема в IPv6 , потому как:

        Не заслуживающий доверия ответ:
        ╚ь :    dsc.ru
        Addresses:  2a00:f920:192::233
                  178.57.192.233

        А этот сайт великолепно открывается.

        1 Reply Last reply Reply Quote 0
        • H
          hvac14400
          last edited by

          @Maxim_Al:

          может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…

          адрес и протокол блять : )

          Ладно, допустим что это то что надо.
          1. прописывать "tcp_outgoing_address 127.0.0.1"?

          да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать, и там и там нат. но выпускаю почему-то через ван : D хотя его можно вообще удалить нах.

          2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"

          писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.

          И я уже сомневаюсь что проблема в IPv6 , потому как:

          тогда хз. 2.3 себе ставить точно не буду, а сквид 3.5.20 попробую собрать - у мну щас 3.5.11 стоит.

          1 Reply Last reply Reply Quote 0
          • M
            Maxim_Al
            last edited by

            @hvac14400:

            адрес и протокол блять : )

            не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.

            @hvac14400:

            да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать,

            Это понятно, тут на самом деле можно и внешний IP указать и лупбак - работает и так и так (я пробовал в интегрэйшен правда). А вот левый адрес сразу приводил к прекращению работоспособности прокси.

            @hvac14400:

            писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.

            попробовал прописать туда "tcp_outgoing_address <<внешний IP>>" - толку нуль (при левом адресе это так же приводит к прекращению функционирования прокси)

            Меня с этим сайтом только смущает двойной алиас

            host code.getmdl.io
            code.getmdl.io is an alias for ghs.google.com.
            ghs.google.com is an alias for ghs.l.google.com.
            ghs.l.google.com has address 108.177.14.121
            ghs.l.google.com has IPv6 address 2a00:1450:4010:c09::79

            может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?

            1 Reply Last reply Reply Quote 0
            • H
              hvac14400
              last edited by

              @Maxim_Al:

              @hvac14400:

              адрес и протокол блять : )

              не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.

              ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )

              Меня с этим сайтом только смущает двойной алиас
              может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?

              у мну в логах:

              [2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200

              1474952851.149      2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
              1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -

              вообще ип с днс не совпадает % )

              зы.
              https://www.fl.ru/projects/2481355/problema-so-squid.html
              : D

              1 Reply Last reply Reply Quote 0
              • M
                Maxim_Al
                last edited by

                @hvac14400:

                ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )

                я догадывался, что имелось в виду, но решил уточнить

                @hvac14400:

                [2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200

                1474952851.149      2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
                1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -

                вообще ип с днс не совпадает % )

                что-то я не понял, а это как? откуда блин этот IP берётся?

                1 Reply Last reply Reply Quote 0
                • H
                  hvac14400
                  last edited by

                  короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
                  и ты на них постоянно попадаешь  ;D

                  1 Reply Last reply Reply Quote 0
                  • M
                    Maxim_Al
                    last edited by

                    @hvac14400:

                    короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
                    и ты на них постоянно попадаешь  ;D

                    Я сейчас заметил следующее:
                    TCP_TUNNEL/200 761259 CONNECT plus.google.com:443 - HIER_DIRECT/173.194.72.196 -

                    при этом

                    host plus.google.com
                    plus.google.com is an alias for wide-plus.l.google.com.
                    wide-plus.l.google.com has address 64.233.189.196
                    wide-plus.l.google.com has IPv6 address 2404:6800:4008:c04::c4

                    етить едрить, с этими адресами какая-то хрень происходит.

                    1 Reply Last reply Reply Quote 0
                    • M
                      Maxim_Al
                      last edited by

                      @Maxim_Al:

                      етить едрить, с этими адресами какая-то хрень происходит.

                      Что-то я вообще не понимаю.
                      Выключил нафиг прокси. Остановил его в принципе.
                      Разрешил клиенту выход ко всем сайтам по всем протоколам, указал ему гугловский DNS …

                      nslookup code.getmdl.io
                      ╤хЁтхЁ:  google-public-dns-a.google.com
                      Address:  8.8.8.8

                      Не заслуживающий доверия ответ:
                      ╚ь :    ghs.l.google.com
                      Addresses:  2a00:1450:4010:c0d::79
                                173.194.220.121
                      Aliases:  code.getmdl.io
                                ghs.google.com

                      nslookup code.getmdl.io
                      ╤хЁтхЁ:  google-public-dns-a.google.com
                      Address:  8.8.8.8

                      Не заслуживающий доверия ответ:
                      ╚ь :    ghs.l.google.com
                      Addresses:  2a00:1450:4010:c0b::79
                                64.233.164.121
                      Aliases:  code.getmdl.io
                                ghs.google.com

                      nslookup code.getmdl.io
                      ╤хЁтхЁ:  google-public-dns-a.google.com
                      Address:  8.8.8.8

                      Не заслуживающий доверия ответ:
                      ╚ь :    ghs.l.google.com
                      Addresses:  2a00:1450:4010:c07::79
                                173.194.222.121
                      Aliases:  code.getmdl.io
                                ghs.google.com

                      nslookup code.getmdl.io
                      ╤хЁтхЁ:  google-public-dns-a.google.com
                      Address:  8.8.8.8

                      Не заслуживающий доверия ответ:
                      ╚ь :    ghs.l.google.com
                      Addresses:  2a00:1450:4010:c0a::79
                                64.233.162.121
                      Aliases:  code.getmdl.io
                                ghs.google.com

                      и толку то нуль, "все сайты" кроме этого доступны…
                      Получается что проблема не в прокси. НО ЧТО?

                      PS может ли у провайдера это резаться?

                      1 Reply Last reply Reply Quote 0
                      • H
                        hvac14400
                        last edited by

                        в смысле через нат тоже не открывается?

                        а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609

                        другой случай.

                        1 Reply Last reply Reply Quote 0
                        • M
                          Maxim_Al
                          last edited by

                          @hvac14400:

                          а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609
                          другой случай.

                          спасибо

                          @hvac14400:

                          в смысле через нат тоже не открывается?

                          да… вот только всё стало ещё более "интересно"...
                          Со своего смартфона решил трасертнуть сайт. Через МТС - всё красиво
                          Пытаюсь пройти через проводного прова, и нв какой-то момент мне отвечает гугловский сервак, что сетка 172,**** недоступна...

                          Screenshot_2016-09-27-18-14-34.png
                          Screenshot_2016-09-27-18-14-34.png_thumb

                          1 Reply Last reply Reply Quote 0
                          • M
                            Maxim_Al
                            last edited by

                            А возможно это и пров:
                            Трассировка маршрута на клиенте к ghs.l.google.com [173.194.221.121]
                            с максимальным числом прыжков 30:

                            2    <1 мс    <1 мс    <1 мс  *********.dsc.ru
                              3    <1 мс    <1 мс    <1 мс  172.31.255.74
                              4  172.31.255.74  сообщает: Заданный протокол недоступен.

                            DSC кидает на какой то внутренний IP… бред какой то.
                            Так, в общем тайм аут, подожду ответа провайдера. Написал им, пусть со своей стороны проверят.

                            1 Reply Last reply Reply Quote 0
                            • H
                              hvac14400
                              last edited by

                              стопудов пров - у него внутри с маршрутизацией косяк какой-то.
                              я когда дома в инете сижу, тоже маршруты бывает через серые адреса внутри прова бегают, но на работе такого быть не должно вроде как - не тот уровень : )

                              1 Reply Last reply Reply Quote 0
                              • M
                                Maxim_Al
                                last edited by

                                @hvac14400:

                                стопудов пров - у него внутри с маршрутизацией косяк какой-то.
                                я когда дома в инете сижу, тоже маршруты бывает через серые адреса внутри прова бегают, но на работе такого быть не должно вроде как - не тот уровень : )

                                уровень?… получил ответ прова. "Попадает в Росреестр запрещённых сайтов. ;D"
                                это нечто!

                                1 Reply Last reply Reply Quote 0
                                • H
                                  hvac14400
                                  last edited by

                                  это пиздёжь и провокация - сижу на 3-х разных провах и ни у одного он не забанен.
                                  кстати че за страна?  ;D

                                  1 Reply Last reply Reply Quote 0
                                  • M
                                    Maxim_Al
                                    last edited by

                                    @hvac14400:

                                    это пиздёжь и провокация - сижу на 3-х разных провах и ни у одного он не забанен.

                                    я прову технарям и в коммерческий отдел мягко об этом написал :) Если честно, приходилось себя сдерживать и делать правки :)
                                    МТС- пускает, ТТК- пускает. Сегодня йоту еще попробую на этот предмет проверить.

                                    @hvac14400:

                                    кстати че за страна?  ;D

                                    А для кого Росреестр то является  законом? - Конечно Россия.  (Или это типа шутка?)?
                                    А вот провайдер - ДальСатКом, страна должна знать своих "героев".

                                    Вместо того что бы действительно всё проверить и разобраться их технари просто тупа списали на список, даже не удосужившись проверить что сайт не попадает в него.
                                    У меня правда есть подозрение, что у них список на самом деле не обновляется, или обновляется но не корректно, а они об этом не знают, но утверждать этого не могу. Просто пробив часть адресов увидел что в 2012 году один  попадался в него, но был выведен…
                                    В общем я их забросал информацией и звякнул комерсам, "попросив" разобраться. Обещали максимум завтра дать ответ.

                                    1 Reply Last reply Reply Quote 0
                                    • H
                                      hvac14400
                                      last edited by

                                      @Maxim_Al:

                                      А для кого Росреестр то является  законом? - Конечно Россия.  (Или это типа шутка?)?

                                      упс  ;D
                                      да я тут самбу второй день собрать не могу - проглядел по запарке : )
                                      кстати у меня дома была трабла у прова именно с роутингом - тоже на серых адресах затыкалось, когда на работу випиэнить пытался, хотя до этого всё работало - починили за сутки. меняют настройки на оборудовании и косячат иногда - я ночью сидел, часа в 3 маршрут отвалился.

                                      1 Reply Last reply Reply Quote 0
                                      • M
                                        Maxim_Al
                                        last edited by

                                        В общем пров проблему решил. И на том спасибо.
                                        Спасибо всем кто принял участие!
                                        С понедельника продолжу тестировать pfsense.

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.