Прокси не пускает с ошибко в логе TAG_NONE/503

hvac14400

@Maxim_Al:

Что-то никак не выходит каменный цветок блин.

• System - Advanced - Networking : галка Prefer IPv4 over IPv6  установлена

у меня там ещё выключена Allow IPv6.

Причём интересно, если я даю nslookup c web-морды, то получаю так:
Result Record type
173.194.73.121 A
2a00:1450:4010:c05::79 AAAA
ghs.google.com CNAME

Если захожу в консоль то:
Server:        127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
code.getmdl.io  canonical name = ghs.google.com.
ghs.google.com  canonical name = ghs.l.google.com.
Name:  ghs.l.google.com
Address: 173.194.73.121

где IPv6 и не пахнет.

попробуй вместо nslookup команду host - тогда запахнет : )

PS tcp_outgoing_address как я понял отношения к проблеме не имеет…

а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.

Maxim_Al

@hvac14400:

у меня там ещё выключена Allow IPv6.

Галка не стоит. Т.е. IPv6 выключен

@hvac14400:

попробуй вместо nslookup команду host - тогда запахнет : )

упс, точно

@hvac14400:

PS tcp_outgoing_address как я понял отношения к проблеме не имеет…

а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.

может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…
http://www.thin.kiev.ua/router-os/50-pfsense/411-squidmulti-wan-.html
http://sysadmins.ru/topic395093.html

Ладно, допустим что это то что надо.
1. прописывать "tcp_outgoing_address 127.0.0.1"?
2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"

попробовал прописать tcp_outgoing_address 127.0.0.1 в Integrations, результат нуль.

И я уже сомневаюсь что проблема в IPv6 , потому как:

Не заслуживающий доверия ответ:
╚ь :    dsc.ru
Addresses:  2a00:f920:192::233
          178.57.192.233

А этот сайт великолепно открывается.

hvac14400

@Maxim_Al:

может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…

адрес и протокол блять : )

Ладно, допустим что это то что надо.
1. прописывать "tcp_outgoing_address 127.0.0.1"?

да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать, и там и там нат. но выпускаю почему-то через ван : D хотя его можно вообще удалить нах.

2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"

писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.

И я уже сомневаюсь что проблема в IPv6 , потому как:

тогда хз. 2.3 себе ставить точно не буду, а сквид 3.5.20 попробую собрать - у мну щас 3.5.11 стоит.

Maxim_Al

@hvac14400:

адрес и протокол блять : )

не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.

@hvac14400:

да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать,

Это понятно, тут на самом деле можно и внешний IP указать и лупбак - работает и так и так (я пробовал в интегрэйшен правда). А вот левый адрес сразу приводил к прекращению работоспособности прокси.

@hvac14400:

писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.

попробовал прописать туда "tcp_outgoing_address <<внешний IP>>" - толку нуль (при левом адресе это так же приводит к прекращению функционирования прокси)

Меня с этим сайтом только смущает двойной алиас

host code.getmdl.io
code.getmdl.io is an alias for ghs.google.com.
ghs.google.com is an alias for ghs.l.google.com.
ghs.l.google.com has address 108.177.14.121
ghs.l.google.com has IPv6 address 2a00:1450:4010:c09::79

может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?

hvac14400

@Maxim_Al:

@hvac14400:

адрес и протокол блять : )

не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.

ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )

Меня с этим сайтом только смущает двойной алиас
может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?

у мну в логах:

[2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200

1474952851.149      2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -

вообще ип с днс не совпадает % )

зы.
https://www.fl.ru/projects/2481355/problema-so-squid.html
: D

Maxim_Al

@hvac14400:

ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )

я догадывался, что имелось в виду, но решил уточнить

@hvac14400:

[2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200

1474952851.149      2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -

вообще ип с днс не совпадает % )

что-то я не понял, а это как? откуда блин этот IP берётся?

hvac14400

короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
и ты на них постоянно попадаешь  ;D

Maxim_Al

@hvac14400:

короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
и ты на них постоянно попадаешь  ;D

Я сейчас заметил следующее:
TCP_TUNNEL/200 761259 CONNECT plus.google.com:443 - HIER_DIRECT/173.194.72.196 -

при этом

host plus.google.com
plus.google.com is an alias for wide-plus.l.google.com.
wide-plus.l.google.com has address 64.233.189.196
wide-plus.l.google.com has IPv6 address 2404:6800:4008:c04::c4

етить едрить, с этими адресами какая-то хрень происходит.

Maxim_Al

@Maxim_Al:

етить едрить, с этими адресами какая-то хрень происходит.

Что-то я вообще не понимаю.
Выключил нафиг прокси. Остановил его в принципе.
Разрешил клиенту выход ко всем сайтам по всем протоколам, указал ему гугловский DNS …

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c0d::79
          173.194.220.121
Aliases:  code.getmdl.io
          ghs.google.com

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c0b::79
          64.233.164.121
Aliases:  code.getmdl.io
          ghs.google.com

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c07::79
          173.194.222.121
Aliases:  code.getmdl.io
          ghs.google.com

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c0a::79
          64.233.162.121
Aliases:  code.getmdl.io
          ghs.google.com

и толку то нуль, "все сайты" кроме этого доступны…
Получается что проблема не в прокси. НО ЧТО?

PS может ли у провайдера это резаться?

hvac14400

в смысле через нат тоже не открывается?

а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609

другой случай.

Maxim_Al

@hvac14400:

а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609
другой случай.

спасибо

@hvac14400:

в смысле через нат тоже не открывается?

да… вот только всё стало ещё более "интересно"...
Со своего смартфона решил трасертнуть сайт. Через МТС - всё красиво
Пытаюсь пройти через проводного прова, и нв какой-то момент мне отвечает гугловский сервак, что сетка 172,**** недоступна...

Maxim_Al

А возможно это и пров:
Трассировка маршрута на клиенте к ghs.l.google.com [173.194.221.121]
с максимальным числом прыжков 30:

2    <1 мс    <1 мс    <1 мс  *********.dsc.ru
  3    <1 мс    <1 мс    <1 мс  172.31.255.74
  4  172.31.255.74  сообщает: Заданный протокол недоступен.

DSC кидает на какой то внутренний IP… бред какой то.
Так, в общем тайм аут, подожду ответа провайдера. Написал им, пусть со своей стороны проверят.

hvac14400

стопудов пров - у него внутри с маршрутизацией косяк какой-то.
я когда дома в инете сижу, тоже маршруты бывает через серые адреса внутри прова бегают, но на работе такого быть не должно вроде как - не тот уровень : )

Maxim_Al

@hvac14400:

стопудов пров - у него внутри с маршрутизацией косяк какой-то.
я когда дома в инете сижу, тоже маршруты бывает через серые адреса внутри прова бегают, но на работе такого быть не должно вроде как - не тот уровень : )

уровень?… получил ответ прова. "Попадает в Росреестр запрещённых сайтов. ;D"
это нечто!

hvac14400

это пиздёжь и провокация - сижу на 3-х разных провах и ни у одного он не забанен.
кстати че за страна?  ;D

Maxim_Al

@hvac14400:

это пиздёжь и провокация - сижу на 3-х разных провах и ни у одного он не забанен.

я прову технарям и в коммерческий отдел мягко об этом написал :) Если честно, приходилось себя сдерживать и делать правки :)
МТС- пускает, ТТК- пускает. Сегодня йоту еще попробую на этот предмет проверить.

@hvac14400:

кстати че за страна?  ;D

А для кого Росреестр то является  законом? - Конечно Россия.  (Или это типа шутка?)?
А вот провайдер - ДальСатКом, страна должна знать своих "героев".

Вместо того что бы действительно всё проверить и разобраться их технари просто тупа списали на список, даже не удосужившись проверить что сайт не попадает в него.
У меня правда есть подозрение, что у них список на самом деле не обновляется, или обновляется но не корректно, а они об этом не знают, но утверждать этого не могу. Просто пробив часть адресов увидел что в 2012 году один  попадался в него, но был выведен…
В общем я их забросал информацией и звякнул комерсам, "попросив" разобраться. Обещали максимум завтра дать ответ.

hvac14400

@Maxim_Al:

А для кого Росреестр то является  законом? - Конечно Россия.  (Или это типа шутка?)?

упс  ;D
да я тут самбу второй день собрать не могу - проглядел по запарке : )
кстати у меня дома была трабла у прова именно с роутингом - тоже на серых адресах затыкалось, когда на работу випиэнить пытался, хотя до этого всё работало - починили за сутки. меняют настройки на оборудовании и косячат иногда - я ночью сидел, часа в 3 маршрут отвалился.

Maxim_Al

В общем пров проблему решил. И на том спасибо.
Спасибо всем кто принял участие!
С понедельника продолжу тестировать pfsense.