Прокси не пускает с ошибко в логе TAG_NONE/503
-
Что-то никак не выходит каменный цветок блин.
- System - Advanced - Networking : галка Prefer IPv4 over IPv6 установлена
у меня там ещё выключена Allow IPv6.
Причём интересно, если я даю nslookup c web-морды, то получаю так:
Result Record type
173.194.73.121 A
2a00:1450:4010:c05::79 AAAA
ghs.google.com CNAMEЕсли захожу в консоль то:
Server: 127.0.0.1
Address: 127.0.0.1#53Non-authoritative answer:
code.getmdl.io canonical name = ghs.google.com.
ghs.google.com canonical name = ghs.l.google.com.
Name: ghs.l.google.com
Address: 173.194.73.121где IPv6 и не пахнет.
попробуй вместо nslookup команду host - тогда запахнет : )
PS tcp_outgoing_address как я понял отношения к проблеме не имеет…
а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.
-
у меня там ещё выключена Allow IPv6.
Галка не стоит. Т.е. IPv6 выключен
попробуй вместо nslookup команду host - тогда запахнет : )
упс, точно
PS tcp_outgoing_address как я понял отношения к проблеме не имеет…
а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.
может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…
http://www.thin.kiev.ua/router-os/50-pfsense/411-squidmulti-wan-.html
http://sysadmins.ru/topic395093.htmlЛадно, допустим что это то что надо.
1. прописывать "tcp_outgoing_address 127.0.0.1"?
2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"попробовал прописать tcp_outgoing_address 127.0.0.1 в Integrations, результат нуль.
И я уже сомневаюсь что проблема в IPv6 , потому как:
Не заслуживающий доверия ответ:
╚ь : dsc.ru
Addresses: 2a00:f920:192::233
178.57.192.233А этот сайт великолепно открывается.
-
может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…
адрес и протокол блять : )
Ладно, допустим что это то что надо.
1. прописывать "tcp_outgoing_address 127.0.0.1"?да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать, и там и там нат. но выпускаю почему-то через ван : D хотя его можно вообще удалить нах.
2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"
писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.
И я уже сомневаюсь что проблема в IPv6 , потому как:
тогда хз. 2.3 себе ставить точно не буду, а сквид 3.5.20 попробую собрать - у мну щас 3.5.11 стоит.
-
адрес и протокол блять : )
не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.
да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать,
Это понятно, тут на самом деле можно и внешний IP указать и лупбак - работает и так и так (я пробовал в интегрэйшен правда). А вот левый адрес сразу приводил к прекращению работоспособности прокси.
писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.
попробовал прописать туда "tcp_outgoing_address <<внешний IP>>" - толку нуль (при левом адресе это так же приводит к прекращению функционирования прокси)
Меня с этим сайтом только смущает двойной алиас
host code.getmdl.io
code.getmdl.io is an alias for ghs.google.com.
ghs.google.com is an alias for ghs.l.google.com.
ghs.l.google.com has address 108.177.14.121
ghs.l.google.com has IPv6 address 2a00:1450:4010:c09::79может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?
-
адрес и протокол блять : )
не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.
ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )
Меня с этим сайтом только смущает двойной алиас
может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?у мну в логах:
[2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200
1474952851.149 2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -вообще ип с днс не совпадает % )
зы.
https://www.fl.ru/projects/2481355/problema-so-squid.html
: D -
ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )
я догадывался, что имелось в виду, но решил уточнить
[2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200
1474952851.149 2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -вообще ип с днс не совпадает % )
что-то я не понял, а это как? откуда блин этот IP берётся?
-
короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
и ты на них постоянно попадаешь ;D -
короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
и ты на них постоянно попадаешь ;DЯ сейчас заметил следующее:
TCP_TUNNEL/200 761259 CONNECT plus.google.com:443 - HIER_DIRECT/173.194.72.196 -при этом
host plus.google.com
plus.google.com is an alias for wide-plus.l.google.com.
wide-plus.l.google.com has address 64.233.189.196
wide-plus.l.google.com has IPv6 address 2404:6800:4008:c04::c4етить едрить, с этими адресами какая-то хрень происходит.
-
етить едрить, с этими адресами какая-то хрень происходит.
Что-то я вообще не понимаю.
Выключил нафиг прокси. Остановил его в принципе.
Разрешил клиенту выход ко всем сайтам по всем протоколам, указал ему гугловский DNS …nslookup code.getmdl.io
╤хЁтхЁ: google-public-dns-a.google.com
Address: 8.8.8.8Не заслуживающий доверия ответ:
╚ь : ghs.l.google.com
Addresses: 2a00:1450:4010:c0d::79
173.194.220.121
Aliases: code.getmdl.io
ghs.google.comnslookup code.getmdl.io
╤хЁтхЁ: google-public-dns-a.google.com
Address: 8.8.8.8Не заслуживающий доверия ответ:
╚ь : ghs.l.google.com
Addresses: 2a00:1450:4010:c0b::79
64.233.164.121
Aliases: code.getmdl.io
ghs.google.comnslookup code.getmdl.io
╤хЁтхЁ: google-public-dns-a.google.com
Address: 8.8.8.8Не заслуживающий доверия ответ:
╚ь : ghs.l.google.com
Addresses: 2a00:1450:4010:c07::79
173.194.222.121
Aliases: code.getmdl.io
ghs.google.comnslookup code.getmdl.io
╤хЁтхЁ: google-public-dns-a.google.com
Address: 8.8.8.8Не заслуживающий доверия ответ:
╚ь : ghs.l.google.com
Addresses: 2a00:1450:4010:c0a::79
64.233.162.121
Aliases: code.getmdl.io
ghs.google.comи толку то нуль, "все сайты" кроме этого доступны…
Получается что проблема не в прокси. НО ЧТО?PS может ли у провайдера это резаться?
-
в смысле через нат тоже не открывается?
а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609
другой случай.
-
а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609
другой случай.спасибо
в смысле через нат тоже не открывается?
да… вот только всё стало ещё более "интересно"...
Со своего смартфона решил трасертнуть сайт. Через МТС - всё красиво
Пытаюсь пройти через проводного прова, и нв какой-то момент мне отвечает гугловский сервак, что сетка 172,**** недоступна...
-
А возможно это и пров:
Трассировка маршрута на клиенте к ghs.l.google.com [173.194.221.121]
с максимальным числом прыжков 30:2 <1 мс <1 мс <1 мс *********.dsc.ru
3 <1 мс <1 мс <1 мс 172.31.255.74
4 172.31.255.74 сообщает: Заданный протокол недоступен.DSC кидает на какой то внутренний IP… бред какой то.
Так, в общем тайм аут, подожду ответа провайдера. Написал им, пусть со своей стороны проверят. -
стопудов пров - у него внутри с маршрутизацией косяк какой-то.
я когда дома в инете сижу, тоже маршруты бывает через серые адреса внутри прова бегают, но на работе такого быть не должно вроде как - не тот уровень : ) -
стопудов пров - у него внутри с маршрутизацией косяк какой-то.
я когда дома в инете сижу, тоже маршруты бывает через серые адреса внутри прова бегают, но на работе такого быть не должно вроде как - не тот уровень : )уровень?… получил ответ прова. "Попадает в Росреестр запрещённых сайтов. ;D"
это нечто! -
это пиздёжь и провокация - сижу на 3-х разных провах и ни у одного он не забанен.
кстати че за страна? ;D -
это пиздёжь и провокация - сижу на 3-х разных провах и ни у одного он не забанен.
я прову технарям и в коммерческий отдел мягко об этом написал :) Если честно, приходилось себя сдерживать и делать правки :)
МТС- пускает, ТТК- пускает. Сегодня йоту еще попробую на этот предмет проверить.кстати че за страна? ;D
А для кого Росреестр то является законом? - Конечно Россия. (Или это типа шутка?)?
А вот провайдер - ДальСатКом, страна должна знать своих "героев".Вместо того что бы действительно всё проверить и разобраться их технари просто тупа списали на список, даже не удосужившись проверить что сайт не попадает в него.
У меня правда есть подозрение, что у них список на самом деле не обновляется, или обновляется но не корректно, а они об этом не знают, но утверждать этого не могу. Просто пробив часть адресов увидел что в 2012 году один попадался в него, но был выведен…
В общем я их забросал информацией и звякнул комерсам, "попросив" разобраться. Обещали максимум завтра дать ответ. -
А для кого Росреестр то является законом? - Конечно Россия. (Или это типа шутка?)?
упс ;D
да я тут самбу второй день собрать не могу - проглядел по запарке : )
кстати у меня дома была трабла у прова именно с роутингом - тоже на серых адресах затыкалось, когда на работу випиэнить пытался, хотя до этого всё работало - починили за сутки. меняют настройки на оборудовании и косячат иногда - я ночью сидел, часа в 3 маршрут отвалился. -
В общем пров проблему решил. И на том спасибо.
Спасибо всем кто принял участие!
С понедельника продолжу тестировать pfsense.