504 Gateway Time-out | Lors de l'affichage des certificats

Akiyama

Bonjour,

je vais tout d'abord poser les bases avec la charte et je donnerai des détails ensuite.

Contexte : Milieu Pro, bon niveau en Réseau & FW nettement moins en Linux. la solution à plusieurs années

Besoin : Nous n'arrivons plus a accéder a la page des certificats ce qui nous pose des gros problèmes pour la création de nouveau et ils nous servent pour OpenVPN

Schéma :

WAN (modem/routeur/box) : Routeur de l'opérateur 100Mb full duplex 20+ ip public en IP virtuelle

LAN : 1 Lan / 3 vlan / pas de dhcp, juste du relay pour les vlans, dns local AD

DMZ : 1 DMZ, dns via AD sur lan

WIFI : pas de wifi

Autres interfaces : WAN 2 secours

Règles NAT : forward uniquement, /automatic outbound, …

Règles Firewall : beaucoup de regle mais assez simple a base d'alias.

**Packages ajoutés :**Seulement openvpn-client-export

Autres fonctions assignées au pfSense : Serveur OpenVPN avec authentification par certificat

Question : Problème précis rencontré et questions posées, … :

Comme je le dis dans le titre nous avons un 504 gateway time-out lors de l'affichage de la page des certificats (system_certmanager.php pour être précis).
Nous avons beaucoup de certificat (près de 800)
La version installé est actuellement la 2.3.1_5

Nous avons une deuxième machine identique ce qui me permet de tester les majs et ensuite d'inverser prod / spare. elles sont toute les deux surdimensionnée BI-Xeon (E5xxx) 16Go de ram et SSD.
La seule diférence est la vitesse d'horloge du proc, 2.00GHz contre 2.50GHz

Pistes imaginées

Actuellement le serveur de spare est celui avec le proc a 2.50Ghz et lui arrive a m'afficher la page en question il lui faut tout de meme 141 secondes. Nous avons chercher a modifier des fichiers pour trouver le time-out et l'étendre mais nous n'avons rien trouvé. le time-out semble d’être de 180s mais je n'en suis pas certain.
J'ai testé deux versions de pfsense sur le serveur de spare 2.3.1_1 et 2.3.2 (dans les deux cas l'affichage marche)
Je ne sais pas si cela viens du proc (plus rapide) ou du fait qu'il ne fasse vraiment rien comme il a juste un wan (un box) et 0 activité

ce que nous avons compris c'est que c'est sans le php-fpm qui "plante" quand je me log en putty et je fais un "top" des que je clic sur la page je vois 1 thread php-fpm resté entre 80% et 100% ce qui dans mon cas prend 12% du serveur et donc je fais passer a 13% et des que la page s'affiche ou plante le thread disparait.

Pour pousser un peu plus loin le test j'ai installer pfsense sur un vieux pc (Core2duo 1G HDD) j'ai importé la conf même s'il n'a pas assez de carte réseau, j'ai fais la même manip et l'affichage se fait en 108 secondes (le proc tourne a 2.70GHz)

Alors voila, pourrait-on allouer plusieurs core a une tache, peut-etre si php-fpm pouvait monter a 200% cela s’afficherai avant le time-out, peut-on allonger le time-out mais si au file du temps cela va devenir compliqué car je ne peux pas supprimer les certificats (je les révoquent quand il ne sont plus utilisés).

Voila j’espère avoir été assez claire et que qq'un ai une idée.

Merci pour tout.

Aki

chris4916

Je sais que ça ne répond pas à ta question, mais c'est ce que je disais dans le fil de jdh à propos du client OpenVPN: pfSense n'est pas adapté pour gérer un nombre important de certificats.
C'est prendre un risque important, et tu en fais l'expérience, d'être confronté à des problématiques d'administration.

As-tu cherché dans la section internationale si il y avait des contournements en permettant à des script php de prendre plus de temps d'exécution ?

Akiyama

Bonjour,

Merci pour le premier retour.
Non je n'ai pas pensé a faire de recherche dans ce sens la sur le forum, c'est pourtant une bonne idée …
Oui je me rend compte que gérer un grand nombre de certificat semble problématique mais je suis un peu bloqué la.
il faudrait que je regarde aussi si je peux sortir le serveur openvpn de pfsense mais en migrant les certificats ...

Cdl
Aki

ccnet

Explorer les forum US sera peut être utile.
A cette échelle je pense aussi que ce n'est pas la place d'un serveur VPN sur le firewall. La gestion d'un milliers de certificats nécessite une solution dédiée et adaptés. Les certificats peuvent être exportés, tout comme l'autorité de certification interne (probablement).

jdh

@ccnet : je corrige ce que tu écris : ce n'est pas la place, sur le firewall, du système de gestion de certificats. (C'est certainement ce que tu voulais écrire, d'ailleurs.)

A la fois, c'est un système de gestion qui peut prendre du temps, et à la fois cela est insecure puisque d'un part sur le firewall et cela manque de sauvegardabilité (séparée).
Mais, c'est adapté pour 20 certificats !

De l'influence du temps sur un serveur web : en migrant d'un serveur imap à un serveur 'Exchange compatible' avec webmail d'origine RoundCube, un utilisateur qui avait une boite avec 8000 dossiers ne pouvait ouvrir son webmail : au démarrage RoundCube parcourt la boite pour créer l'arborescence (à gauche de l'écran) = dépassement du temps, à cause du nombre énorme de dossiers !

Si le module du 'Cert Manager' commence par lire les infos de sa base de certificats avant d'afficher la première vingtaine, il est (fort) possible que le timeout du service web (nginx ?) survienne !

Donc, au choix,

augmentation du timeout du service web
initialisation de la réorg de la base de registre : trouver un autre service de certificats et les transférer

ccnet

Oui.

Akiyama

En tout cas merci pour ces réponses / pistes

Je pense que nous allons tenter dans un premier temps d'étendre le timeout, reste a le trouver pour le moment on fait chou blanc.

Le gros avantage de tout avoir sur le pfsense c'est qu'avec openvpnclientexport tu fabriques les package d'installation en 2 clic, et c'est super pratique

Une question au passage, si la page certmanager n'affichait que les 100 premier et proposait une pagination cela ne résoudrait pas le problème ?

Je vais dans un deuxième temps voir si je peux héberger les certificats sur une autre machine dédier mais c'est quand même beaucoup plus compliqué et surtout c'est loin de ma compétence, cela reste quand même super intéressant a faire / comprendre.

jdh : quand tu parles de sauvegardabilité tu parles des certificats ? car ils sont tous sauvegardé chaque nuit via un script avec l'outils de backup du FW.

encore merci a tous. demain je m'attaque a la partie US si je trouve un peu de temps.

Aki

chris4916

qu'as-tu déjà essayé ?
max_execution_time dans php.ini ?

pour les certificats, c'est un peu plus compliqué que cela.
Bien sûr que l'interface pfSense est pratique mais la PKI est très basique.
tu ne peux par exemple pas faire de filtre sur les certificats qu vont expirer, renouveler des certificats etc…

Ce que tu peux en revanche faire, si nécessaire, c'est gérer tes certificats à l’extérieur avec une vrai PKI et importer ces certificats sur les compte pfSense.
Mais raisonnablement, ce n'est pas non plus une bonne solution car mes commentaires sur la gestion des certificats sont valable pour la gestion des comptes.

pfSense est utilisable pour quelques dizaine de comptes mais lorsqu'on parle de centaine, il est très intéressant de parler LDAP (dans lequel tu peux stocker, avec une PKI digne de ce nom les certificats des utilisateurs.

Et ça amène au dernier point: pour des raisons que j'ignore, il est de coutume dans cette section du forum de bannir autant que possible l'idée d'un proxy HTTP sur pfSense mais un serveur OpenVPN pour des centaines d'utilisateurs (concurrents ?) n'inquiète à priori pas.
Il n'y a absolument aucun problème à configurer une machine, sur le LAN, dont la fonction est serveur VPN. Il n'y a aucun obligation de conserver ce composant au niveau du FW.

Donc en réfléchissant avec un peu de recul, la question pourrait éventuellement être:

quelle solution de gestion des identités (coptes et certificats) ?
quelle solution de gestion du VPN qui sache tirer partie de la couche IAM (et la facilité de génération des conf OpenVPN client fait partie du choix)

jdh

pour des raisons que j'ignore, il est de coutume dans cette section du forum de bannir autant que possible l'idée d'un proxy HTTP sur pfSense

Alors là, c'est intellectuellement très malhonnête !

Vous avez participé à de nombreux fils sur le sujet, et vous connaissez parfaitement nos arguments :

à chaque fois, vous dites que, comme dans 2% des cas c'est possible de le faire, il faut laisser dire qu'on peut le faire.
alors que, considérant que dans 98% des cas, il ne faut pas le faire, nous disons cela comme un généralité

Eh bien là c'est exactement la même chose !

Je dis et j'écris :

Squid pour moins de 15 users et à petit trafic : c'est possible sur pfSense
Squid avec au dela : ne pas faire sur pfSense
CertManager avec 20 certificats : c'est possible sur pfSense
CertManager avec 100 certificats : ne pas faire sur pfSense
serveur VPN avec 2-3 utilisateurs simultanés : c'est possible sur pfSense
serveur VPn avec 30 utilisateurs et + simultanés : ne pas faire avec pfSense

Pris dans votre raisonnement !!!

Et qu'est ce qu'on rencontre dans la vraie vie du forum :

Squid au dela
CertManager avec 20 certificats
Serveur VPN avec 2-3 utilisateurs simultanés

Eh bien comme c'est pourquoi je (et on) choisis de n'avoir qu'un discours : celui du cas le plus général = celui de la recommandation adapté au plus grand nombre de cas
Parce que face à un débutant, il NE FAUT JAMAIS tenir 2 discours car c'est perturbant : il ne sait pas, ne comprend plus.

Le jour où vous comprendrez cela, le forum aura avancé …

(mais je ne suis pas un rêveur ... la preuve vous allez répondre des arguties ... top 18h08)

chris4916

@jdh:

pour des raisons que j'ignore, il est de coutume dans cette section du forum de bannir autant que possible l'idée d'un proxy HTTP sur pfSense

Alors là, c'est intellectuellement très malhonnête !

Quoi donc, de ne citer qu'une partie de ma phrase ? oui je suis d'accord, c'est une forme de malhonnêteté intellectuelle.

Squid pour moins de 15 users et à petit trafic : c'est possible sur pfSense

Squid avec au dela : ne pas faire sur pfSense

CertManager avec 20 certificats : c'est possible sur pfSense

CertManager avec 100 certificats : ne pas faire sur pfSense

serveur VPN avec 2-3 utilisateurs simultanés : c'est possible sur pfSense

serveur VPn avec 30 utilisateurs et + simultanés : ne pas faire avec pfSense

Pris dans votre raisonnement !!!

;D

N'hésite surtout pas, un jour ou tu n'as rien à faire, à chercher dans ce forum le nombre de fois, ou sans même avoir une idée de la volumétrie, tu as renvoyé la personne qui ose parler de proxy sur pfSense dans ses pénates car "ça ne se fait pas, c'est comme ça un point c'est tout !" et ensuite tu compares au nombre de fois ou tu t'es insurgé d'un design OpenVPN dans les même conditions.

Et ce ne doit pas être ancré dans tes habitudes car tu es l'auteur de ce fil:

Besoin : Les firewall des différents sites du groupe doivent fournir un accès VPN à chaque site.
Le choix est OpenVPN (natif pfSense) + certificat utilisateur (peut-être avec la gestion des certificats d'un pfsense 'maitre') + client windows.
Le client 'classique' inclut dans la version communautaire est 'OpenVPN Gui' et il nécessite d'être administrateur.
Or je ne veux plus avoir d'utilisateur administrateur local !

Dont je te rappelle que, même si il ne s'agit pas d'accès simultanés, tu nous parles de 1000 utilisateurs.

Qui a dit malhonnêteté intellectuelle ?
Pas moi assurément ::)

Parce que face à un débutant, il NE FAUT JAMAIS tenir 2 discours car c'est perturbant : il ne sait pas, ne comprend plus.

Peut-être que je me trompe mais n'aurais tu pas une petite propension à considérer que celui qui pose une question, c'est que forcément il ne sais pas donc il débute donc il est ignorant et donc on ne va pas lui faire une réponse trop compliquée parce que de toute façon il ne comprendra pas ?

Il est évident que dans "ton" forum, la vie serait beaucoup plus simple, ou devrais-je dire simpliste ?
Comme je ne suis pas câblé comme ça, forcément, il y a des divergences ;D

jdh

20' : comme d'hab et comme annoncé !

Dans le fil que vous citez j'ai écris, plusieurs fois, 1000 personnes et non 1000 utilisateurs. Donc vos conclusions …

Vous êtes malhonnête intellectuellement et pervers.
Votre attitude est néfaste et anti-pédagogique.

Votre attitude, permanente, aboutit à une ambiance de merde et la disparition de fils intéressants avec des gens intéressants (comme ccnet, baalserv, et pas mal d'autres).
Votre refus permanent du formulaire est pitoyable.
D'ailleurs quand on vous lit, vous écrivez toujours dans les 2 sens : à la fois, le formulaire ne sert à rien, et à la fois, il faudrait des infos ! C'est juste très stupide.

Je regrette que le modérateurs, bien qu'avertis, ne fassent toujours rien pour restituer un peu de sérénité à ce forum ...
J'admire les stoïques qui savent supporter en silence un connard tel que vous ...

chris4916

@jdh:

20' : comme d'hab et comme annoncé !

Comme ça au moins tu n'es pas déçu ;)

Votre attitude est néfaste et anti-pédagogique.

Ce qui est certain, c'est que nous ne partageons pas grand chose et certainement pas la même notion de ce qu'est la pédagogie.

Votre attitude, permanente, aboutit à une ambiance de merde et la disparition de fils intéressants avec des gens intéressants (comme ccnet, baalserv, et pas mal d'autres).

Qu'est-ce que c'est un fil intéressant selon toi.

un utilisateur qui ne comprends rien mais qui rempli le formulaire pour respecter la charte
jdh qui lui répond: "félicitation pour le formulaire mais vous ne comprenez rien mais voici une réponse et il n'y a pas d'option parce que de toutes façon vous ne comprenez rien alors que moi je sais"
et si ccnet a répondu avant, un petit commentaire "ccnet a toujours raison"
fin du fil.

Ce n'est pas exactement ce que j'appelle un fil intéressant mais tous les goûts son dans la nature.

Votre refus permanent du formulaire est pitoyable.
D'ailleurs quand on vous lit, vous écrivez toujours dans les 2 sens : à la fois, le formulaire ne sert à rien, et à la fois, il faudrait des infos ! C'est juste très stupide.

Je ne refuse pas le formulaire. Combien de fois faut-il te le répéter ?
Ce que je refuse, c'est l'attitude qui consiste à dire "pas de formulaire, pas de réponse" et surtout la volonté d'imposer que tous les autres membres du forum adoptent cette attitude.
Il n'y a exclusivement que dans les échanges avec toi que cette discussion autour du formulaire arrive. Avec tous les autres membres, ça n'existe pas du tout.

Bien sûr qu'il faut fournir des informations, bien sûr qu'un document structuré peut parfois aider à expliquer son environnement et donc c'est bien de mettre celui-ci a disposition et d'informer celui qui pose une question incompréhensible que ce document peut l'aider.
Mais il est également possible de fournir ces informations en l'absence de ce type de document, avec des échanges questions / réponses qui sont parfois plus productifs.

Je regrette que le modérateurs, bien qu'avertis, ne fassent toujours rien pour restituer un peu de sérénité à ce forum …

Note bien que tu es absolument le seul avec qui il y a des échanges tendus, et pas seulement entre toi et moi.

Si vraiment tu trouves ça insupportable, tu devrais utiliser plus souvent le bouton de droite pour signaler au modérateur les messages que je publie et qui sont, selon toi, hors charte.
L'autre solution, beaucoup plus efficace, c'est de te faire promouvoir modérateur. Tu pourras ainsi sévir à ta guise et imposer la loi qui te convient.

J'admire les stoïques qui savent supporter en silence un connard tel que vous …

Au moins ça c'est clair ;D ;)

Juve

Vous dérivez du sujet et polluez le thread avec vos querelles.

Merci de vous expliquez ailleurs ;)

Pour votre problème, je vous confirme que c'est PHP-FPM qui ne répond pas dans les temps à nginx.
Il faudrait ouvrir un incident ici https://redmine.pfsense.org/projects/pfsense

merci

Akiyama

Merci a tous pour les retours.

J'ai ouvert l'incident, mais le retour est le même que vous, ce n'est pas un bug ou un problème,il ne faut pas utiliser pfsense pour cela. c'est dommage c’était super pratique …. je vais essayer de trouver ou rallonger les timeout mais cela n'est que déplacer le problème. Je posterai la démarche si je trouve.

Je vais aussi essayer d'installer un serveur openpvn a coté, connaissez-vous une distrib "clé en main" (openvpn + webui) qui pourrai faire l'affaire ?

Encore merci pour les réponses.

Aki

Tatave

Salut Salut

Premièrement, il n'y a pas vraiment de distributions (linux) ou solutions (bsd) qui fassent du tout 'clé en mains) à ma connaissance.
Deuxièmement, dans le monde linux, vous avez coté pro une forte présence de centos/red hat et ensuite les dérivés de debian (ubuntu en tête) qui pourraient faire l'affaire.
Troisièmement, dans le monde BSD, vous avez les trois grandes solutions de départs qui sont netbsd / freebsd / openbsd, et des dérivés comme dragonfly ou pcbsd par exemple.
Quatrièmement, que vous choisissiez un linux ou un bsd pour mettre en place votre serveur applicatif (qu'il soit physique ou virtuel) vous devrez mettre le nez et les mains dans les lignes de commande et autres joyeusetés.

Pour un débutant comme pour un confirmé dans les mondes des linux ou bsd, je conseille de tout simplement tester les différents environnements et de faire votre choix entre l'aspect technique, la philosophie du projet de l'os et le retour de sa communauté ou son support et les coûts.

Cordialement.