Прокси не пускает с ошибко в логе TAG_NONE/503

Maxim_Al

Тестирую pfsense, настроен  прокси практически по умолчанию. Пытаюсь через него выйти на  https://code.getmdl.io/1.2.1/material.grey-orange.min.css но страница не доступна. В логе прокси имею следующее:
Date    IP    Status    Address    User    Destination
16.09.2016 14:37:28    192.168.1.222    TAG_NONE/503    code.getmdl.io:443    -    -

Попытался разобраться гуглом, не выходит. Ссылка https://forum.pfsense.org/index.php?topic=112313.0 привела меня на https://forum.pfsense.org/index.php?topic=112335.60, куда я и написал, однако терзают меня сомнения что зря я туда обозначился… наверно не по теме.
Чуть позже разобрался что есть русскоязычный раздел форума :)  И вот я здесь.

Кто-нибудь может помочь с проблемой? Не понимаю, блокировок никаких нет, хост code.getmdl.io определяется, нигде не блокируется, но что ему мешает через прокси к нему пройти не понимаю.
Люди добрые, помогите пожалуйста, или направьте хотя бы!

werter

Доброе.
У вас же https. Вы настраивали https на squid ?

Maxim_Al

werter, вроде бы настраивал по простому без изысков, "все" остальные сайты - работают. Для теста использую https://alfabank.ru/ - сайт открывается.
в логе прокси:
16.09.2016 18:30:54 192.168.1.222 TCP_TUNNEL/200 alfabank.ru:443 - 195.218.200.139

Разве мог бы не настроенный прокси выпустить на этот сайт?

werter

Добавьте этот сайт в искл. Чтобы мимо прокси на него ходить.

Maxim_Al

@werter:

Добавьте этот сайт в искл. Чтобы мимо прокси на него ходить.

Странно. Фильтрацию я пока не настраивал. Т.е. по фильтру он попасть в блокировку не может. https ходит. А что с этим сайтом? Настроить  мимо прокси - оно наверно и получится, но вопрос то в чём - нет понимание что происходит. Завтра снова что-то вывалится, и сиди гадай почему, толи фильтр сработал (планируется настраивать в будущем), толи ресурс недоступен, а толи сквид выкаблучивается.
Хотелось бы разобраться с сутью.

hvac14400

@Maxim_Al:

А что с этим сайтом?

а вот что:

D:\pfsense\squid logs\LOGS\18>nslookup  code.getmdl.io
Server:  server*.*.local
Address:  192.168.0.231

Non-authoritative answer:
Name:    ghs.l.google.com
Addresses:  2a00:1450:4010:c0a::79
          64.233.163.121
Aliases:  code.getmdl.io
          ghs.google.com

в днс ip v6, который твой сквид не переваривает. нужно толи Resolve DNS IPv4 First включить, толи tcp_outgoing_address в конфиге прописать, не помню - погугли, или в поиск, короче у меня была такая же фигня с год назад и сейчас твоя ссылка нормально открывается : )

Maxim_Al

@hvac14400:

в днс ip v6, который твой сквид не переваривает. нужно толи Resolve DNS IPv4 First включить, толи tcp_outgoing_address в конфиге прописать, не помню - погугли, или в поиск, короче у меня была такая же фигня с год назад и сейчас твоя ссылка нормально открывается : )

Спасибо тебе Дорогой огромное за направление движения мысли!
Ведь смотрел на ответ nslookup-а, чувствовал что что-то не то, но так и не сообразил!
В понедельник займусь, у нас уже 19 часов почти, пора домой собираться!
По результату обязательно отпишусь, для потомков (и для своего склероза :))

hvac14400

да незашта : )
щас попробовал у себя обе опции по одной отключать - всё равно открывается, может обе сразу важны, а может кэш какой-нить, короче нужен другой ипв6 сайт для тестов, или несколько сайтов, если дело в кэше.
хотя проще тебе эти штуки включить - первая в веб-морде Squid General Settings, вторая там же в Custom ACLS (Before Auth) с указанием через пробел дефолтного шлюза твоего сенса : )

p.s.
кстати у тя какой сенс и какой сквид? я сквид сам компиллировал с год назад и выключил поддержку этого ипв6 нах, а по дефолту в свежих версиях мож оно и должно корректно работать?

Maxim_Al

По версиям, установлено:
pfsense Version 2.3.2-RELEASE
пакет Squid 0.4.23 -  squid_radius_auth-1.10   squid-3.5.19_1   squidclamav-6.14   c-icap-modules-0.4.3

@hvac14400:

в днс ip v6, который твой сквид не переваривает. нужно толи Resolve DNS IPv4 First включить, толи tcp_outgoing_address в конфиге прописать, не помню - погугли, или в поиск, короче у меня была такая же фигня с год назад и сейчас твоя ссылка нормально открывается : )

Что-то никак не выходит каменный цветок блин.

• System - Advanced - Networking : галка Prefer IPv4 over IPv6  установлена
• Package - Proxy Server: General Settings - General : опция Resolve DNS IPv4 First  установлена.

Не помогает.

Причём интересно, если я даю nslookup c web-морды, то получаю так:
Result Record type
173.194.73.121 A
2a00:1450:4010:c05::79 AAAA
ghs.google.com CNAME

Если захожу в консоль то:
Server:        127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
code.getmdl.io  canonical name = ghs.google.com.
ghs.google.com  canonical name = ghs.l.google.com.
Name:  ghs.l.google.com
Address: 173.194.73.121

где IPv6 и не пахнет.

Если с клиента, то снова:
Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c05::79
          173.194.73.121
Aliases:  code.getmdl.io
          ghs.google.com

PS tcp_outgoing_address как я понял отношения к проблеме не имеет…

hvac14400

@Maxim_Al:

Что-то никак не выходит каменный цветок блин.

• System - Advanced - Networking : галка Prefer IPv4 over IPv6  установлена

у меня там ещё выключена Allow IPv6.

Причём интересно, если я даю nslookup c web-морды, то получаю так:
Result Record type
173.194.73.121 A
2a00:1450:4010:c05::79 AAAA
ghs.google.com CNAME

Если захожу в консоль то:
Server:        127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
code.getmdl.io  canonical name = ghs.google.com.
ghs.google.com  canonical name = ghs.l.google.com.
Name:  ghs.l.google.com
Address: 173.194.73.121

где IPv6 и не пахнет.

попробуй вместо nslookup команду host - тогда запахнет : )

PS tcp_outgoing_address как я понял отношения к проблеме не имеет…

а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.

Maxim_Al

@hvac14400:

у меня там ещё выключена Allow IPv6.

Галка не стоит. Т.е. IPv6 выключен

@hvac14400:

попробуй вместо nslookup команду host - тогда запахнет : )

упс, точно

@hvac14400:

PS tcp_outgoing_address как я понял отношения к проблеме не имеет…

а ты пробовал его прописывать? если там ип4 указан, то и коннектиться сквид вроде будет пытаться по ип4.

может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…
http://www.thin.kiev.ua/router-os/50-pfsense/411-squidmulti-wan-.html
http://sysadmins.ru/topic395093.html

Ладно, допустим что это то что надо.
1. прописывать "tcp_outgoing_address 127.0.0.1"?
2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"

попробовал прописать tcp_outgoing_address 127.0.0.1 в Integrations, результат нуль.

И я уже сомневаюсь что проблема в IPv6 , потому как:

Не заслуживающий доверия ответ:
╚ь :    dsc.ru
Addresses:  2a00:f920:192::233
          178.57.192.233

А этот сайт великолепно открывается.

hvac14400

@Maxim_Al:

может я чего не догоняю, но этот параметр вроде бы как указывает адрес через который коннектиться…

адрес и протокол блять : )

Ладно, допустим что это то что надо.
1. прописывать "tcp_outgoing_address 127.0.0.1"?

да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать, и там и там нат. но выпускаю почему-то через ван : D хотя его можно вообще удалить нах.

2. где это в 2.3 прописывать? Я смотрел в прошлых версиях , там есть поле "custom options" куда прописывают эту опцию, а у меня такой нет. В расширенных есть "Integrations", "Custom ACLS (Before Auth) " и "Custom ACLS (After Auth)"

писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.

И я уже сомневаюсь что проблема в IPv6 , потому как:

тогда хз. 2.3 себе ставить точно не буду, а сквид 3.5.20 попробую собрать - у мну щас 3.5.11 стоит.

Maxim_Al

@hvac14400:

адрес и протокол блять : )

не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.

@hvac14400:

да почему лупбак-то? у меня например 2 интерфейса - лан и ван, я могу через любой из них сквид наружу выпускать,

Это понятно, тут на самом деле можно и внешний IP указать и лупбак - работает и так и так (я пробовал в интегрэйшен правда). А вот левый адрес сразу приводил к прекращению работоспособности прокси.

@hvac14400:

писать в Custom ACLS (Before Auth). для проверки что оно попало в конфиг поставь какой-нить левый адрес вместо адреса шлюза и инет через сквид должен пропасть.

попробовал прописать туда "tcp_outgoing_address <<внешний IP>>" - толку нуль (при левом адресе это так же приводит к прекращению функционирования прокси)

Меня с этим сайтом только смущает двойной алиас

host code.getmdl.io
code.getmdl.io is an alias for ghs.google.com.
ghs.google.com is an alias for ghs.l.google.com.
ghs.l.google.com has address 108.177.14.121
ghs.l.google.com has IPv6 address 2a00:1450:4010:c09::79

может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?

hvac14400

@Maxim_Al:

@hvac14400:

адрес и протокол блять : )

не совсем уверен что я правильно понял великий и могучий, :) протокол-то как здесь указывается? Я видел только IP-адрес в настройках этой опции.

ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )

Меня с этим сайтом только смущает двойной алиас
может у прокси с этим возникают проблемы? Может он за двойными алиасами не успевает получить адрес (в логе он ведь действительно Destination - прочерк ставит)?

у мну в логах:

[2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200

1474952851.149      2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -

вообще ип с днс не совпадает % )

зы.
https://www.fl.ru/projects/2481355/problema-so-squid.html
: D

Maxim_Al

@hvac14400:

ну дык там можно указать адрес протокола в4, а можно протокола в6 - я это имел в виду : )

я догадывался, что имелось в виду, но решил уточнить

@hvac14400:

[2.2.4-RELEASE][root@proxy.*.local]/var/squid/logs: tail -f access.log | grep 192.168.0.200

1474952851.149      2 192.168.0.200 TCP_DENIED/407 3991 CONNECT code.getmdl.io:443 - HIER_NONE/- text/html
1474953079.993 228835 192.168.0.200 TCP_TUNNEL/200 25838 CONNECT code.getmdl.io:443 * HIER_DIRECT/64.233.162.121 -

вообще ип с днс не совпадает % )

что-то я не понял, а это как? откуда блин этот IP берётся?

hvac14400

короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
и ты на них постоянно попадаешь  ;D

Maxim_Al

@hvac14400:

короче я видел уже 4-5 разных ип4 для этого сайта - может быть там роунд робин и часть из них тупо в дауне?
и ты на них постоянно попадаешь  ;D

Я сейчас заметил следующее:
TCP_TUNNEL/200 761259 CONNECT plus.google.com:443 - HIER_DIRECT/173.194.72.196 -

при этом

host plus.google.com
plus.google.com is an alias for wide-plus.l.google.com.
wide-plus.l.google.com has address 64.233.189.196
wide-plus.l.google.com has IPv6 address 2404:6800:4008:c04::c4

етить едрить, с этими адресами какая-то хрень происходит.

Maxim_Al

@Maxim_Al:

етить едрить, с этими адресами какая-то хрень происходит.

Что-то я вообще не понимаю.
Выключил нафиг прокси. Остановил его в принципе.
Разрешил клиенту выход ко всем сайтам по всем протоколам, указал ему гугловский DNS …

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c0d::79
          173.194.220.121
Aliases:  code.getmdl.io
          ghs.google.com

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c0b::79
          64.233.164.121
Aliases:  code.getmdl.io
          ghs.google.com

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c07::79
          173.194.222.121
Aliases:  code.getmdl.io
          ghs.google.com

nslookup code.getmdl.io
╤хЁтхЁ:  google-public-dns-a.google.com
Address:  8.8.8.8

Не заслуживающий доверия ответ:
╚ь :    ghs.l.google.com
Addresses:  2a00:1450:4010:c0a::79
          64.233.162.121
Aliases:  code.getmdl.io
          ghs.google.com

и толку то нуль, "все сайты" кроме этого доступны…
Получается что проблема не в прокси. НО ЧТО?

PS может ли у провайдера это резаться?

hvac14400

в смысле через нат тоже не открывается?

а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609

другой случай.

Maxim_Al

@hvac14400:

а я нашёл откуда tcp_outgoing взял - https://forum.pfsense.org/index.php?topic=73609
другой случай.

спасибо

@hvac14400:

в смысле через нат тоже не открывается?

да… вот только всё стало ещё более "интересно"...
Со своего смартфона решил трасертнуть сайт. Через МТС - всё красиво
Пытаюсь пройти через проводного прова, и нв какой-то момент мне отвечает гугловский сервак, что сетка 172,**** недоступна...