Долго прогружаются сайты в другой подсетl

retrooo_7

Здравствуйте, имеется pfsense 2.3.3(squid+sambaAD+squidguard)(не является шлюзом)
Имеются сети подключенные к маршрутизатору cisco:
192.168.208.0/22 - в этой сети находится сервер pfsense и все нормально и быстро работает.
192.168.8.0/24 -  эта сеть находится в другом сегменте и,  через настройки прокси в браузере на pfsense ходит в интрернет, и на клиентах этой сети дико тормозит загрузка страниц от 5 до 30 секунд.

Находил тему на форуме по поводу отключенного, Net-Bios, не помогает.

Может кто сталкивался.

werter

Доброе
Что в логах самого пф и логах сквида ?

kobzar

Если на цыске дропы стоят на какието ресурсы то может такое быть!

retrooo_7

@werter:

Доброе
Что в логах самого пф и логах сквида ?

Судя по всему прноблема в AD авторизации, если комп не в домене и находится в лругой подсети

то  логи начинают заполняться

2017/03/28 10:05:37| negotiate_kerberos_auth: ERROR: krb5_kt_start_seq_get: Permission denied
2017/03/28 10:05:37| negotiate_kerberos_auth: ERROR: krb5_read_keytab: Permission denied
2017/03/28 10:05:40 kid1| Starting new negotiateauthenticator helpers...
2017/03/28 10:05:40| negotiate_kerberos_auth: ERROR: krb5_kt_start_seq_get: Permission denied
2017/03/28 10:05:40| negotiate_kerberos_auth: ERROR: krb5_read_keytab: Permission denied

Видимо надо  рассказать КД о существовании данной подсети.

retrooo_7

@kobzar:

Если на цыске дропы стоят на какието ресурсы то может такое быть!

Среда полностью тестовая, никаких АЦЛов не весит, только интервлан роутинг и нат в инет.

kobzar

В другой подсети с доменом все окей? Попробуйте вывести/завести комп в домен - не будет ли паузы длинной более чем нужно?

retrooo_7

@kobzar:

В другой подсети с доменом все окей? Попробуйте вывести/завести комп в домен - не будет ли паузы длинной более чем нужно?

Методом практического теста, оказывается, что доменнные компы в другой сети работают нормально, а тормозят НЕ ДОМЕННЫЕ!

kobzar

Уже хорошо!
Проверьте ДНС сервера на Не доменных!
Пинг с доменного всегда вернет ping pc_name даже без необходимости писать ping pc_name.domain
Вполне вероятно что у вас слишком долго резолвится контроллер домена/или вобще не находится!

Опять же с АД машинки ping domain отработает - с обычной нет!

retrooo_7

@kobzar:

Уже хорошо!
Проверьте ДНС сервера на Не доменных!
Пинг с доменного всегда вернет ping pc_name даже без необходимости писать ping pc_name.domain
Вполне вероятно что у вас слишком долго резолвится контроллер домена/или вобще не находится!

Опять же с АД машинки ping domain отработает - с обычной нет!

Проверил, пингуется КД  нормально и с днс суффиксом и без и по IP, без задержек.