Не грузится сайт dropmefiles.com

deem73

Не грузится сайт dropmefiles.com.
Не грузится, даже если комп идёт в обход прокси.
Грузится если трафик идёт в обход pfsense
Где блокировка???

Вот лог из pfTOP. Где копать?
IP сайта dropmefiles: *.18
IP провайдера: *.152
IP компа в ЛВС: *.49

Mister511

@deem73 трасировку посмотри

deem73

Посмотрел, ну и что?

Konstanti

@deem73 Попробуйте посмотреть Packet Capture -ом ( он же tcpdump) , что происходит в момент соединения
Если можете , выложите здесь pcap файл для анализа

deem73

Вот packetcapture.cap

Konstanti

@deem73 Ответа нет от сервера
Те от Вас пакеты уходят , он не отвечает
Ping при этом работает , как я понимаю
Сетевая карта какая на wan и lan интерфейсе ???
Попробуйте отключить расчет контрольных сумм tcp сетевым адаптером в настройках PF (/Advanced/Networking)

deem73

На LAN - встроенная сетевуха Atheros L1 Gigabit в матеhинку Asus P5K SE
на WAN - TPLink TG-3468

на WAN2 стоит realtek 8139 но она смотрит на DSL модем D-LINK 2500U
Тут второй провайдер, через него тоже не грузится этот сайт.
Пинги проходят.

Попробуйте отключить расчет контрольных сумм tcp сетевым адаптером в настройках PF (/Advanced/Networking)

Hardware Checksum Offloading - галочка не стоит

Konstanti

@deem73 Попробуйте сделать , как я написал выше
скорее всего ошибка в расчете контрольных сумм
попробуйте в консоли набрать

tcpdump -vvv -nettti название Вашего внешнего интерфейса tcp and host 176.99.128.18

и посмотрите , что покажет вывод про контрольные суммы
вывод в идеале должен быть таким (обратите внимание на параметр checksum)

 tcpdump -vvvv -nettti gre1 tcp and dst 176.99.128.18
tcpdump: listening on gre1, link-type NULL (BSD loopback), capture size 262144 bytes
 00:00:00.000000 AF IPv4 (2), length 770: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 766)
    192.168.1.96.61805 > 176.99.128.18.443: Flags [P.], cksum 0x4269 (correct), seq 362659512:362660226, ack 732927768, win 2048, options [nop,nop,TS val 1005165983 ecr 1230667192], length 714
 00:00:07.724337 AF IPv4 (2), length 56: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.96.61805 > 176.99.128.18.443: Flags [.], cksum 0x0ea2 (correct), seq 714, ack 2689, win 2006, options [nop,nop,TS val 1005173659 ecr 1230673239], length 0
 00:00:00.000061 AF IPv4 (2), length 56: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)

deem73

Поставить галочку "Hardware Checksum Offloading"?

Konstanti

@deem73

deem73

Отключил. Точнее поставил галочку в Hardware checksum offloading .
Вот что дала команда tcpdump

Spoiler

deem73

и ещё так

Spoiler

Konstanti

@deem73 а если вместо 80 порта по 443 соединиться ???

deem73

@Konstanti said in Не грузится сайт dropmefiles.com:

@deem73 а если вместо 80 порта по 443 соединиться ???

Примерно так. Просто если в браузере вбиваешь имя сайта с http то ждать приходится долго. А если с https то отрицательный результат выдает сразу.

Spoiler

spoiler

Konstanti

@deem73 Странно все это , потому что не должно быть проблем в теории
По контрольным суммам , как Вы показали проблем нет . Если бы порт был бы закрыт , то пришел ответ "Сброс соединения" . Сейчас еще раз проверил , вот что показывает у меня ( wireshark на локальном компе)

и все грузится .

а через оба внешних интерфейса такая проблема сейчас наблюдается ?

deem73

@Konstanti Да, на обоих. Могу подсоединить вместо второго внешнего интерфейса(в обход) ноут и увидеть как всё замечательно работает.

Konstanti

@deem73 покажите из консоли pf вывод команды

ifconfig -m

deem73

Вот ...

re0 - основной выход в Сеть
re1 - локальная сеть
ste0 - физически выключено, там третий провайдер
rl0 - DSL модем и тоже выход в интернет

Spoiler

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
capabilities=18399b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,LINKSTATE,NETMAP>
ether 18:d6:c7:00:ed:b9
hwaddr 18:d6:c7:00:ed:b9
inet6 fe80::1ad6:c7ff:fe00:edb9%re0 prefixlen 64 scopeid 0x1
inet 62.122.201.152 netmask 0xffff0000 broadcast 62.122.255.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
supported media:
media autoselect mediaopt flowcontrol
media autoselect
media 1000baseT mediaopt full-duplex,flowcontrol,master
media 1000baseT mediaopt full-duplex,flowcontrol
media 1000baseT mediaopt full-duplex,master
media 1000baseT mediaopt full-duplex
media 1000baseT mediaopt master
media 1000baseT
media 100baseTX mediaopt full-duplex,flowcontrol
media 100baseTX mediaopt full-duplex
media 100baseTX
media 10baseT/UTP mediaopt full-duplex,flowcontrol
media 10baseT/UTP mediaopt full-duplex
media 10baseT/UTP
media none
re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE>
capabilities=18399b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_UCAST,WOL_MCAST,WOL_MAGIC,LINKSTATE,NETMAP>
ether 00:1b:fc:86:22:2e
hwaddr 00:1b:fc:86:22:2e
inet6 fe80::21b:fcff:fe86:222e%re1 prefixlen 64 scopeid 0x2
inet 192.168.2.200 netmask 0xffffff00 broadcast 192.168.2.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
supported media:
media autoselect mediaopt flowcontrol
media autoselect
media 1000baseT mediaopt full-duplex,flowcontrol,master
media 1000baseT mediaopt full-duplex,flowcontrol
media 1000baseT mediaopt full-duplex,master
media 1000baseT mediaopt full-duplex
media 1000baseT mediaopt master
media 1000baseT
media 100baseTX mediaopt full-duplex,flowcontrol
media 100baseTX mediaopt full-duplex
media 100baseTX
media 10baseT/UTP mediaopt full-duplex,flowcontrol
media 10baseT/UTP mediaopt full-duplex
media 10baseT/UTP
media none
ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
capabilities=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
ether 00:24:8c:ce:0e:b8
hwaddr 00:24:8c:ce:0e:b8
inet6 fe80::224:8cff:fece:eb8%ste0 prefixlen 64 scopeid 0x3
inet 109.251.135.41 netmask 0xffffff00 broadcast 109.251.135.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (none)
status: no carrier
supported media:
media autoselect
media 100baseTX mediaopt full-duplex
media 100baseTX
media 10baseT/UTP mediaopt full-duplex
media 10baseT/UTP
media none
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2008<VLAN_MTU,WOL_MAGIC>
capabilities=3808<VLAN_MTU,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether c8:3a:35:d7:17:ae
hwaddr c8:3a:35:d7:17:ae
inet6 fe80::ca3a:35ff:fed7:17ae%rl0 prefixlen 64 scopeid 0x4
inet 192.168.3.200 netmask 0xffffff00 broadcast 192.168.3.255
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
supported media:
media autoselect
media 100baseTX mediaopt full-duplex
media 100baseTX
media 10baseT/UTP mediaopt full-duplex
media 10baseT/UTP
enc0: flags=0<> metric 0 mtu 1536
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: enc
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
capabilities=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: lo
pflog0: flags=100<PROMISC> metric 0 mtu 33160
groups: pflog
pfsync0: flags=0<> metric 0 mtu 1500
groups: pfsync
syncpeer: 224.0.0.240 maxupd: 128 defer: on
syncok: 1

Konstanti

@deem73 Тут все отлично
Отключено то , что надо
попробуйте из консоли pf
curl https://dropmefiles.com

Загрузится страница ??

/root: curl https://dropmefiles.com
<!DOCTYPE HTML>
<!--[if lt IE 7 ]> <html class="ie6"> <![endif]-->
<!--[if IE 7 ]>    <html class="ie7"> <![endif]-->
<!--[if IE 8 ]>    <html class="ie8"> <![endif]-->
<!--[if IE 9 ]>    <html class="ie9"> <![endif]-->
<!--[if (gt IE 9)|!(IE)]><!--><html><!--<![endif]-->
<head>
    <title>DropMeFiles – бесплатный файлообменник без регистрации</title>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge" />

deem73

Висит

а теперь так:
curl: (7) Failed to connect to dropmefiles.com port 443: Operation timed out

Konstanti

@deem73 Тогда не знаю ((((
А другие сайты открываются без проблем ??
И проблема только с одним ?

deem73

Всё открывается без проблем. Может есть и ещё какие-то сайты, такого плана, которые тоже не открываются, но мне они неизвестны.

На сайт дропмифилеs сотрудникам перекидывают из центрального офиса объемные файлы. Они забирать их не могут, вот и жалуются. Приходится мне их загружать в обход прокси, путем выключения последнего в свойстах браузера.

В чём причина "нелюбви" дропмифилес к моему шлюзу pf???

Что ещё поменять?

Konstanti

@deem73
Не готов пока сказать
а на такую команду есть ответ ?? Из консоли

openssl s_client -connect dropmefiles.com:443
curl -v dropmefiles.com
telnet dropmefiles.com

Mister511

@deem73 Принципиально через этот ресурс работать? Не хорошо выкладывать корпоративные документы на чужие ресурсы. Сделай им шару, и вся любовь ....

Konstanti

@Mister511 Кстати , да . Или не лучше сделать VPN туннель между офисами и качать оттуда документы напрямую ??

deem73

@Konstanti said in Не грузится сайт dropmefiles.com:

@deem73
Не готов пока сказать
а на такую команду есть ответ ?? Из консоли

openssl s_client -connect dropmefiles.com:443

[2.4.4-RELEASE][admin@pfsense.if]/root: openssl s_client -connect dropmefiles.com:443
connect: Operation timed out
connect:errno=60

curl -v dropmefiles.com

Spoiler

[2.4.4-RELEASE][admin@pfsense.if]/root: curl -v dropmefiles.com

• Expire in 0 ms for 6 (transfer 0x803a94000)
• Expire in 1 ms for 1 (transfer 0x803a94000)
• Expire in 0 ms for 1 (transfer 0x803a94000)
• Expire in 1 ms for 1 (transfer 0x803a94000)
• Expire in 0 ms for 1 (transfer 0x803a94000)
• Expire in 0 ms for 1 (transfer 0x803a94000)
• Expire in 1 ms for 1 (transfer 0x803a94000)
  . . .
• Expire in 10 ms for 1 (transfer 0x803a94000)
• Expire in 10 ms for 1 (transfer 0x803a94000)
• Expire in 8 ms for 1 (transfer 0x803a94000)
• Expire in 11 ms for 1 (transfer 0x803a94000)
• Expire in 11 ms for 1 (transfer 0x803a94000)
• Expire in 14 ms for 1 (transfer 0x803a94000)
• Trying 176.99.128.38...
• TCP_NODELAY set
• Expire in 149978 ms for 3 (transfer 0x803a94000)
• Expire in 200 ms for 4 (transfer 0x803a94000)
  ^C

telnet dropmefiles.com

[2.4.4-RELEASE][admin@pfsense.if]/root: telnet dropmefiles.com
Trying 176.99.128.18...
tut mozno nabirat lyuboy tekst ))

deem73

@Konstanti said in Не грузится сайт dropmefiles.com:

@Mister511 Кстати , да . Или не лучше сделать VPN туннель между офисами и качать оттуда документы напрямую ??

Нельзя. Мы региональный офис, а это рассылка из центрального. Есть и защищенная почта и гугл диски. Но для некоторых не важных и больших файлов предпочтительно пользоваться именно так. Тётя выложила на обменник файл, а заинтересованным получателям шлёт ссылку. Вопрос, об общем файлохранилище поднимался регионами, но пока главные админы этого не сделали. Всё бросается через файлообменники или гугл диск с доступом по ссылке.

К тому же вопрос с доступом нужно разрулить. Потому, что может ещё всплыть какой-то важный сайт, который почему-то у нас не грузится, но у всех остальных он грузится.

Mister511

This post is deleted!

Mister511

@deem73 как все запутанно)))
Ну тогда пробуйте обновлять пфсен, пробовать
Сносить прокси, пробовать
Ну и все в таком духе
П.С. ох и админы.... если этот сервис ляжет? что делать будите?

Konstanti

@deem73
Интересно , а если версию pf поновее поставить , будут ли проблемы
У Вас же версия 2.0.2 - совсем древняя ?
Что-то не нравится серверу в первом tcp пакете
Тут вариантов немного , по-моему
1 ip в блоке , но Вы говорите , что с компа напрямую нет проблем
2 контрольные суммы были неверны , но тогда бы были проблемы со всем остальным

Mister511

@Konstanti Я был первый с обновление пфсенс))))

deem73

@Mister511 Будут на другой файлообменник кидать. Просто не нам одним это кидают, и под нас одних никто не будет шевелится.

pf обновлю. Где-то во вторник. В пятницу рискованно, если что-то пойдёт не так(а такое уже было) у меня накроются выходные. Часть сотрудников работает и в СБ и ВС.

Mister511

@deem73 подымай другой пф пробуй...
От политики регионалов я ху... с этими обменниками нет слов
Вам удачи)

deem73

@Konstanti я подпись не могу исправить на новом форуме.
Сейчас версия такая:
2.4.4-RELEASE-p2 (amd64)
built on Wed Dec 12 07:40:18 EST 2018
FreeBSD 11.2-RELEASE-p6

Mister511

@deem73
Моя версия
2.4.4-RELEASE-p3 (amd64)
built on Wed May 15 18:53:44 EDT 2019
FreeBSD 11.2-RELEASE-p10

Konstanti

@deem73 Исходящих правил нет никаких (Floating rules) ???
Я на всякий случай спрашиваю , по логике , если бы были , Вы бы исходящие пакеты на re0 не видели .
Посмотрите в логах файрвола , нет ли заблокированных исходящих пакетов ?

deem73

@Konstanti said in Не грузится сайт dropmefiles.com:

@deem73 Исходящих правил нет никаких (Floating rules) ???
Я на всякий случай спрашиваю , по логике , если бы были , Вы бы исходящие пакеты на re0 не видели .
Посмотрите в логах файрвола , нет ли заблокированных исходящих пакетов ?

Я со своей машины иду в обход всех правил файрвола.

Konstanti

@deem73 Минуя PF или как ??
Вы же со своего компьютера можете зайти

Проверьте на всякий случай исходящие правила ( Floating rules) , если таковые имеются

deem73

Могу только в обход pf. Правила не причём, они открывают доступ корпоративным программам/устройствам и определяют через какого провайдера пускать трафик.

Konstanti

@deem73
Верно
Раз можете зайти на сайт , минуя Pf , а другие через pf и , как Вы уже показали с самого pf , не могут , то я предположил , что может быть существует правило , блокирующее исходящий трафик . А эти правила находятся в разделе Floating rules.