Página Web com Instabilidade

dpirralha

É um website externo, falamos com o desenvolvedor, e pra eles quando o site está acessível, as conexões chegam normalmente, sem erros.
Esse timeout é intermitente, mesmo durante o dia hora funciona, hora não.
Mas quando apresenta o timetout pra eles a requisição sem chega, monitorei de dentro do PFSense pelo tcpdump, só consigo ver pacotes tcp_syn, nem chega a sair do PFSense.

DaddyGo

@dpirralha said in Página Web com Instabilidade:

PFSense pelo tcpdump, só consigo ver pacotes tcp_syn

se você vir tcp-syn, a comunicação será iniciada, mas não chegará, pois não há syn-ack por parte do servidor

O ISP não possui restrições periódicas à filtragem?
(ou a linha ISP está congestionada)
O pfSense não permite que você passe o pacote uma só vez e depois o desabilite

dpirralha

Quando você diz ISP, é a operadora do cliente?
Pensei em algum tipo de ajuste no NAT Outbound.

DaddyGo

@dpirralha said in Página Web com Instabilidade:

Pensei em algum tipo de ajuste no NAT Outbound.

Portanto, este é um servidor Web externo, que diz que está a funcionar bem. Está bem.

caso funcione a qualquer momento atrás do pfSense, este não é um problema do pfSense

se esse comportamento ocorrer em vários locais, pode ser um problema de ISP ou ISP CNAT

não é necessário modificar a sua própria NAT - outbound se o problema for intermitente

Eu observaria o fenômeno com o switch gerenciado Wireshark + (mirror port)
https://www.wireshark.org/

dpirralha

@DaddyGo
Quando acesso o PFSense diretamente pelo SSH e faço um "telnet www.site.com 443" acessa normalmente.
Observei com o tcpdump(equivalente ao wireshak) quando estou monitorando os hosts da rede, e só vejo tcp_syn, não tem resposta do site.
O problema da intermitência é a partir dos meus hosts da rede.

DaddyGo

@dpirralha

também mostra que esse é um problema de carga
O telnet não causa a mesma carga que várias solicitações simultâneas no horário de pico do ISP em https (443)

O Wireshark é melhor que o tcpdump (mais detalhado e lida melhor com as opções de filtro)

@dpirralha "e só vejo tcp_syn, não tem resposta do site"
e esse é o principal problema!

monitora a interface WAN para exibir o syn-ack por parte do webservidor IP

dpirralha

@DaddyGo
Vou testar e posto o resultado aqui no tópico.

DaddyGo

@dpirralha

Boas notícias, estamos a aguardar pelos resultados.

dpirralha

Segue Wireshark com a tentativa de conexão ao site, tem exemplo tivemos um timeout da página.

DaddyGo

@dpirralha

sim, pode ser visto na amostra que não há resposta do servidor
existe muita retransmissão TCP, o que significa que o servidor não responde dentro de um determinado período de tempo

o próximo estágio da depuração é o próprio servidor, precisamos de saber se o tcp-syn chega neste servidor da web ...
você acessa o servidor web fisicamente?
o seu ISP também precisará descobrir os pacotes que vêm neste 216.245 .......
o que acontece se você faz PING ao servidor?
O que mostra um "traceroute" do host interno?

caso contrário, os endereços RFC1918 não precisam ser obscurecidos

dpirralha

Quando falei com o desenvolvedor do site e fizemos testes, os pacotes tcp-syn não chegam para o servidor web, não tenho acesso ao servidor web.
O ping e traceroute ao site estão ok, sem problemas.
O estranho é que é intermitente, hora funciona, hora não, por isso acho que é algum erro de configuração do PFSense.

DaddyGo

@dpirralha said in Página Web com Instabilidade:

por isso acho que é algum erro de configuração do PFSense.

Logicamente não, o pfSense não pode ser configurado para funcionar e, posteriormente não

isso seria um grande problema com o NGFW

Pacotes Snort / Suricata / pfBlockerNG podem causar problemas temporários após a atualização, mas isso não é relevante

Sugiro o seguinte teste:

use a varredura de traceroute quando a conexão estiver a funcionar e também quando encontra um problema

o traceroute mostra onde o pacote fica preso

a propósito:
isso é baseado nas nossas conversas até agora, estou a pensar fortemente no erro do provedor (ISP) ou no "bottleneck"

dpirralha

Analisando o traceroute, percebi que alguns hops mudam quando faço o teste de conexão do próprio PF e quando faço o teste de um host da rede, será que isso indica algo?

DaddyGo

@dpirralha said in Página Web com Instabilidade:

Analisando o traceroute,

você pode me mostrar..
a saída (output) do traceroute....

dpirralha

Este é o traceroute a partir do próprio PFSense:

dpirralha

Este é o traceroute a partir de um host da rede:

dpirralha

Analisado as rotas de dois hosts diferentes, podemos observar que alguns hops mudam.

DaddyGo

@dpirralha said in Página Web com Instabilidade:

Analisado as rotas de dois hosts diferentes, podemos observar que alguns hops mudam.

tudo parece bem até a rota americana
então um tempo de resposta significativo é gerado

por quê o tráfego está a sair de BR?

dpirralha

Pois o cliente que utilizado o PFSense está no Brasil.

DaddyGo

@dpirralha said in Página Web com Instabilidade:

PFSense está no Brasil.

converse com seu ISP para poder sugerir outra rede de backbone