Página Web com Instabilidade



  • Estou com o seguinte problema, tenho um PFSense com Squid e algumas regras de firewall configurados para hosts que tem acesso full sem proxy.

    Tem um site de um sistema que o pessoal aqui utiliza que acontece o seguinte:
    Na madrugada o site flui bem, não perde conexão, fica estável, durante o dia quando tem muita gente utilizando a Internet e este site, o mesmo começa a cair, apresenta a mensagem de timeout.

    Olho nos logs e vejo os pacotes passando pelas regras de pass, tenho as regras de NAT Outbound manuais.

    Algum pode me dar uma luz?



  • @dpirralha said in Página Web com Instabilidade:

    durante o dia quando tem muita gente utilizando a Internet e este site, o mesmo começa a cair, apresenta a mensagem de timeout.

    Boa tarde,

    Isso não será um problema do Squid ou do pfSense ...
    Você descreve bem que o problema do "timeout" ocorre sob carga pesada, ergo há um "bottleneck" no sistema.

    Que tipo de portal (web) é isto, interno ou externo?

    Cumps,

    +++editar:
    o que os logs do servidor da web mostram quando isso acontece?



  • É um website externo, falamos com o desenvolvedor, e pra eles quando o site está acessível, as conexões chegam normalmente, sem erros.
    Esse timeout é intermitente, mesmo durante o dia hora funciona, hora não.
    Mas quando apresenta o timetout pra eles a requisição sem chega, monitorei de dentro do PFSense pelo tcpdump, só consigo ver pacotes tcp_syn, nem chega a sair do PFSense.



  • @dpirralha said in Página Web com Instabilidade:

    PFSense pelo tcpdump, só consigo ver pacotes tcp_syn

    se você vir tcp-syn, a comunicação será iniciada, mas não chegará, pois não há syn-ack por parte do servidor

    O ISP não possui restrições periódicas à filtragem?
    (ou a linha ISP está congestionada)
    O pfSense não permite que você passe o pacote uma só vez e depois o desabilite



  • Quando você diz ISP, é a operadora do cliente?
    Pensei em algum tipo de ajuste no NAT Outbound.



  • @dpirralha said in Página Web com Instabilidade:

    Pensei em algum tipo de ajuste no NAT Outbound.

    Portanto, este é um servidor Web externo, que diz que está a funcionar bem. Está bem.

    caso funcione a qualquer momento atrás do pfSense, este não é um problema do pfSense

    se esse comportamento ocorrer em vários locais, pode ser um problema de ISP ou ISP CNAT

    não é necessário modificar a sua própria NAT - outbound se o problema for intermitente

    Eu observaria o fenômeno com o switch gerenciado Wireshark + (mirror port)
    https://www.wireshark.org/



  • @DaddyGo
    Quando acesso o PFSense diretamente pelo SSH e faço um "telnet www.site.com 443" acessa normalmente.
    Observei com o tcpdump(equivalente ao wireshak) quando estou monitorando os hosts da rede, e só vejo tcp_syn, não tem resposta do site.
    O problema da intermitência é a partir dos meus hosts da rede.



  • @dpirralha

    também mostra que esse é um problema de carga
    O telnet não causa a mesma carga que várias solicitações simultâneas no horário de pico do ISP em https (443)

    O Wireshark é melhor que o tcpdump (mais detalhado e lida melhor com as opções de filtro) 😉

    @dpirralha "e só vejo tcp_syn, não tem resposta do site"
    e esse é o principal problema!

    monitora a interface WAN para exibir o syn-ack por parte do webservidor IP



  • @DaddyGo
    Vou testar e posto o resultado aqui no tópico.



  • @dpirralha

    Boas notícias, estamos a aguardar pelos resultados.



  • Segue Wireshark com a tentativa de conexão ao site, tem exemplo tivemos um timeout da página.

    7353c83b-80b5-4c48-a527-d514fbb3f11d-image.png



  • @dpirralha

    sim, pode ser visto na amostra que não há resposta do servidor
    existe muita retransmissão TCP, o que significa que o servidor não responde dentro de um determinado período de tempo

    o próximo estágio da depuração é o próprio servidor, precisamos de saber se o tcp-syn chega neste servidor da web ...
    você acessa o servidor web fisicamente?
    o seu ISP também precisará descobrir os pacotes que vêm neste 216.245 .......
    o que acontece se você faz PING ao servidor?
    O que mostra um "traceroute" do host interno?

    caso contrário, os endereços RFC1918 não precisam ser obscurecidos



  • Quando falei com o desenvolvedor do site e fizemos testes, os pacotes tcp-syn não chegam para o servidor web, não tenho acesso ao servidor web.
    O ping e traceroute ao site estão ok, sem problemas.
    O estranho é que é intermitente, hora funciona, hora não, por isso acho que é algum erro de configuração do PFSense.



  • @dpirralha said in Página Web com Instabilidade:

    por isso acho que é algum erro de configuração do PFSense.

    Logicamente não, o pfSense não pode ser configurado para funcionar e, posteriormente não

    isso seria um grande problema com o NGFW

    Pacotes Snort / Suricata / pfBlockerNG podem causar problemas temporários após a atualização, mas isso não é relevante

    Sugiro o seguinte teste:

    use a varredura de traceroute quando a conexão estiver a funcionar e também quando encontra um problema

    o traceroute mostra onde o pacote fica preso

    a propósito:
    isso é baseado nas nossas conversas até agora, estou a pensar fortemente no erro do provedor (ISP) ou no "bottleneck"



  • Analisando o traceroute, percebi que alguns hops mudam quando faço o teste de conexão do próprio PF e quando faço o teste de um host da rede, será que isso indica algo?



  • @dpirralha said in Página Web com Instabilidade:

    Analisando o traceroute,

    você pode me mostrar..
    a saída (output) do traceroute....



  • Este é o traceroute a partir do próprio PFSense:
    4ecff9c5-e87e-4a2c-b6e0-bbd71e1d2455-image.png



  • Este é o traceroute a partir de um host da rede:
    3b8be11d-1f06-4f1c-b82b-1928b6a4d973-image.png



  • Analisado as rotas de dois hosts diferentes, podemos observar que alguns hops mudam.



  • @dpirralha said in Página Web com Instabilidade:

    Analisado as rotas de dois hosts diferentes, podemos observar que alguns hops mudam.

    tudo parece bem até a rota americana
    então um tempo de resposta significativo é gerado

    por quê o tráfego está a sair de BR?



  • Pois o cliente que utilizado o PFSense está no Brasil.



  • @dpirralha said in Página Web com Instabilidade:

    PFSense está no Brasil.

    converse com seu ISP para poder sugerir outra rede de backbone



  • @dpirralha said in Página Web com Instabilidade:

    PFSense está no Brasil.

    Ainda lembrei-me de que uma rede com uma rota tão grande.... vale a pena CDN
    https://www.cloudflare.com/cdn/


Log in to reply