Página Web com Instabilidade
-
Estou com o seguinte problema, tenho um PFSense com Squid e algumas regras de firewall configurados para hosts que tem acesso full sem proxy.
Tem um site de um sistema que o pessoal aqui utiliza que acontece o seguinte:
Na madrugada o site flui bem, não perde conexão, fica estável, durante o dia quando tem muita gente utilizando a Internet e este site, o mesmo começa a cair, apresenta a mensagem de timeout.Olho nos logs e vejo os pacotes passando pelas regras de pass, tenho as regras de NAT Outbound manuais.
Algum pode me dar uma luz?
-
@dpirralha said in Página Web com Instabilidade:
durante o dia quando tem muita gente utilizando a Internet e este site, o mesmo começa a cair, apresenta a mensagem de timeout.
Boa tarde,
Isso não será um problema do Squid ou do pfSense ...
Você descreve bem que o problema do "timeout" ocorre sob carga pesada, ergo há um "bottleneck" no sistema.Que tipo de portal (web) é isto, interno ou externo?
Cumps,
+++editar:
o que os logs do servidor da web mostram quando isso acontece? -
É um website externo, falamos com o desenvolvedor, e pra eles quando o site está acessível, as conexões chegam normalmente, sem erros.
Esse timeout é intermitente, mesmo durante o dia hora funciona, hora não.
Mas quando apresenta o timetout pra eles a requisição sem chega, monitorei de dentro do PFSense pelo tcpdump, só consigo ver pacotes tcp_syn, nem chega a sair do PFSense. -
@dpirralha said in Página Web com Instabilidade:
PFSense pelo tcpdump, só consigo ver pacotes tcp_syn
se você vir tcp-syn, a comunicação será iniciada, mas não chegará, pois não há syn-ack por parte do servidor
O ISP não possui restrições periódicas à filtragem?
(ou a linha ISP está congestionada)
O pfSense não permite que você passe o pacote uma só vez e depois o desabilite -
Quando você diz ISP, é a operadora do cliente?
Pensei em algum tipo de ajuste no NAT Outbound. -
@dpirralha said in Página Web com Instabilidade:
Pensei em algum tipo de ajuste no NAT Outbound.
Portanto, este é um servidor Web externo, que diz que está a funcionar bem. Está bem.
caso funcione a qualquer momento atrás do pfSense, este não é um problema do pfSense
se esse comportamento ocorrer em vários locais, pode ser um problema de ISP ou ISP CNAT
não é necessário modificar a sua própria NAT - outbound se o problema for intermitente
Eu observaria o fenômeno com o switch gerenciado Wireshark + (mirror port)
https://www.wireshark.org/ -
@DaddyGo
Quando acesso o PFSense diretamente pelo SSH e faço um "telnet www.site.com 443" acessa normalmente.
Observei com o tcpdump(equivalente ao wireshak) quando estou monitorando os hosts da rede, e só vejo tcp_syn, não tem resposta do site.
O problema da intermitência é a partir dos meus hosts da rede. -
também mostra que esse é um problema de carga
O telnet não causa a mesma carga que várias solicitações simultâneas no horário de pico do ISP em https (443)O Wireshark é melhor que o tcpdump (mais detalhado e lida melhor com as opções de filtro)
@dpirralha "e só vejo tcp_syn, não tem resposta do site"
e esse é o principal problema!monitora a interface WAN para exibir o syn-ack por parte do webservidor IP
-
@DaddyGo
Vou testar e posto o resultado aqui no tópico. -
Boas notícias, estamos a aguardar pelos resultados.
-
Segue Wireshark com a tentativa de conexão ao site, tem exemplo tivemos um timeout da página.
-
sim, pode ser visto na amostra que não há resposta do servidor
existe muita retransmissão TCP, o que significa que o servidor não responde dentro de um determinado período de tempoo próximo estágio da depuração é o próprio servidor, precisamos de saber se o tcp-syn chega neste servidor da web ...
você acessa o servidor web fisicamente?
o seu ISP também precisará descobrir os pacotes que vêm neste 216.245 .......
o que acontece se você faz PING ao servidor?
O que mostra um "traceroute" do host interno?caso contrário, os endereços RFC1918 não precisam ser obscurecidos
-
Quando falei com o desenvolvedor do site e fizemos testes, os pacotes tcp-syn não chegam para o servidor web, não tenho acesso ao servidor web.
O ping e traceroute ao site estão ok, sem problemas.
O estranho é que é intermitente, hora funciona, hora não, por isso acho que é algum erro de configuração do PFSense. -
@dpirralha said in Página Web com Instabilidade:
por isso acho que é algum erro de configuração do PFSense.
Logicamente não, o pfSense não pode ser configurado para funcionar e, posteriormente não
isso seria um grande problema com o NGFW
Pacotes Snort / Suricata / pfBlockerNG podem causar problemas temporários após a atualização, mas isso não é relevante
Sugiro o seguinte teste:
use a varredura de traceroute quando a conexão estiver a funcionar e também quando encontra um problema
o traceroute mostra onde o pacote fica preso
a propósito:
isso é baseado nas nossas conversas até agora, estou a pensar fortemente no erro do provedor (ISP) ou no "bottleneck" -
Analisando o traceroute, percebi que alguns hops mudam quando faço o teste de conexão do próprio PF e quando faço o teste de um host da rede, será que isso indica algo?
-
@dpirralha said in Página Web com Instabilidade:
Analisando o traceroute,
você pode me mostrar..
a saída (output) do traceroute.... -
Este é o traceroute a partir do próprio PFSense:
-
Este é o traceroute a partir de um host da rede:
-
Analisado as rotas de dois hosts diferentes, podemos observar que alguns hops mudam.
-
@dpirralha said in Página Web com Instabilidade:
Analisado as rotas de dois hosts diferentes, podemos observar que alguns hops mudam.
tudo parece bem até a rota americana
então um tempo de resposta significativo é geradopor quê o tráfego está a sair de BR?
