Загрузка файлов через Squid не завершается
-
Установлен PfSense 2 + Squid + SquidGuard
При скачивании файлов с некоторых сайтов соединение устанавливается, но загрузка зависает, после некоторого времени остаётся неполный файл. Поиском вышел на http://wiki.squid-cache.org/KnowledgeBase/BrokenWindowSize - симптомы полностью совпадают.The issue comes when a firewall or other packet inspection and filtering device gets its grubby fingers into the packet stream. The correct behaviour for a firewall which does not understand a TCP option such as TCP scaling should be to remove the option entirely. However some firewalls are zeroing the TCP scale field. Both peers believe the other peer has ACKed its sent scaling factor when in fact they've ACKed a scaling factor of 0. Traffic then begins flowing normally but the TCP windows advertised by both peers are interpreted incorrectly.
По указанной статье пробовал в /etc/sysctl прописывать net.inet.tcp.rfc1323=0, в /etc/rc.d/netoptions уже есть sysctl net.inet.tcp.rfc1323=0 >/dev/null, в /etc/defaults/rc.conf прописал tcp_extensions="NO", но это не дало результата - в системе после перезагрузки всё равно стоит единица. Секунду-другую-десятую после перезагрузки файл можно получить, а потом опять загрузки замерзают.
Вопросы:
1. Спасите! :o
2. Где задаются настройки Sysctl?
3. Как диагностировать?
4. А может собака в другом месте порылась? -
Хм..сквид в каком режиме ? Попробуйте переустановить оба пакета. Поставьте только сквид и диагностируйте некоторое время.
З.ы. Без этих пакетов pf не рвет загрузки ? Может проблемы с аппаратной частью (сетевая, ОЗУ и т.д.). Или у прова проблемы с каналом? Как выход в Сеть организован?
-
На проблемы с железом не похоже, канал хороший(по нашим меркам - 10 Мбит/с), выход в сеть через pppoe, через сетевую карту, далее преобразователь в оптику.
Попробовал удалить оба пакета и после перезагрузки у меня даже веб-интерфейс не загрузился. Пытался из шелла тащить файлы fetch'ем - тоже как-то нешустро.
Сделал дамп соединения - может там что-нибудь вылезет, только опыта у меня в этом нет.
Началась эта трагическая история ещё в прошлом году, возможно после апдейта PfSense. До этого как-то всё ровно было, никто не жаловался. В целом всё работает, но есть один ключевой сайт - zakupki.gov.ru, откуда периодически нужно скачивать файлы, и там это работает непредсказуемо. Ещё сайт районной администрации - стабильно не даёт скачивать файлы с расширением doc. В логах сквида и его гарда ничего, из шелла PfSense тоже затыки. Но, повторяюсь, описание симптомов точно как на приведённой странице. из вики сквида.
После удаления пробовал отключить SquidGuard - тоже самое. Загрузка начинается и висит. -
В файлике прилагаю протокол обмена с временными метками. В вайршарке это выглядит зловеще - половина строчек в дампе - TCP Dup ACK и TCP Retransmission. За 70 секунд файл так и не скачался, дальше ждать не стал - я это уже видел неоднократно.
-
В файлике прилагаю протокол обмена с временными метками. В вайршарке это выглядит зловеще - половина строчек в дампе - TCP Dup ACK и TCP Retransmission. За 70 секунд файл так и не скачался, дальше ждать не стал - я это уже видел неоднократно.
поставь любой комп, подними соединение, пробуй скачать если проблем нет то ковыряем сенс (что врятли
-
Началась эта трагическая история ещё в прошлом году, возможно после апдейта PfSense. До этого как-то всё ровно было, никто не жаловался.
1.Удаляйте ВСЕ пакеты из pf
2.Экспортируйте настройки в файл.
3. Ставьте pf "на чистую"
4. Импортируйте настройки.
5. Проверяйте скачивание с того чудо-сайта.
6. Если все ок, ставьте сквид и снова проверяйте.
7. Аналогично со сквидгвардом.Если и это не поможет - ставите pf "на чистую" и далее все настраиваете руками, т.е. БЕЗ заливки старого конфига.
Иначе вы еще больше больше времени убьете на выяснение проблем со сквидом.
З.ы.
Попробовал удалить оба пакета и после перезагрузки у меня даже веб-интерфейс не загрузился.
Делайте выводы. Такого быть не должно 101%. У меня после установки\удаления пакетов веб-морда уж точно не отваливается.
ИМХО - переустановка pf-а, однозначно. Советы - выше. -
ооф топ: у меня Сенс 1.2.3 сдыхал после включения opt интерфейса, правила firewall накрывались медным тазом (судя по ошибке в логах).
P.S. Если времени много, можно на сенс поставить lynx и попробовать с него качать файлы и смотреть, скачаются ли :)))
-
Всем спасибо. Буду ковырять. Поищу жесткий диск, чтобы не трогать рабочий и после работы займусь, а то вчера народ стонал во время моих экпериментов. Такое впечатление, что больница не на лекарствах работает, а на интернете. :)
-
Всем спасибо. Буду ковырять. Поищу жесткий диск, чтобы не трогать рабочий и после работы займусь, а то вчера народ стонал во время моих экпериментов. Такое впечатление, что больница не на лекарствах работает, а на интернете. :)
Вставлю снова свои пять копеек ;) Поставьте pf в виртуалку и "мучайтесь". А реальный не трогайте.
