Squid + pfsense



  • Saludos Amigos,

    instale la ultima versión del pfsense una maquina con recursos decentes, 3Gb Ram 2.0GHZ intel dos nucleos, mi problema es el sigueinte:

    La navegación es sumamente lenta, verifico en los logs que el dansguardian responde rápido sin embargo el squid solo devuelve tcp miss y tiempos de respuesta de hasta 5 segundos, es decir que la petición toma 5 segundo y luego empieza a cargar la pagina.

    entiendo que ese delay se deba al tcp miss.

    necesito ayuda urgente



  • Cuantos usuarios tienes con el Squid ?

    El Dansguardian requiere un poco mas de trabajo en la configuracion ya que abre multiples hilos cuando el trafico es intenso.

    Te sugiero leer la documentacion de DansGuardian o utilizar SquidGuard que es un poco mas sencillo de utilizar.
    Dansguardian funciona muy bien y tiene multiples opciones pero tambien eso lo hace mas complicado de afinar.

    Saludos



  • EN el acces.log de DansGuardian se observa buena respuesta, actualmente es un proyecto y lo estoy probando con en una pc, me parece que el problema es el squid 2.x ya que solo se observan tcp miss y le toma 4000 y 5000 mili segundos una petición. intente usar el squid guard y si no mal recuerdo no integra bloquear ssl, entonces tendria que bloquear las paginas https por ip y no es lo que busco.



  • Hola.

    Ya lo tienes en produccion?
    Cuantas maquinas cruzan por ahi?
    Tu DNS  trabaja sin problemas?
    Tu disco es IDE/ SATA/SSD?
    Estas mezclando programas, probastes uno x uno?
    Cuando se pone lento, como esta pfsense? memoria disponible, usando swap…? que proceso esta en la cima?
    Espero no este usando SWAP por que ahi ya tenemos problemas.

    Cuanta memoria le diste a squid?
    Cuanto cache de disco?
    pfsense tiene la option noatime?

    Dices que solo observas tcp_miss, ya revistastes access.log y no hay ningun HIT?
    Si no tienes nada que tenga la palabra HIT tu cache no esta funcionando, tienes que crearlo de nuevo.

    Saludos.



  • saludos periko,

    Aun no esta en produccion y solo estoy pasando una pc por el proxy, no usa el swap y la carga del procesador es normal.

    el disco duro es un sata a 3ghz y de la serie 2.x velocidad de transferencia a 300Mb de acuerdo al estandar.

    no tiene la option de noatime, le otogue 5gb para la cache, ram 1gb.

    en unos minutos comparto un top



  • se puede notar en el top que no hay consumo de recursos,

    cabe destacar que reinstalle squid 2.x y los tiempos han mejorado bastante, pero me preocupa si se mantendra estable para llevarlo a produccion.

    en produccion se sumarian inicialmente unas 60 PCs, anteriormente modifique el loader.conf y agregue unas lineas sugeridas en el forum.

    https://www.dropbox.com/s/gbxyqvkccfgmxmr/top%20pfsense.bmp



  • Que puedo hacer para arreglar la cache, ya que no veo  tcp_HIT, lo unico que obtengo es tcp_miss/2xx



  • Toma foto del top cuando notes la lentitud, ahi es cuando ahi que revisar como esta el sistema.

    no atime

    es una opcion en

    /etc/fstab

    para eliminar una tarea que no tiene mucha utilidad, google noatime.

    Si es una instalacion Full, lee este doc a ver si es tu caso.

      http://pheriko.blogspot.com/2013/10/pfsense-2x-squid3-no-cache-nada.html
     
      Por ahi busca reportes de squid, es una mejor manera de ver si esta o no funcionando el cache, saludos.



  • Gracias Hermano periko,

    reinstale squid 2.x dos veces y mejoro bastante el tiempo de respuesta, con respecto a la cache agregue 127.0.0.1 en el ACl de squid y comence a ver refresh HIT, uno que otro MEM HIT etc.

    Mi preocupación en este momento es que se esta colgando la maquina, me voy del trabajo y al día siguiente la encuentro colgada, lo peor es que no observo ningún evento en los logs que sugiera el problema.

    3GB Ram
    Procesador con 2 nucleos
    el fsck no me sugiere que el disco tenga problemas.



  • En la version 2.1 ya hay un modulo que registra la temperatura del CPU, desconozco que version tienes?
    Saludos.



  • tengo la version 2.1, en el dashboard puedo ver la temperatura del procesador y se mantiene en 40 grados celcius, tengo la misma version otra maquina y lleva meses trabajando normal, diferencia entre las maquinas:

    la maquina estable tiene un procesador AMD y dos Gb de Ram
    la maquina que se cuelga tiene un procesador intel y 3 Gb de Ram

    y como te explicaba anteriormente solo estoy pasando el trafico de una maquina por el proxy



  • @asantos:

    la maquina que se cuelga tiene un procesador intel y 3 Gb de Ram

    Si el equipo tiene tarjetas innecesarias, quitálas (firewire, sonido).

    Si el disco fuese IDE, verifica que la manguera sea de seguridad, de 80 cables, no de 40. Cuela con Windows pero no con FreeBSD.

    Haz diagnóstico al disco –-> Diagnostics: S.M.A.R.T. Monitor Tools

    Si disco correcto, testea memoria con un lápiz USB (o CD) de utilidades que arranque con memtest.

    Si memoria correcta, intenta con un cambio de fuente de alimentación.



  • Buen Dia,

    Muchas Gracias ingeniero bellera, estare probando todo lo que usted me menciona y publico los resultados.

    cabe mencionar que luego de algunos cambios logro algunos HITS en el squid access.log, pero he notado que el espacio en disco consumido es el mismo 503MB y no ha incrementado desde que installe nano. Mas adelante comparto mi configuracion de squid.



  • Nano…????????????????

    amigo, nano no es para usar el cache, vas a acribillar tu equipo.

    Investiga un poco la finalidad de las versiones y sus limitantes, si estas usando NANO, squid va a trabajar pero ya de inicio lo estas matando.

    La nano, usa /var en memoria, si reinicias, todo lo que contiene /var se borra.

    Debe ser una Full Instalation.

    Saludos.



  • bellera–>hice los diagnosticos y probe la memoria con memtest y no se encontraron errores.

    periko--> lo que instale fue el editor de textos nano, para editar archivos a lo que me refería es que no ha incrementado uso de espacio en disco lo que me resulta extraño.

    cabe mencionar que desde que idique al disco la opcion de noatime no se ha vuelto a colgar durante 2  dias, quizas es temprano para cantar victoria.



  • Saludos mi estimado, excelente todos los aportes que te han dado hasta ahora verificalos de igual manera te indico que squid fuera de pfsense te daria un mejor rendimiento ese equipo que nombraste para usarlo con squid seria perfecto incialmente. Actualmente en una de mis redes en produccion tengo pfsense en una maquina de bajo rango solo como firewall y enrutador. En otra pc con mejores capacidades tengo debian con squid, apache y bind y funciona excelente. Estamos a tu orden


Log in to reply