LINUX.ORG.RU
решено ФорумAdmin

Squid и https

 


0

1

Добрый вечер! Целый вечер гуглю, но никак не могу найти решение адекватное решение.

Squid Cache: Version 3.4.8
 linux
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--disable-arch-native' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper' '--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group' '--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid3' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-build-info= linux' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector-strong -Wformat -Werror=format-security'

При заходе страница сквида:

The following error was encountered while trying to retrieve the URL: !URL!
Connection to [unknown] failed.

The system returned: (110) Connection timed out

The remote host or network may be down. Please try the request again.

Конфиг:

acl localnet src 1.1.1.1
http_access allow localnet
http_access deny all


http_port SERVER_IP:40001 name=p40001
и дальше tcp_outgoing_address и тд

Как пустить траф по https? Пробовал уже много вариантов, но решение так и не нашел.

Спасибо!


Ответ на: комментарий от Pinkbyte

При переходе в браузере через прокси-сервер, пишет ошибку time out. Хотя по через айпи ipv6 без проблем хожу на http сайты, именно проблема с https.

LinuxUs
() автор топика
Ответ на: комментарий от LinuxUs

Вопрос не в этом.

Ну тогда ты в курсе, я надеюсь, что если этот адрес находится на другом физическом/виртуальном интерфейсе (алиасы не в счет), то без манипуляций с policy routing ничего работать не будет.

Ну и обычная рекомендация - проверить правила iptables INPUT/OUTPUT, дабы трафик проходил.

anonymous
()
Ответ на: комментарий от anonymous

Да, конечно. Но если бы была проблема с интерфейсами, то по http трафик не ходил бы, верно?

LinuxUs
() автор топика

В логи то что пишет?

squid -v
Squid Cache: Version 3.5.15
Service Name: squid
configure options: '--build=i686-redhat-linux-gnu' …
'--enable-ssl' '--enable-ssl-crtd' …
'--with-openssl' …

Kuzz ★★★
()
Последнее исправление: Kuzz (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

Через раз все таки работает, по tcpdump идет нормально коннект и ответ, а потом через 5 минут не реагирует.

LinuxUs
() автор топика
Ответ на: комментарий от Kuzz

Вообще ничего из этих дополнений не стоит. Ставил из репов.

LinuxUs
() автор топика
Ответ на: комментарий от Pinkbyte

Может есть еще какие-то варианты?) Или поможете за скромную благодарность в виде монет?)

LinuxUs
() автор топика
Ответ на: комментарий от LinuxUs

TCP_MISS/503 0 - squid не может связаться.

Например, lh4.googleusercontent.com резолвится в ipv6 а сквиду доступен только ipv4.
Или для tcp_outgoing_address не сделаны соответствующие правила ip rule.

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Вот еще такое нашел:

22:57:16.986211 IP6 2a00:_:a7::1e0.38583 > p36-shv-01-ams3.sfafs.net.https: Flags [S], seq 3437619332, win 14400, options [mss 1440,sackOK,TS val 4244168 ecr 0,nop,wscale 3], length 0
22:57:33.018177 IP6 2a00:_:a7::1e0.38583 > p36-shv-01-ams3.sfafs.net.https: Flags [S], seq 3437619332, win 14400, options [mss 1440,sackOK,TS val 4248176 ecr 0,nop,wscale 3], length 0

Какие именно нужны правила чтобы по ipv6 заработало? Или если можно, в какую сторону копать.

Спасибо!

LinuxUs
() автор топика
Ответ на: комментарий от Kuzz

Проблема в том, что не работает именно по https, допустим facebook не открывается по https https://facebook.com/ не открывается, а вот - http://ipv6.whatismyv6.com/ открывается, потому что по http.

Решить проблему через - dns_v4_first on не вариант(

Может еще есть идеи?)

LinuxUs
() автор топика
Ответ на: комментарий от LinuxUs

Идея в том, что не squid виноват. Для проверки этой идеи и надо пустить весь траф по заведомо рабочему каналу.

А сами затыки могут быть в маршрутизации, или с mtu лажа (как раз пару дней назад наблюдал как с одного и того-же сервера одни файлы нормально приходили, а другие по тайм-ауту обламывались)

Kuzz ★★★
()
Ответ на: комментарий от Kuzz

Я может не так думаю, но разве может быть что ipv6 по http ходит а по https не может ходить, и это проблема не со squid3 а в системе, я все правильно понял?

LinuxUs
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.