Re: [OT-Ubuntu] Re: Proxy+ Sitio HTTPS
El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió:
No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
de responder al creado un mensaje nuevo? Hay que responder a los mensajes
para que queden bien archivos, de lo contrario se pierde contexto.
> Hola, muchas gracias por la respuestas a este hilo, he seguido cada una
> de sus sugerencias, y por más que reviso el tema una y otra vez, me
> sigue pareciendo que no es un problema del squid,
Veamos... cuando pasas a través de squid tienes problemas y cuando sales
directamente a través del router no ¿y dices que no es problema del
proxy? :-)
> le explico, las siguientes pruebas que he realizado:
>
> 1- Desde la consola del server Proxy, el cual tiene una IP en un
> segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el
> firewall principal, el cual acepta todo el trafico saliente del proxy,
> hice una prueba de conexión utilizando openssl como me recomendó, y en
> un primer momento, conectó con el sitio de facebook, devolviendo el
> siguiente fragmento:
Hum, no. Mejor que hagas las pruebas desde lo clientes, no el servidor.
> root@proxy:~# openssl s_client -connect facebook.com:443
> CONNECTED(00000003)
(...)
Bueno, ese equipo conecta sin problemas al servidor, pero aún así
conviene que revises el registro de Squid para ver qué es lo que hace y
cómo registra la conexión (o si no registra nada).
> 2- Luego hice la misma operación, pero indicando: openssl s_client
> -connect www.facebook.com:443 Y me devuelve un error, con lo siguiente:
> connect: Connection timed out connect:errno=110
Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes
alguna regla en el proxy que permite unas conexiones pero rechaza otras.
Hasta que no revises los registros vamos a seguir especulando lo que
puede estar pasando ;-)
> Algo curioso tambien, es que cuando hago un telnet desde la consola a:
> telnet www.facebook.com 443, me devuelve una IP con dirección:
> 31.13.73.1, y haciendo el mismo telnet, pero solo a: telnet facebook.com
> 443, si conecta, pero devolviendo la IP 173.252.120.6, devolviendo la
> conexión satisfactoria.
>
> Trying 173.252.120.6...
> Connected to facebook.com.
> Escape character is '^]'
Sí, yo también recibo esos datos:
sm01@stt008:~$ telnet facebook.com 443
Trying 173.252.120.6...
Connected to facebook.com.
Escape character is '^]'.
sm01@stt008:~$ telnet www.facebook.com 443
Trying 31.13.83.8...
Connected to star.c10r.facebook.com.
Escape character is '^]'.
> Es como si declarando el CNAME www de este dominio no pudiera conectar,
> o a la IP según la ubicación geográfica desde donde accedo, pero como
> explicaba en el correo anterior, no sucede periódicamente en el día,
> sino a cada rato en el día, sin embargo el acceso a: chat.facebook.com
> al puerto 5222, siempre se mantiene, y nunca da problemas, y es mediante
> el mismo proxy desde los clientes.
Son dos direcciones distintas, sí, y ambas tienen habilitado IPv6:
sm01@stt008:~$ host facebook.com
facebook.com has address 173.252.120.6
facebook.com has IPv6 address 2a03:2880:2130:cf05:face:b00c:0:1
facebook.com mail is handled by 10 msgin.vvv.facebook.com.
sm01@stt008:~$ host www.facebook.com
www.facebook.com is an alias for star.c10r.facebook.com.
star.c10r.facebook.com has address 31.13.83.8
star.c10r.facebook.com has IPv6 address 2a03:2880:f004:1:face:b00c:0:1
star.c10r.facebook.com mail is handled by 10 msgin.vvv.facebook.com.
> - Pudiera ser que Squid tuviera problema de resolución Ipv6, pero sería
> solo con el bloque IP de facebook, el cual no puede resolver??, porque
> con sitios como google, youtube, etc, y accesos https a otros sitios no
> da problemas. Tengo la resolución Ipv6 desactivada en sysctl.conf del
> sistema.
Revisa los enlaces que te pasé, consulta los registros de squid para ver
qué sucede realmente y prueba desactivando IPv6 (si está habilitado en
squid) para ver si obtienes algún resultado distinto.
Saludos,
--
Camaleón
Reply to: