El 05/02/15 a las 10:08, Camaleón escribió:
Hola, gracias por las sugerencias anteriores. Explico, las pruebas que he realizado han sido desde la misma consola del Proxy, desde donde no uso el servicio de Squid, porque es el mismo servidor Squid, es decir: sin pasar por el Proxy desde el mismo proxy, realizo estas pruebas de conexión, usando el comando:El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió: No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar de responder al creado un mensaje nuevo? Hay que responder a los mensajes para que queden bien archivos, de lo contrario se pierde contexto.Hola, muchas gracias por la respuestas a este hilo, he seguido cada una de sus sugerencias, y por más que reviso el tema una y otra vez, me sigue pareciendo que no es un problema del squid,Veamos... cuando pasas a través de squid tienes problemas y cuando sales directamente a través del router no ¿y dices que no es problema del proxy? :-)
root@proxy:~# openssl s_client -connect www.facebook.com:443Y el mismo me arroja el error que le comentaba anteriormente, cuando en realidad, deberia conectar sin problemas porque tiene permitido todo el tráfico en Output en el firewall principal, esto es sin necesidad de usar el proxy como bien le decía, por lo que he descartado que sea un problema del Squid como tal. Otro elemento es que al sitio de facebook, si puedo mantener una conexión a toda hora al puerto 5222 de su chat, asi como al puerto 80 de www.facebook.com y facebook.com, claro al puerto 80 solo lo he usado para realizar puebas de conectividad a la IP 31.13.73.1, que es la que por https da el problema de conexión.
Usando el Proxy en el navegador de los clientes, por momentos puedo entrar al sitio de facebook, pero en otros momentos no puedo, pero sin embargo puedo entrar en cualquier otro sitio https, ya sea gmail, google, yahoo, etc, cualquier otro sitio por https en cualquier momento sin problemas, solo da este problema con el sitio de facebook, que es a donde mas se generan peticiones a diario, en casi todas las horas del día. No tengo ninguna regla en el squid.conf que deniegue el acceso a facebook por horario, solo una regla que no permite almacenar en cache nada del dominio facebook, todo lo solicita directamente.le explico, las siguientes pruebas que he realizado: 1- Desde la consola del server Proxy, el cual tiene una IP en un segmento de la red LAN, y sale a internet mediante un SNAT ubicado en el firewall principal, el cual acepta todo el trafico saliente del proxy, hice una prueba de conexión utilizando openssl como me recomendó, y en un primer momento, conectó con el sitio de facebook, devolviendo el siguiente fragmento:Hum, no. Mejor que hagas las pruebas desde lo clientes, no el servidor.root@proxy:~# openssl s_client -connect facebook.com:443 CONNECTED(00000003)(...) Bueno, ese equipo conecta sin problemas al servidor, pero aún así conviene que revises el registro de Squid para ver qué es lo que hace y cómo registra la conexión (o si no registra nada).2- Luego hice la misma operación, pero indicando: openssl s_client -connect www.facebook.com:443 Y me devuelve un error, con lo siguiente: connect: Connection timed out connect:errno=110Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes alguna regla en el proxy que permite unas conexiones pero rechaza otras. Hasta que no revises los registros vamos a seguir especulando lo que puede estar pasando ;-)
Revice los enlaces recomendados, solo me queda por probar la sugerencia de desactivar el ipv6 en el Squid, porque incluso lo desactive en el sysctl.conf del sistema, y añadí una línea en el squid.conf que indica que todas las resoluciones dns las haga primeramente usando IPv4, lo hice despues que ya estaba dando el problema, a ver si lo solucionaba, pero nada, esta es la directiva: dns_v4_first onAlgo curioso tambien, es que cuando hago un telnet desde la consola a: telnet www.facebook.com 443, me devuelve una IP con dirección: 31.13.73.1, y haciendo el mismo telnet, pero solo a: telnet facebook.com 443, si conecta, pero devolviendo la IP 173.252.120.6, devolviendo la conexión satisfactoria. Trying 173.252.120.6... Connected to facebook.com. Escape character is '^]'Sí, yo también recibo esos datos: sm01@stt008:~$ telnet facebook.com 443 Trying 173.252.120.6... Connected to facebook.com. Escape character is '^]'. sm01@stt008:~$ telnet www.facebook.com 443 Trying 31.13.83.8... Connected to star.c10r.facebook.com. Escape character is '^]'.Es como si declarando el CNAME www de este dominio no pudiera conectar, o a la IP según la ubicación geográfica desde donde accedo, pero como explicaba en el correo anterior, no sucede periódicamente en el día, sino a cada rato en el día, sin embargo el acceso a: chat.facebook.com al puerto 5222, siempre se mantiene, y nunca da problemas, y es mediante el mismo proxy desde los clientes.Son dos direcciones distintas, sí, y ambas tienen habilitado IPv6: sm01@stt008:~$ host facebook.com facebook.com has address 173.252.120.6 facebook.com has IPv6 address 2a03:2880:2130:cf05:face:b00c:0:1 facebook.com mail is handled by 10 msgin.vvv.facebook.com. sm01@stt008:~$ host www.facebook.com www.facebook.com is an alias for star.c10r.facebook.com. star.c10r.facebook.com has address 31.13.83.8 star.c10r.facebook.com has IPv6 address 2a03:2880:f004:1:face:b00c:0:1 star.c10r.facebook.com mail is handled by 10 msgin.vvv.facebook.com.- Pudiera ser que Squid tuviera problema de resolución Ipv6, pero sería solo con el bloque IP de facebook, el cual no puede resolver??, porque con sitios como google, youtube, etc, y accesos https a otros sitios no da problemas. Tengo la resolución Ipv6 desactivada en sysctl.conf del sistema.Revisa los enlaces que te pasé, consulta los registros de squid para ver qué sucede realmente y prueba desactivando IPv6 (si está habilitado en squid) para ver si obtienes algún resultado distinto. Saludos,
El fragmento del logs de Squid es el siguiente: root@proxy-usr:~# tailf /var/log/squid3/access.log | grep facebook1423170327.000 59993 10.13.8.12 TCP_MISS/503 0 CONNECT 4-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 - 1423170330.001 59990 10.13.5.20 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 - 1423170335.000 59998 10.13.9.155 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 - 1423170339.000 59966 10.14.5.190 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 - 1423170341.001 59994 10.13.11.27 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 - 1423170341.001 59985 10.14.5.67 TCP_MISS/503 0 CONNECT 0-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 -
Aquí se ve que no puede conectar con el sitio de facebook, al 443, pero sin embargo, si puede conectar en las peticiones https de gmail, yahoo, youtube, etc, como muestra el siguiente fragmento del log.
1423170677.469 10173 10.13.1.6 TCP_MISS/200 3986 CONNECT lh3.googleusercontent.com:443 raydel DIRECT/216.58.219.97 - 1423170695.001 59852 10.13.1.6 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 - 1423170699.718 11651 10.13.1.6 TCP_MISS/200 4298 CONNECT ssl.gstatic.com:443 user DIRECT/216.58.219.131 - 1423170699.914 198 10.13.1.6 TCP_MISS/301 745 GET http://www.youtube.com/ user DIRECT/216.58.219.110 text/html 1423170710.730 10193 10.13.1.6 TCP_MISS/200 4297 CONNECT s.ytimg.com:443 user DIRECT/216.58.219.110 - 1423170717.338 2 10.13.1.6 TCP_HIT/301 849 GET http://yahoo.es/ user NONE/- text/html 1423170718.482 10899 10.13.1.6 TCP_MISS/200 4297 CONNECT apis.google.com:443 user DIRECT/216.58.219.142 - 1423170719.155 668 10.13.1.6 TCP_MISS/200 6421 CONNECT s.yimg.com:443 user DIRECT/190.90.15.4 - 1423170720.731 19500 10.13.1.6 TCP_MISS/200 4296 CONNECT i.ytimg.com:443 user 1423170720.733 11187 10.13.1.6 TCP_MISS/200 4297 CONNECT ssl.gstatic.com:443 user DIRECT/216.58.219.131 - 1423170720.734 19451 10.13.1.6 TCP_MISS/200 3970 CONNECT yt3.ggpht.com:443 user DIRECT/216.58.219.97 -
Estuve pensando en que pudiera ser que facebook bloque por momentos mi IP, pero desde mi PC de trabajo, no uso proxy, salgo directamente a Internet mediante el firewall, como mismo hace el Proxy, y si puedo conectar con facebook, sin ningún problema todo el día, en mi PC uso los mismos DNS que usa el servidor Proxy.
Gracias a todos por las respuestas. Saludos -- Albet Raydel Hernández Martínez. *Especialista de Tecnología.* *Administrador de Redes y Sistemas.* *Móvil:* 0058-4265200309. *Dirección:* Ave. Conde. Hotel "El Conde". Caracas. Venezuela.