Re: [OT-Ubuntu] Re: Proxy+ Sitio HTTPS

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT-Ubuntu] Re: Proxy+ Sitio HTTPS
From: Camaleón <noelamac@gmail.com>
Date: Fri, 6 Feb 2015 15:27:00 +0000 (UTC)
Message-id: <[🔎] pan.2015.02.06.15.27.00@gmail.com>
Reply-to: "A MI NO, ENVIA A LA LISTA" <noelamac+A_MI_NO_ENVIA_A_LA_LISTA@gmail.com>
References: <54D27395.60604@vnz.uci.cu> <[🔎] 54D27AF8.7030605@vnz.uci.cu> <[🔎] pan.2015.02.05.14.38.26@gmail.com> <[🔎] 54D3DF7D.1090900@vnz.uci.cu>

El Thu, 05 Feb 2015 16:54:13 -0430, Raydel Hernández Martínez escribió:

> El 05/02/15 a las 10:08, Camaleón escribió:
>> El Wed, 04 Feb 2015 15:33:04 -0430, Raydel Hernández Martínez escribió:
>>
>> No sé por qué me aparece este mensaje suelto, deshilado ¿quizá en lugar
>> de responder al creado un mensaje nuevo? Hay que responder a los
>> mensajes para que queden bien archivos, de lo contrario se pierde
>> contexto.
>>
>>> Hola, muchas gracias por la respuestas a este hilo, he seguido cada
>>> una de sus sugerencias, y por más que reviso el tema una y otra vez,
>>> me sigue pareciendo que no es un problema del squid,

>> Veamos... cuando pasas a través de squid tienes problemas y cuando
>> sales directamente a través del router no ¿y dices que no es problema
>> del proxy? :-)

> Hola, gracias por las sugerencias anteriores. Explico, las pruebas que
> he realizado han sido desde la misma consola del Proxy, desde donde no
> uso el servicio de Squid, porque es el mismo servidor Squid, es decir:
> sin pasar por el Proxy desde el mismo proxy, realizo estas pruebas de
> conexión, usando el comando:

Es que eso no sirve, es decir, para hacer las pruebas tienes que hacerlo 
desde un cliente que accede a Internet a través del proxy de lo contrario 
no sirve de nada porque ya sabemos que sin pasar por Squid todo funciona 
bien.

> root@proxy:~# openssl s_client -connect www.facebook.com:443
> 
> Y el mismo me arroja el error que le comentaba anteriormente, cuando en
> realidad, deberia conectar sin problemas porque tiene permitido todo el
> tráfico en Output en el firewall principal, esto es sin necesidad de
> usar el proxy como bien le decía, por lo que he descartado que sea un
> problema del Squid como tal. 

Entonces tienes dos problemas y no convendría mezclarlos:

1/ Problemas intermitentes de conexión desde equipos que NO pasan por 
proxy

2/ Problemas con Squid ya que los clientes reciben un "time out" cuando 
intentan acceder a la página de facebook.

Para el primer problema, y si tienes cortafuegos de por medio, te digo 
lo mismo que con Squid: revisa los registros, en este caso de iptables, 
para ver que si la petición está siendo rechazada o bloqueada por algún 
motivo.

> Otro elemento es que al sitio de facebook, si puedo mantener una
> conexión a toda hora al puerto 5222 de su chat, asi como al puerto 80
> de www.facebook.com y facebook.com, claro al puerto 80 solo lo he usado
> para realizar puebas de conectividad a la IP 31.13.73.1, que es la que
> por https da el problema de conexión.

No te fíes de las direcciones IP porque los servicios como facebook usan 
configuraciones redundantes, cdn, etc... y tienen varias direcciones IP 
asignadas a una misma máquina.

(...)

>>> 2- Luego hice la misma operación, pero indicando: openssl s_client
>>> -connect www.facebook.com:443 Y me devuelve un error, con lo
>>> siguiente: connect: Connection timed out connect:errno=110

>> Curioso. Yo conecto sin problemas, lo cual podría indicar que tienes
>> alguna regla en el proxy que permite unas conexiones pero rechaza
>> otras. Hasta que no revises los registros vamos a seguir especulando lo
>> que puede estar pasando ;-)

> Usando el Proxy en el navegador de los clientes, por momentos puedo
> entrar al sitio de facebook, pero en otros momentos no puedo, pero sin
> embargo puedo entrar en cualquier otro sitio https, ya sea gmail,
> google, yahoo, etc, cualquier otro sitio por https en cualquier momento
> sin problemas, solo da este problema con el sitio de facebook, que es a
> donde mas se generan peticiones a diario, en casi todas las horas del
> día. No tengo ninguna regla en el squid.conf que deniegue el acceso a
> facebook por horario, solo una regla que no permite almacenar en cache
> nada del dominio facebook, todo lo solicita directamente.

¿Y qué sucede cuando los clientes acceden a facebook sin pasar por el 
proxy? ¿funciona, no funciona...? Si funciona bien (como creo que has 
indicado antes) parece lógico pensar que algo de Squid les impide la 
conexión.

(...)

>>> - Pudiera ser que Squid tuviera problema de resolución Ipv6, pero
>>> sería solo con el bloque IP de facebook, el cual no puede resolver??,
>>> porque con sitios como google, youtube, etc, y accesos https a otros
>>> sitios no da problemas. Tengo la resolución Ipv6 desactivada en
>>> sysctl.conf del sistema.

>> Revisa los enlaces que te pasé, consulta los registros de squid para
>> ver qué sucede realmente y prueba desactivando IPv6 (si está habilitado
>> en squid) para ver si obtienes algún resultado distinto.
>>
>>
> Revice los enlaces recomendados, solo me queda por probar la sugerencia
> de desactivar el ipv6 en el Squid, porque incluso lo desactive en el
> sysctl.conf del sistema, y añadí una línea en el squid.conf que indica
> que todas las resoluciones dns las haga primeramente usando IPv4, lo
> hice despues que ya estaba dando el problema, a ver si lo solucionaba,
> pero nada, esta es la directiva: dns_v4_first on

Creo que con esa directiva (dns_v4_first) no desactivas el soporte de 
IPv6 en squid, sólo le dices que consulte primero usando IPv4 pero 
igualmente usa IPv6.

> El fragmento del logs de Squid es el siguiente:
> 
> root@proxy-usr:~# tailf /var/log/squid3/access.log | grep facebook
> 
> 1423170327.000  59993 10.13.8.12 TCP_MISS/503 0 CONNECT 4-edge-chat.facebook.com:443 user DIRECT/31.13.73.1 -
> 1423170330.001  59990 10.13.5.20 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 -

(...)

> Aquí se ve que no puede conectar con el sitio de facebook, al 443, pero
> sin embargo, si puede conectar en las peticiones https de gmail, yahoo,
> youtube, etc, como muestra el siguiente fragmento del log.
> 
> 1423170677.469  10173 10.13.1.6 TCP_MISS/200 3986 CONNECT lh3.googleusercontent.com:443 raydel DIRECT/216.58.219.97 -
> 1423170695.001  59852 10.13.1.6 TCP_MISS/503 0 CONNECT www.facebook.com:443 user DIRECT/31.13.73.1 -
> 1423170699.718  11651 10.13.1.6 TCP_MISS/200 4298 CONNECT ssl.gstatic.com:443 user DIRECT/216.58.219.131 -
> 1423170699.914    198 10.13.1.6 TCP_MISS/301 745 GET http://www.youtube.com/ user DIRECT/216.58.219.110 text/html

(...)

> Estuve pensando en que pudiera ser que facebook bloque por momentos mi
> IP, pero desde mi PC de trabajo, no uso proxy, salgo directamente a
> Internet mediante el firewall, como mismo hace el Proxy, y si puedo
> conectar con facebook, sin ningún problema todo el día, en mi PC uso los
> mismos DNS que usa el servidor Proxy.

Si buscas en Google el significado de ese código (TCP_MISS/503) te aparecen 
algunas sugerencias del cuál podría ser el origen del problema:

https://www.google.es/webhp?complete=0&hl=en&gws_rd=cr,ssl&ei=ptvUVIPFIIKvUf6EhKgC#complete=0&hl=en&q=TCP_MISS%2F503+facebook

Por otra parte, prueba a usar distintos servidores DNS (p. ej., los de tu
ISP, los de Google, los de OpenDNS...) para ver si notas alguna diferencia, 
es decir, si aparecen menos errores o sigue igual.

Saludos,

-- 
Camaleón

Reply to:

References:
- [OT-Ubuntu] Re: Proxy+ Sitio HTTPS
  - From: Raydel Hernández Martínez <raydel@vnz.uci.cu>
- Re: [OT-Ubuntu] Re: Proxy+ Sitio HTTPS
  - From: Camaleón <noelamac@gmail.com>
- Re: [OT-Ubuntu] Re: Proxy+ Sitio HTTPS
  - From: Raydel Hernández Martínez <raydel@vnz.uci.cu>

Prev by Date: Re: Doble arranque debian 7.8 y windows 8.1
Next by Date: Re: Doble arranque debian 7.8 y windows 8.1
Previous by thread: Re: [OT-Ubuntu] Re: Proxy+ Sitio HTTPS
Next by thread: Re: Ha superado su límite
Index(es):
- Date
- Thread