Доброго времени суток.
Столкнулся со следующей проблемой: имеем прокси-сервер:> squid -v
Squid Cache: Version 3.1.19
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth YP' '--enable-digest-auth-helpers=password' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-pf-transparent' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.2' 'build_alias=i386-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.19 --enable-ltdl-convenienceПри попытке выйти на https://google.com (accounts.google.com, gmail.com, etc), в браузере (Google Chrome) вываливается ошибка: Ошибка 111 (net::ERR-TUNNEL-CONNECTION-FAILED): неизвестная ошибка. Обновляем страницу (F5), и все загружается на ура
access.log:
1340265714.287 90 10.1.2.141 TCP_MISS/503 0 CONNECT accounts.google.com:443 - DIRECT/- -
1340265724.683 10235 10.1.2.141 TCP_MISS/200 0 CONNECT accounts.google.com:443 - DIRECT/74.125.143.84 -Вопрос: почему не директит с первого раза? Уже пробовал и always_direct allow SSL, и кеширование гугла отключал, и dns_nameservers подсовывал, и с размером буфера баловался, и с MTU на клиенте.
Что характерно, прочие SSL ресурсы открываются с первого пинка и без каких-либо затруднений:access.log:
1340266039.778 1207 10.1.2.141 TCP_MISS/200 21981 CONNECT login.live.com:443 - DIRECT/65.54.165.177 -
1340266146.933 1380 10.1.2.141 TCP_MISS/200 5724 CONNECT login.yahoo.com:443 - DIRECT/209.191.92.114 -
и т.д.Такое впечатление, что какие-то запросы или ответы теряются. При этом без прокси все работает нормально.
Хотя бы в какую сторону копать?
P.S. Решение, найденное на http://squid-web-proxy-cache.1019090.n4.nabble.com/squid-and... - не для меня, ибо там у человека есть вышестоящий прокси.
P.P.S. Проблема появилась достаточно давно. Обновление сквида до последней версии ее не решило.
> Доброго времени суток.
> Столкнулся со следующей проблемой: имеем прокси-сервер:...
> P.P.S. Проблема появилась достаточно давно. Обновление сквида до последней версии ее не
> решило.Подтверждаю, аналогичная ситуация. и не только с Гугловскими сайтами. Еще и vk.com раздражает.
А не связано ли это с SPDY? Отключать его в браузере не пробовали?
> А не связано ли это с SPDY? Отключать его в браузере не
> пробовали?Проблема возникла и на машинах, браузеры которых не поддерживают SPDY в виду того, что долго не обновлялись. Скорее всего, проблема не в нем.
>> А не связано ли это с SPDY? Отключать его в браузере не
>> пробовали?
> Проблема возникла и на машинах, браузеры которых не поддерживают SPDY в виду
> того, что долго не обновлялись. Скорее всего, проблема не в нем.Проверил на 14 Файрфоксе с отключенным SPDY - проблема осталась
IPV6 отключить не помогает?
> IPV6 отключить не помогает?Спасибо! первый проблеск надежды, что все будет хорошо!
отключил поддержку ipv6squid -v
Squid Cache: Version 3.1.20
configure options: ..... '--disable-ipv6' ....вроде, помогло. пойду тестить. о результатах отпишусь.
>> IPV6 отключить не помогает?уже неделю - полет нормальный. спасибо огромное!
>>> IPV6 отключить не помогает?
> уже неделю - полет нормальный. спасибо огромное!Скажите, как отключить поддержку IPv6 не удаляя сквид? Это возможно?
> Скажите, как отключить поддержку IPv6 не удаляя сквид? Это возможно?Во-первых, там ввирху сквид не "удаляли", а пересобирали.
Во-вторых, в интерентах куууча заметок, как отключить ipv6 в _OS_ Linux.
В-третих, duckduckgo.com/?q=squid+отключить+поддержку+IPv6 поведал мне о http://www.opennet.ru/base/net/squid_conf.txt.html, штудируя который вокруг вхожде**ний** букв ipv6 можно нарыть Много.
squid.conf:...
tcp_outgoing_address 0.0.0.0 all
Товарищи, та же самая проблема. Версия сквида 3.1.20. Отключил поддержку ipv6 следующими способамиДобавил в sysctl.conf
net.inet6.ip6.v6only=0
В директории /sys/i386/conf из файла GENERIC удалил след строки
options INET6 # IPv6 communications protocols
options SCTP # Stream Control Transmission ProtocolНо, к сожалению, не помогло. В гугл так и не пускает. Помогите, пожалуйста. Может быть, я что-то не так сделал? Недавно общаюсь с FreeBSD, опыта пока маловато
я тут тоже столкнулся с отключением у сквида ipv6. Отключил его в ядре (на Ubuntu server 12.04) строчкамиnet.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1Ребутнул сервак, сквид отказался пускать в инет. В логах постоянно при попытке выйти на какой либо сайт
externalAclLookup: 'ldap_check' queue overload (ch=0x7f2ab463e588)
а при запуске сквида:
WARNING: Cannot run '/usr/lib/squid3/squid_ldap_group' process.
10/10 12:54:50| commBind: Cannot bind socket FD 591 to [::1]: (99) Cannot assign requested address
10/10 12:54:50| commBind: Cannot bind socket FD 592 to [::1]: (99) Cannot assign requested address
10/10 12:54:50| ipcCreate: Failed to create child FD.сквид из респозитария и собран с ipv6. Пересобирать не хочется из исходиков. В итоге всякие варианты пробовал, но помогло добавление в строчку "external_acl_type" параметра "ipv4"
external_acl_type ldap_check ttl=1200 ipv4 children=100 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=mydom,dc=local" -f "(&(sAMAccountName=%v)(memberof:1.2.840.113556
.1.4.1941:=cn=%a,OU=Internet-Groups,DC=mydom,DC=local))" -D "squid@mydom.local" -w "password" -K dc1.mydom.localМало ли, кто столкнется с подобной проблемой (у меня авторизация через керберос). Кстати, сразу избавился еще от одного глюка, который не мог решить. В гугль хроме есть удобная вещь, как перевод странички на русский язык. Так вот с виндовых машин эта функция прекрасно в нем работала, а со своего компа с убунтой постоянно получал динайды. Так как только отключил ipv6, сразу эта фунция заработала.
>[оверквотинг удален]
> external_acl_type ldap_check ttl=1200 ipv4 children=100 %LOGIN /usr/lib/squid3/squid_ldap_group
> -R -b "dc=mydom,dc=local" -f "(&(sAMAccountName=%v)(memberof:1.2.840.113556
> .1.4.1941:=cn=%a,OU=Internet-Groups,DC=mydom,DC=local))" -D "squid@mydom.local"
> -w "password" -K dc1.mydom.local
> Мало ли, кто столкнется с подобной проблемой (у меня авторизация через керберос).
> Кстати, сразу избавился еще от одного глюка, который не мог решить.
> В гугль хроме есть удобная вещь, как перевод странички на русский
> язык. Так вот с виндовых машин эта функция прекрасно в нем
> работала, а со своего компа с убунтой постоянно получал динайды. Так
> как только отключил ipv6, сразу эта фунция заработала.В конфиге squid.conf параметр есть dns_v4_first, по умолчанию он
#dns_v4_first off
Убираем комментарий, меняем на dns_v4_first on, сохраняем, затем -
squid3 -k reconfigure
Все работает. Удачи всем.
>а при запуске сквида:
>
>WARNING: Cannot run '/usr/lib/squid3/squid_ldap_group' process.
>10/10 12:54:50| commBind: Cannot bind socket FD 591 to [::1]: (99) Cannot assign >requested address
>10/10 12:54:50| commBind: Cannot bind socket FD 592 to [::1]: (99) Cannot assign >requested address
>10/10 12:54:50| ipcCreate: Failed to create child FD.Были такие же сообщения в логе, параметр ipv4 помог! Спасибо за инфу!
Но авторизация пользователя не проходит автоматически, а запрашивается логин и пароль. А как сделать автоматическую авторизацию, помогите?