Недоступность сервисов Google через Squid

0

1

Вечер добрый, На текущей неделе при подключении пользователей через Squid стала недоступна часть сервисов Гугл, таких как Календарь, Переводчик, периодами профиль пользователя. При нажатии в броузере на портале Гугла раздела с сервисами, выпадающее окошко не раскрывается и после выдается ошибка (не удалось загрузить набор приложений..). При прямом переходе в раздел календаря также долго висит соединение без прогрузки страницы. При этом головная страница Гугл, почта, поиск работают. Просмотр логов прокси-сервера никакого понимания не прибавило, все запросы корректно обрабатываются и никаких ошибок и запретов не наблюдается. Других проблем с недоступность каких-либо сайтов не возникает. При прямой подключении (в обход прокси-сервера) все Гугл сервисы работают совершенно корректно. Платформа, на которой обнаружилась проблема: FreeBSD 13.2-RELEASE-p9 Squid 6.6

Был развернут новый отдельный сервер для объективности и нахождения причины, но там проблема также воспроизвелась, его конфигурация актуальна. FreeBSD 13.4-RELEASE-p2 Squid 6.10

Повторюсь, проблема проявилась внезапно. Пробовал использовать файл конфигурации по умолчанию (рекомендуемая минимальная конфигурация), чтобы исключить проблему в моем рабочем файле squid.conf, но проблема осталась.

Голову сломал, непонятны первопричины. Есть мнения, куда смотреть?

Перемещено hobbit из general

←	Ошибки в журналах systemd Debian 12

Linux Mint примонтировать smb-общую папку для нерутованного пользователя

→

Зри в корень! (с)

Если гугел не работаит, значит он овно и не нужен!

anonymous
(21.12.24 21:07:23 MSK)

Вангану, что оно половину данных высасывает через вебсокет, который криво проксируется, либо с какого-то поддомена.

Нажми ф12 и проверь вкладку неворк.

ya-betmen ★★★★★
(21.12.24 21:11:12 MSK)

Ответ на: комментарий от ya-betmen 21.12.24 21:11:12 MSK

На что обратить внимание в закладке Сеть броузера по F12? Поддомены при работе с google разумеется видны, а ля play.google.com, etc. Только как это объясняет появившееся недавно поведение? Да и нынче современный Squid если что и «проксирует», то только налету, держа временно в оперативке. Можно ванговать, что сам google что-то изменил на текущей неделе на порталах своих сервисов, что их часть перестала корректно работать через прокси, просто пока иного объяснения я не нахожу. Я много искал в сети по схожей проблеме за последнее время - ничего похожего и путевого обнаружить не удалось. Не зря же развернул на стенде свежую связку ОС и софта в некоторой надежде, что смогу обойти образовавшуюся проблему, но ситуация не изменилась.

И я буду некорректен, если не скажу, что в cache.log есть записи вида, хоть IP и не резолвятся напрямую в поддомены google, но по whois это хозяйство Google LLC как раз.

2024/12/21 21:54:57 kid1| conn43356657 local=MYREALIP:53130 remote=142.250.186.142:443 HIER_DIRECT FD 121 flags=1: read/write failure: (60) Operation timed out current master transaction: master13542083 2024/12/21 21:58:29 kid1| conn43398624 local=MYREALIP:58390 remote=142.250.185.238:443 HIER_DIRECT FD 96 flags=1: read/write failure: (60) Operation timed out current master transaction: master13553287 2024/12/21 21:58:30 kid1| conn43398801 local=MYREALIP:58419 remote=172.217.16.206:443 HIER_DIRECT FD 898 flags=1: read/write failure: (60) Operation timed out

mrrc ★
(21.12.24 21:52:27 MSK) автор топика
Последнее исправление: mrrc 21.12.24 22:05:43 MSK (всего исправлений: 1)

Ответ на: комментарий от mrrc 21.12.24 21:52:27 MSK

На что обратить внимание в закладке Сеть броузера по F12?

Отпавшие запросы и при окрытии страницы, и там отдельно в начале появляется вебсокетный коннект (проверь без прокси).

Ну и можно сравнить с прокси и без.

ya-betmen ★★★★★
(21.12.24 22:58:59 MSK)
Последнее исправление: ya-betmen 21.12.24 22:59:26 MSK (всего исправлений: 1)

Ответ на: комментарий от ya-betmen 21.12.24 22:58:59 MSK

Вы бы на своем примере показали, что хотите увидеть. И главное как это поможет делу.

В разделе сети и консоли я вижу примерно то, что и в логе выше. Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса на https://play.google.com/log?format=json&hasfast=true&authuser=0. (Причина: не удалось выполнить запрос CORS). Код состояния: (null).

mrrc ★
(21.12.24 23:51:11 MSK) автор топика

Ответ на: комментарий от mrrc 21.12.24 23:51:11 MSK

Вот сейчас проверил доступ к play.google.com. Через домашний интернет доступа нет. Через мобильный есть.

AlexVR ★★★★★
(22.12.24 00:53:13 MSK)

Ответ на: комментарий от AlexVR 22.12.24 00:53:13 MSK

В моем случае доступность play.google.com перманентна, хоть пингом, хоть телнетом на 443 порт. А как вы проверяли «доступность»? Напрямую то сервисы Google работают стабильно, проблема именно через проксирование. И то только с календарем, переводчиком, выпадающей плашкой с сервисами в правом верхнем меню портала.

mrrc ★
(22.12.24 09:17:21 MSK) автор топика

Ответ на: комментарий от mrrc 22.12.24 09:17:21 MSK

А как вы проверяли «доступность»?

curl  https://play.google.com/

хоть пингом, хоть телнетом на 443 порт.

Это не показатель. У меня так же, пингуется и соединение создаётся. Но рубит дальнейшие пакеты.

Проверил через tcpdump:

$ sudo tcpdump -v -n -i wlp2s0 | grep 173.194.222
    192.168.1.133.39610 > 173.194.222.101.443: Flags [S], cksum 0x4e84 (incorrect -> 0xa580), seq 2728397146, win 64240, options [mss 1460,sackOK,TS val 1929289162 ecr 0,nop,wscale 7], length 0
    173.194.222.101.443 > 192.168.1.133.39610: Flags [S.], cksum 0x0581 (correct), seq 2268554183, ack 2728397147, win 65535, options [mss 1412,sackOK,TS val 1003451456 ecr 1929289162,nop,wscale 8], length 0
    192.168.1.133.39610 > 173.194.222.101.443: Flags [.], cksum 0x4e7c (incorrect -> 0x320f), ack 1, win 502, options [nop,nop,TS val 1929289187 ecr 1003451456], length 0
    192.168.1.133.39610 > 173.194.222.101.443: Flags [P.], cksum 0x5081 (incorrect -> 0xad0e), seq 1:518, ack 1, win 502, options [nop,nop,TS val 1929289194 ecr 1003451456], length 517
    192.168.1.133.39610 > 173.194.222.101.443: Flags [P.], cksum 0x5081 (incorrect -> 0xac26), seq 1:518, ack 1, win 502, options [nop,nop,TS val 1929289426 ecr 1003451456], length 517
    192.168.1.133.39610 > 173.194.222.101.443: Flags [P.], cksum 0x5081 (incorrect -> 0xab3e), seq 1:518, ack 1, win 502, options [nop,nop,TS val 1929289658 ecr 1003451456], length 517
    192.168.1.133.39610 > 173.194.222.101.443: Flags [P.], cksum 0x5081 (incorrect -> 0xa976), seq 1:518, ack 1, win 502, options [nop,nop,TS val 1929290114 ecr 1003451456], length 517
    192.168.1.133.39610 > 173.194.222.101.443: Flags [P.], cksum 0x5081 (incorrect -> 0xa5b6), seq 1:518, ack 1, win 502, options [nop,nop,TS val 1929291074 ecr 1003451456], length 517

Очень подло. Пропускают ответ на создание соединения. Но ответы на TLS-общение рубят.

AlexVR ★★★★★
(22.12.24 13:29:34 MSK)

Ответ на: комментарий от AlexVR 22.12.24 13:29:34 MSK

Причина и решение оказались непросты и не очевидны на первый взгляд. У меня на шлюз заходят два провайдера, основной и резервный канал, настроено автопереключение при потери связи на основном канале. Для проверки перевел работу прокси-сервера на второй канал и проблема с частичной недоступностью сервисов Гугл решилась.

Вернул обратно, использовал простую формулу в конфигурационном файле с последующей частичной корректировкой ipfw в части таблиц доступа во второй канал.

Google via ISP2

acl google dstdomain .google.com .google.ru tcp_outgoing_address REAL_IP_ISP2 google

Кстати, play.google.com и news.google.com живут своей жизнью, действительно на каналах одних провайдеров эти сервисы выдают ошибку при загрузке страниц, на других доступны. Но меня интересовала неработающая выпадающая плашка с сервисами на всех страницах гугла и Календарь с Переводчиком.

mrrc ★
(22.12.24 16:21:10 MSK) автор топика

←	Ошибки в журналах systemd Debian 12

Admin

Linux Mint примонтировать smb-общую папку для нерутованного пользователя

→

Google via ISP2

Похожие темы