Proxy error

Примерно между 13:30 и 14:10 13.09.2017г. перестали подключаться клиенты по SOCKS5 и HTTP прокси.
Туннели OpenVPN, Пользователь user1438
Соединение "через туннели" работает (от user1473 до user1438).

Да, я вижу ошибки.
Мы вчера меняли схему аутентификации. Скажите, существовал ли подключенный туннель OpenVPN с именем пользователя user1438 в момент подключения этого же пользователя через прокси?

admin пишет: Да, я вижу ошибки.
Скажите, существовал ли подключенный туннель OpenVPN с именем пользователя user1438 в момент подключения этого же пользователя через прокси?

Туннель user1438, естественно, "существовал". Он подключен 24/7. До "ошибки" я периодически переподключался и подолгу "работал" через Proxy. После "ошибки", поднял второй туннель и подключался "напрямую".
После сегодняшнего "полуночного" переподключения user1438, также через Proxy подключения не было, "напрямую" - работало.
В 13:00 пришло сообщение о дисконнекте user1438 и, на сегодня, всё

Я может быть некорректно выразился про "существовал"... я имел ввиду "был ли поднят" туннель OpenVPN с user1438 в тот момент, когда с таким же именем вы пытались подключиться через proxy?

Если да, то возможная причина в том, что ранее система пускала пользователя через прокси даже в том случае если был подключен туннель с таким же именем (хотя это не вполне корректно). После модернизации схемы аутентификации это могло измениться и теперь для доступа через proxy нужно пользоваться другим именем пользователя (который сейчас не подключен через туннель).

У меня нет возможности это проверить сейчас, поэтому это лишь версия. Попробуйте использовать другое имя пользователя.

admin пишет: Я может быть некорректно выразился про "существовал"... я имел ввиду "был ли поднят" туннель OpenVPN с user1438 в тот момент, когда с таким же именем вы пытались подключиться через proxy?

Если да, то возможная причина в том, что ранее система пускала пользователя через прокси даже в том случае если был подключен туннель с таким же именем (хотя это не вполне корректно). После модернизации схемы аутентификации это могло измениться и теперь для доступа через proxy нужно пользоваться другим именем пользователя (который сейчас не подключен через туннель).

У меня нет возможности это проверить сейчас, поэтому это лишь версия. Попробуйте использовать другое имя пользователя.

Междометия - враги!
- С моей колокольни user1438 - туннель-сервер. "Он" поднят постоянно (24/7) за GPON'ном на роутере. За ним "сеть", к нему "подключены" и используются Proxy и Публикации.
- Работаю я, в основном, через Socks5 (putty-ssh), иногда - "публикации".
- У меня есть зарезервированный туннель user1473. Он предназначен для эксренных случаев (как сейчас - "Proxy error", где-то пропал роутинг и т.п.)
- Вчера я работал в терминале через Socks5, периодически запуская/подключая новые сессии. (Я не знаю, если во время открытой сессии, что-то "произойдет с аутентификацией", будет ли разорвана сессия). При очередной попытке "перелогиниться" получил ошибку, поднял туннель user1473 (другой, резервный) и стал работать (для всех моих серверов заведены по две "сессии") "напрямую", т.е. без "галочки" использовать Socks5.
- "Такое" (Socks не пускает, но напрямую все работает) было и раньше, но я не мог поймать момент. Раньше, одновременно с "отказом" Socks5, переставала работать и публикация. Сейчас "публикуемый сервер" выключен, поэтому проверить не могу.
ЗЫ. По Proxy я просто написал "если Вам интересно", выход я найду (если кончено поднимется user1438)

Мои коллеги сейчас проверили - http proxy пускает с логином подключенного в данный момент туннеля.
Socks не проверяли, но, скорее всего, он тоже работает с тем же логином. Значит дело не в этом.

Понятие сессии в http и socks прокси не вполне понятно, в отличии от туннеля, где все четко. Поэтому, в какой момент система запросит повторную аутентификацию мы не знаем, просто потому что сильно не занимались этим вопросом. Возможно отключение Soсks соединения связанно именно с реаутентификацией...
Надо как-то поймать этот момент.

Перебои в работе Публикации URL, связанные с socks доступом, мне кажутся пока сомнительными. У нас это разные системы, которые объединены лишь в одном месте, которое, если сломается, то поломает все вокруг. Надо понаблюдать.

Насчет user1438 - а почему-то он не поднимается? Что пишет лог в событиях безопасности?

admin пишет: Перебои в работе Публикации URL, связанные с socks доступом, мне кажутся пока сомнительными. У нас это разные системы, которые объединены лишь в одном месте, которое, если сломается, то поломает все вокруг. Надо понаблюдать.

Лженаука - статистика (причем всего 2-3 случая.) ЗЫ. Я имел ввиду вообще с "Proxy", т.к. "падают" оба и Socks и Http.

admin пишет: Насчет user1438 - а почему-то он не поднимается? Что пишет лог в событиях безопасности?

Кто ж его знает. Где он а где я (географически).

Если сообщите последний IP адрес user1438, то я посмотрю в логах почему отключился и когда последний раз пытался соединиться. У вас там в статистике где-то должен быть его внешний IP

admin пишет: Если сообщите последний IP адрес user1438, то я посмотрю в логах почему отключился и когда последний раз пытался соединиться. У вас там в статистике где-то должен быть его внешний IP

109.252.107.144

Аааа, знакомый адрес, вижу ... но возьму паузу, чтобы понять что происходит.

После полного перезапуска клиента user1438 только с отключением туннеля на вебсайте, туннель "завелся". Через оба proxy не пускает.
То, что прокси и публикация не связаны - по факту оказалось правдой. Смог подключиться к публикуемым ресурсам.

Я сейчас как раз смогу проверить ваш прокси со своего компьютера
Прошу временно поменять пароль на 111 на любом своем пользователе или создать новый аккаунт и сделать там такой пароль.
Прошу сообщить мне в почту эти данные, также номера портов для http и socks прокси, а также что я должен указывать в адресе браузера или ssh, (чтобы сработал запрос на авторизацию).

"В лоб" не получится. Если я поменяю пароль у user1438, то он отвалится и сам, естественно, не поднимется. Попробовать поднять еще одного клиента на каком-то компьютере сети ... попробую.

Я скоро уеду и до вечера не смогу потестировать, но если ситуация не изменится и решите попробовать - напишите в почту.
Что касается работоспособности самого прокси и сокс-прокси, то наш робот-чекер
vpnki.ru/my-settings/tools-menu/system-status
не обнаруживал сегодня проблемы.
Его алгоритм в плане проверки прокси такой: он периодически строит два туннеля, на первом висят два демона - веб-сервер и ssh, на втором туннеле просто скрипт с запросами. Если скрипту удалось авторизоваться и увидеть веб-сервер и ssd демон, то все ок.
Единственное отличие этого робота от реального пользователя - это разница в используемых портах. Они у него свои, как и у любого пользователя. А вот механизм авторизации и прочее - общий.

Поднять то новый туннель легко. Вот только пустить в ту же сеть...
В итоге
- Новый туннель user2487, пароль 111
- Выдан ip адрес 172.16.8.81 На нем поднят любимый здесь majordomo
- При прямом подключении "из-за" тунеля user1473, "что-то" открывается. Через http прокси - ошибка, но вот является ли данный эксперимент "чистым" - не уверен.
- Т.к. у Вас "на сайте" уже есть маршрут в мою сеть через туннель user1438, то для нового туннеля заведомо указал другую маску, чтобы не было конфликтов. У себя я, сразу же потерял доступ к хосту, где поднял openvpn и пришлось его "искать".

Ваш прокси работает, а вот мажордомо на новом адресе, видимо, нет.
Это доступ к мажордомо


Это попытка постучать на адрес 192.168.1.1 - это отвечает устройство RT-N56U


Это попытка постучать на адрес 192.168.1.1 по ssh через SOCKS5


Все скриншоты снимались после ввода имени и пароля для user2487
Так что я проблем не вижу с работой услуг.