Почему файфокс отваливается по поиску днс, если к сайту обращаешься по ip?

Question

[Николай Савельев]

Сайт начал долго открываться не с того, не сего. Плюс периодически отваливается по таймауту в Хром, а в файрфокс пишет что не удалось найти такой. Перенес днс к другому хостеру, но это не помогло. Попробовал по ip - то же самое.
Вот сейчас файрфокс выдал - Время ожидания соединения истекло. В девелопер тулз:
Тайминг запроса
Заблокировано:
0 мс
Поиск DNS:
21,04 с
Соединение:
0 мс
Установка TLS:
0 мс
Отправка:
0 мс
Ожидание:
0 мс
Получение:
0 мс
Но я по ip обращаюсь, какой поиск днс?

Comments

[Николай Савельев]

Вот еще выдал - Хмм. Нам не удаётся найти этот сайт.
Мы не можем подключиться к серверу. Возможно, вы хотели перейти на www

Answer 1

[AUser0]

Время ожидания соединения истекло - значит сервер не ответил за то время, которое даётся на установление соединения. Что вы там делаете - совершенно не понятно, зачем коннектитесь по IP - тоже не понятно, откуда этот поиск DNS - тоже не понятно. Сделайте PING на доменное имя сервера, вот он и покажет, есть связь с сервером, или её просто нет. Конечно если на сервере PING не заблокирован.

Comments

[Николай Савельев]

Конечно связь есть. Никаких проблем с пингом и ссш. По ip коннектиться чтобы убрать днс и определить что не в днс проблема.

[AUser0]

Да доменная DNS запись закешировалась на твоём компьютере при первом запросе, и какое-то время в кеше провисит. А вот перебои связи с сервером здесь и сейчас - это PING и покажет. На Windows запускать с аргументом -t, что бы пинговал без остановки и пауз. Запускаешь - и открываешь сайт в браузере. Как проблема - смотришь окошко с PING-ом, есть провалы/разрывы?

[Николай Савельев]

AUser0, нет провалов - разрывов. 6 потерянных пакетов на 12 тысяч запросов, 0% потерь. Проблема в браузере гораздо чаще.

[AUser0]

Значит что-то творится с 80/443-им портами. Ну или с HTTP-сервисом.

[Николай Савельев]

AUser0, пробовал другие порты - такие же обрывы. Попробую ещё какой-нибудь веб-сервер установить и попробовать через него.

[AUser0]

Николай Савельев, можно тупо на сервере запустить tcpdump -nni any port 80 or port 443
и смотреть, есть пакеты запросов-ответов, или нет. Так будет понятно, это сеть запросы не доставила до сервера, или HTTP на них не ответил.

[Николай Савельев]

Поймать то поймал, теперь бы интерпретировать. Вот вывод tcpdump с момента нажатия обновить в браузере и до момента Хмм. Нам не удаётся найти этот сайт. Получается апач не отвечает?

07:00:05.514541 IP src_ip.39332 > dst_ip.443: Flags [S], seq 3649094251, win 64240, options [mss 1460,sackOK,TS val 3676353683 ecr 0,nop,wscale 7], length 0
07:00:05.764615 IP src_ip.39348 > dst_ip.443: Flags [S], seq 1556509070, win 64240, options [mss 1460,sackOK,TS val 3676353933 ecr 0,nop,wscale 7], length 0
07:00:06.544529 IP src_ip.39332 > dst_ip.443: Flags [S], seq 3649094251, win 64240, options [mss 1460,sackOK,TS val 3676354713 ecr 0,nop,wscale 7], length 0
07:00:06.772488 IP src_ip.39348 > dst_ip.443: Flags [S], seq 1556509070, win 64240, options [mss 1460,sackOK,TS val 3676354941 ecr 0,nop,wscale 7], length 0
07:00:07.984706 IP src_ip.36904 > dst_ip.80: Flags [S], seq 3147874319, win 64240, options [mss 1460,sackOK,TS val 3676356153 ecr 0,nop,wscale 7], length 0
07:00:07.984741 IP dst_ip.80 > src_ip.36904: Flags [S.], seq 599086390, ack 3147874320, win 28960, options [mss 1460,sackOK,TS val 43171731 ecr 3676356153,nop,wscale 7], length 0
07:00:08.033643 IP src_ip.36904 > dst_ip.80: Flags [.], ack 1, win 502, options [nop,nop,TS val 3676356202 ecr 43171731], length 0
07:00:08.560423 IP src_ip.39332 > dst_ip.443: Flags [S], seq 3649094251, win 64240, options [mss 1460,sackOK,TS val 3676356729 ecr 0,nop,wscale 7], length 0
07:00:08.788423 IP src_ip.39348 > dst_ip.443: Flags [S], seq 1556509070, win 64240, options [mss 1460,sackOK,TS val 3676356957 ecr 0,nop,wscale 7], length 0
07:00:09.776404 IP src_ip.36886 > dst_ip.80: Flags [.], ack 3204116824, win 501, options [nop,nop,TS val 3676357945 ecr 43169664], length 0
07:00:09.776421 IP dst_ip.80 > src_ip.36886: Flags [.], ack 1, win 252, options [nop,nop,TS val 43172179 ecr 3676347936], length 0
07:00:12.596475 IP src_ip.39332 > dst_ip.443: Flags [S], seq 3649094251, win 64240, options [mss 1460,sackOK,TS val 3676360765 ecr 0,nop,wscale 7], length 0
07:00:13.372677 IP src_ip.36904 > dst_ip.80: Flags [F.], seq 1, ack 1, win 502, options [nop,nop,TS val 3676361541 ecr 43171731], length 0
07:00:13.372943 IP dst_ip.80 > src_ip.36904: Flags [F.], seq 1, ack 2, win 227, options [nop,nop,TS val 43173078 ecr 3676361541], length 0
07:00:13.421608 IP src_ip.36904 > dst_ip.80: Flags [.], ack 2, win 502, options [nop,nop,TS val 3676361590 ecr 43173078], length 0

[AUser0]

Николай Савельев, да, совершенно верно, почему-то WEB-сервер ответил не на все коннекты. Пропустил первые 4 коннекта, и ответил только на 5-ый, с временем 07:00:07.984706.

[Николай Савельев]

Но если все же ответил, то почему браузер говорит что сайт не найден?

[AUser0]

Николай Савельев, вот этого не знаю. Собственно по логу можно судить только о том, что WEB-север иногда отвечает, но трафика нет.

Пакеты с данными имеют строчку [P.]. А у вас - или [S] (инициация коннекта), или [.] (подтверждение инициации), или [F.] (завершение коннекта, с подтверждением).

А где данные запроса, где данные хоть какого-то ответа, ошибки? Их нет. Браузер не получил данных с сайта, вот он и ругается об этом.

[AUser0]

Николай Савельев, собственно вот, коннект создали - помолчали друг на друга - коннект разорвали.

07:00:07.984706 IP src_ip.36904 > dst_ip.80: Flags [S], seq 3147874319, win 64240, options [mss 1460,sackOK,TS val 3676356153 ecr 0,nop,wscale 7], length 0
07:00:07.984741 IP dst_ip.80 > src_ip.36904: Flags [S.], seq 599086390, ack 3147874320, win 28960, options [mss 1460,sackOK,TS val 43171731 ecr 3676356153,nop,wscale 7], length 0
07:00:08.033643 IP src_ip.36904 > dst_ip.80: Flags [.], ack 1, win 502, options [nop,nop,TS val 3676356202 ecr 43171731], length 0


07:00:13.372677 IP src_ip.36904 > dst_ip.80: Flags [F.], seq 1, ack 1, win 502, options [nop,nop,TS val 3676361541 ecr 43171731], length 0
07:00:13.372943 IP dst_ip.80 > src_ip.36904: Flags [F.], seq 1, ack 2, win 227, options [nop,nop,TS val 43173078 ecr 3676361541], length 0
07:00:13.421608 IP src_ip.36904 > dst_ip.80: Flags [.], ack 2, win 502, options [nop,nop,TS val 3676361590 ecr 43173078], length 0

А середина где?!

[Николай Савельев]

Я не знаток tcpdump. К вашему фильтру я добавил and (src src_ip or dst src_ip)' чтобы отфильтровать только свои запросы. Еще перевел все в файл > tcp.dump
После чего нажал обновить страницу и дождался окошка с Хмм. Нам не удаётся найти этот сайт.

Все что было в файле я здесь запостил.

[AUser0]

Николай Савельев, в таком виде середина тоже должна была быть. Можете сделать контрольный выстрел:

tcpdump -nni any 'host src_ip and ( port 80 or port 443 )'

src_ip замените на свой.

[Николай Савельев]

10:37:18.716975 IP src_ip.39716 > dst_ip.443: Flags [S], seq 2527317679, win 64240, options [mss 1460,sackOK,TS val 3689386887 ecr 0,nop,wscale 7], length 0
10:37:18.976000 IP src_ip.39732 > dst_ip.443: Flags [S], seq 4156101676, win 64240, options [mss 1460,sackOK,TS val 3689387137 ecr 0,nop,wscale 7], length 0
10:37:19.726667 IP src_ip.39716 > dst_ip.443: Flags [S], seq 2527317679, win 64240, options [mss 1460,sackOK,TS val 3689387897 ecr 0,nop,wscale 7], length 0
10:37:19.982680 IP src_ip.39732 > dst_ip.443: Flags [S], seq 4156101676, win 64240, options [mss 1460,sackOK,TS val 3689388153 ecr 0,nop,wscale 7], length 0
10:37:21.744063 IP src_ip.39716 > dst_ip.443: Flags [S], seq 2527317679, win 64240, options [mss 1460,sackOK,TS val 3689389913 ecr 0,nop,wscale 7], length 0
10:37:21.998642 IP src_ip.39732 > dst_ip.443: Flags [S], seq 4156101676, win 64240, options [mss 1460,sackOK,TS val 3689390169 ecr 0,nop,wscale 7], length 0
10:37:25.806704 IP src_ip.39716 > dst_ip.443: Flags [S], seq 2527317679, win 64240, options [mss 1460,sackOK,TS val 3689393977 ecr 0,nop,wscale 7], length 0

Вообще ни одного ответа. При этом на следующее нажатие обновить все открывает.

[AUser0]

Николай Савельев, WEB-сервер вообще решил не отвечать.

[Николай Савельев]

И в логах апача ничего в это время нет. Ни ошибок, ни соединений. За 5 минут до этого времени есть, и через 2 минуты после. А в момент ошибки подключения - тишина.

[Николай Савельев]

AUser0, может до него не дошло. Вот в iptables обнаружил:
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP

Кажется, низковаты лимиты. Не могло ли это повлиять?
С другой стороны, судя по датам изменения, устанавливались они 3 года назад. Работало же все до последнего времени.

[AUser0]

Николай Савельев, ну вот и нашлась причина вашей проблемы. Поставите хотя бы --limit 3/sec, максимум 3 соединения в секунду с одного удалённого IP. А ещё очень желательно включить HTTP/2.0 в WEB-сервере, полегчает.

[Николай Савельев]

AUser0, да, вы правы, после увеличения лимитов ошибки пропали.
Вынесете ваш коммент с tcpdump в отдельный ответ чтобы я отметил? Или просто верхний ваш поставить решением?

Answer 2

[Drno]

Ты ж на сервере не один сидишь. С чего он тебе по IP ответит.
Пингуй доменное, смотри что по провалам будет. Пока похоже на проблемы с сетью / web сервером

Comments

[Николай Савельев]

Я один сижу. Это мой VPS. И по ip он вполне отвечает. Правда, почему-то не всегда...

[Drno]

Николай Савельев, ну откудая могу знать про VPS…
Проверяй пингом. Есть пропадает - вопросы к хостеру.

Ну или косяк где то между хостером и тобой

[Николай Савельев]

Drno, пинг отличный, ссш работает идеально. Только в браузере проблема. Причем и по днс имени и по ip.
Опубликовал голую хтмл страницу чтобы дергать по адресу отдельно от сайта - все те же самые проблемы.

Answer 3

[rPman]

Проверь что у тебя браузер не использует какую-нибудь прокси (автоконфигурация по умолчанию или .pac файл), а так же не установлен какой-нибудь антизапрет впн или аналоги, в общем запусти браузер в новом чистом профиле (с ключом --ProfileManager )

если у тебя не установлена поддержка https на твоем сайте, указывай конкретный протокол http:// перед ip адресом, так как скорее всего он пытается подключиться сразу по https и не может

Comments

[Николай Савельев]

Да нет, пробовал с 4х компьютеров, планшета и телефона. Тут как выше заметили, либо сеть, либо апач.