Squid stellt Dienst ein - notruf

Hallo zusammen

sobald bei uns 2 PC-Räume besetzt sind Bricht der Squid auf der Firewall zusammen.
To many queued negotiateauthenticator requests
ist die dann mehrfach zu lesende Fehlermeldung.

Die Prozessorlast bleibt im Keller, 8 Kerne mit 8GB Ram , die Festplatte ist bei 28%
Im grünen Netz sind nur Linux-Clients. Alle mit ein und dem selben Image.

Mit dem gestoppten Squid geht in der ganzen Schule dann nix mehr (das WLAN geht ja auch darüber)

Was tun?

Grüße Rainer

Hallo Rainer,

sobald bei uns 2 PC-Räume besetzt sind Bricht der Squid auf der Firewall
zusammen.
To many queued negotiateauthenticator requests
ist die dann mehrfach zu lesende Fehlermeldung.

Die Prozessorlast bleibt im Keller, 8 Kerne mit 8GB Ram , die Festplatte
ist bei 28%
Im grünen Netz sind nur Linux-Clients. Alle mit ein und dem selben Image.

ich kann leider nur sagen, dass bei mir in der Schule das noch nicht
aufgetreten ist.
Ich habe für meine opnsense nur 4 Kerne und nur 4GB RAM.

Hast du BelWü DNS Filter drin?

LG

Holger

Hallo Rainer,

Google sagt, Du musst in der squid.conf die Zahl bei

auth_param negotiate children 20

erhöhen. Wenn es die Option nicht gibt! Einfach mal einfügen.

Ich hoffe, es hilft!

Beste Grüße

Jörg


Hallo Holger

ja ich habe den belwü-DNS mit der Jugendschutzfunktion drin.
Ich kann auch immer noch nicht updaten … Nach einem Update von 19.1 auf 19.7 geht die Namensauflösung gar nicht mehr.

Grüße Rainer

Hallo Jörg

ich finde nur den Eintrag:

auth_param basic children 5

Hat jemand die Eintag, den Jörg erwähnt drin ?
Ich werde dann mal morgen den negotiate children auf 100 setzen …
In der Config steht man solle sie nicht von Hand ändern … kann man das ignorieren?

Grüße Rainer

Hallo Rainer,

ja ich habe den belwü-DNS mit der Jugendschutzfunktion drin.
Ich kann auch immer noch nicht updaten … Nach einem Update von 19.1 auf
19.7 geht die Namensauflösung gar nicht mehr.

ich hab 19.7 und den BelWü DNS noch nicht drin.

LG

Holger

Hallo Rainer,

verwendest Du die normale Proxy-Authentifizierung oder Single-Sign-On?

LG Jörg

Hallo Rainer,

ich komme gerade nicht zum Testen - die Einstellungen müsste man über
das Webfrontend vornehmen können, was dann auch die bessere Option ist.

Hast Du denn einen Eintrag der Art:

auth_param negotiate program

in der squid.conf? Relevant müssten alle Optionen mit „auth“ und „acl“
sein, Du kannst sie ja mal posten.

LG Jörg

Hallo zusammen

ich gehe im Augenblick davon aus, dass die FW total vermurkst ist und habe mich überzeugen lassen, dass eine Neuinstallation der FW wohl der beste Weg ist - Danke Dominik für den Schubs.

Ich habe also eine neu VW mit dem aktuellen ova der FW von linuxmuster.net genommen.

Bestärkt in der Auffassung dass die alte FW nicht ok ist wurde ich als ich das config-Backup vollständig zurück gespielt hatte. (gleiche Fehler erneut) Daher habe ich in einem zweiten Anlauf nur die Zertifikate zurück gespielt und bin nun dabei die FW von Hand zu „füllen“. Im Augenblick haben wir auf allen Netzwerken (grün, blau) nur je eine Regel „erlaube alles“ und ein Linuximage ohne Proxynutzung.
Ich bin für jeden Hinweis dankbar der uns wieder zu einer funktionalen FW verhilft.

Grüße Rainer

Hallo Rainer,

Ich habe also eine neu VW mit dem aktuellen ova der FW von
linuxmuster.net http://linuxmuster.net genommen.>
Bestärkt in der Auffassung dass die alte FW nicht ok ist wurde ich als
ich das config-Backup vollständig zurück gespielt hatte. (gleiche Fehler
erneut) Daher habe ich in einem zweiten Anlauf nur die Zertifikate
zurück gespielt und bin nun dabei die FW von Hand zu „füllen“. Im
Augenblick haben wir auf allen Netzwerken (grün, blau) nur je eine Regel
„erlaube alles“ und ein Linuximage ohne Proxynutzung.
Ich bin für jeden Hinweis dankbar der uns wieder zu einer funktionalen
FW verhilft.

normalerweise wird ja die opnsense beim Aufruf von linuxmuster-setup am
Server an den Server gebunden.
Den Schritt kannst du ja nciht machen.
Da du die Vorlage (ova) genommen hast, sollten die normalen Regeln ja
drin sein: aber du mußt wieder die kerberos auth aktivieren, wie hier
beschrieben:

Direkt drüber steht: Zustand nach dem Setup: das ist natürlich auch
interessant für dich.

LG

Holger