FAQ

При установке или обновлении не запускается супервизор

Известна проблема, когда при установке или обновлении SkyDNS Zapret ISP выдается примерно такая ошибка:

Leaving 'diversion of /lib/systemd/system/exabgp.service to /lib/systemd/system/exabgp.service-stock by skydns-zi'
Launching supervisor ...
Job for supervisor.service failed. See 'systemctl status supervisor.service' and 'journalctl -xn' for details.
invoke-rc.d: initscript supervisor, action "restart" failed.
Launching uwsgi ...

Проблема связана с systemd, В этой ситуации рекомендуется перезапустить супервизор вручную

service supervisor stop
service supervisor start

Проблема экспорта маршрутов

При подключении к сети провайдера с помощью BGP встречается проблема экспорта маршрутов.

Проблема проявляется следующим образом: трафик до некоторых сайтов идёт мимо системы фильтрации, в таблицах маршрутизации отсутствуют соответствующие префиксы.

Решение проблемы - перезапуск демона exabgp. Необходимо выполнить следующие команды:

service exabgp stop
ps aux | grep exabgp
kill -9 #процесса
service exabgp start
supervisorctl restart zi-update

При обнаружении проблем с фильтрацией, следует выполнить следующие проверки

Проверка CPU

Может образоваться ситуация, когда какой-то процесс занимает все существующие ресурсы процессора, и, как следствие, не даёт запуститься новым.

Для диагностики этого используйте команду htop, после чего нажмите Shift+h, чтобы скрыть порожденные процессами потоки. Если Вы наблюдаете большое количество одинаковых процессов с разными pid, незамедлительно обратитесь в службу технической поддержки.

Чтобы убрать все процессы, выполнить команду kill< -9< <pid1> <pid2>.

Проверка свободного места

Возможна проблема, когда у Вас закончилось свободное место. Для проверки выполните df -h, убедитесь, что в разделе, куда установлен SkyDNS Zapret ISP, есть свободное место.

Проверка сети

Возможно, у Вас присутствуют неполадки в сети. В этом случае с сервера фильтрации проверьте наличие связи с граничным маршрутизатором, а также достижимость Ваших DNS-серверов, достижимость популярных сайтов (yandex.ru, vk.com).

Используйте утилиту ping для этих целей.

Ошибка загрузки источника в web-интерфейсе

Если Вы наблюдаете такую ошибку, вызовите команду zi-ctl download для незагрузившегося списка.

После этого откройте конец лог-файла (/var/log/skydns-zi/isp_filter.log), найдите в нём запись Downloading/Parsing module <source_name> has finished with exception: ниже будет traceback.

Обратите внимание на ошибку в конце. Возможно, у сервера фильтрации нет доступа к Вашему DNS-серверу (будет присутствовать строка no route to host).

Если проблема не в этом, незамедлительно обратитесь в службу технической поддержки.

Избыточное блокирование

В случае ситуации, когда Ваши пользователи не могут получить доступ к неблокируемым ресурсам, например instagram.com, стоит проверить Squid. Выполните cat /var/log/squid/cache.log | grep <blocked_domain>. Если вы наблюдаете:

queue overload. Using stale result.
# или
queue overload. Request rejected.

следуйте инструкциям Продвинутая настройка Squid. В противном случае, проверьте Ваш Чёрный список.

Диагностика причин пропусков

Наличие незначительного количества пропусков (меньше 10) - теоретически возможная ситуация. В случае если такое произошло, следуйте следующей инструкции:

Зайдите на сервер фильтрации.

1. Выберите произвольный домен из списка пропущенных. Выполните команду dig @127.0.0.2 <domain>. В ответ должен вернуться ответ, в котором у всех IP-адресов будет одинаковый ttl равный 3600. Если такого не произошло, выполните команды zi-ctl check-announce затем zi-ctl create-zones.
2. Если после проделанных манипуляций, Вы получаете ответ с флагом REFUSED, перезапустите zi-update - supervisorctl restart zi-update. Убедитесь, что он запустился supervisorctl status zi-update.
3. Спустя пять минут, выполните поиск по логам разрешения доменов: cat /var/log/skydns-zi/updater.log | grep <domain>. Убедитесь, что домен разрешился в IP-адрес(а). Если домен отсутствует в логе, используйте Поиск заблокированных ресурсов. Если домен присутствует среди блокируемых, выполните zi-ctl check-announce ещё раз.
4. Выполните команду zi-ctl ipset-create.

Зайдите на компьютер из фильтруемой сети.

1. Попробуйте получить доступ к пропущенному домену/URL.
2. Если Вам не вернулась страница блокировки, выполните dig <domain>.
3. Если Вы получили ожидаемый ответ (как в п.1, находясь на сервере фильтрации), но произошёл пропуск, выполните трассировку по полученному адресу. Если трафик идёт мимо системы фильтрации, у существует другой путь в этому ресурсу (мимо системы фильтрации).
4. Если трафик идёт на SkyDNS Zapret ISP, выполните поиск запрашиваемого ресурса в /var/log/skydns-zi/acl.log. Последняя запись должна быть BLOCKED. Если Вы видите PASSED WHITELISTED URL, значит этот домен/URL находится в Белом списке.
5. Убедитесь, что ресурс находится в списке запрещенных. Для этого выполните cat /var/lib/skydns-zi/src/dump-latest/dump.hf.xml | grep <domain>/<URL>, или используйте фильтры в интерфейсе администратора (Поиск заблокированных ресурсов).