Cloudflare 520er Problem

[sbr2d2]

Moin,

wir haben für den Produktivserver das Routing über Cloudflare/CF eingerichtet. Das lief auch immer Problemlos. Aber seit einiger Zeit haben wir das Problem, das einigen Usern eine Statusseite von CF ausgeliefert wird mit dem Fehlercode 520. Diese Code besagt laut CF, das der Webserver für diesen Aufruf eine leere Seite zurück gegeben hat. Sprich es soll dann angeblich zu einen Fehler vom Webserver gekommen sein. Wenn man nun alle Logs durchschaut, sieht man zwar den Zugriff zu dem Zeitpunkt der auf der Statusseite mitgeleifert wird, aber in den Errorlogs keine Fehler dazu. Nach weiteren suchen hat sich herrausgestellt das die meisten User bei Telekom oder O2 ihren Anschluss haben. Desweiteren konnte ich bei den Usern die bereit waren mit winmtr zu prüfen auch sehen das diese einen Verlust von bis zu 20% auf der Strecke bis CF haben.
Worauf ich am Ende hinaus will, gibt es noch eine Möglichkeit zu schauen ob der Webserver wirklich Fehler hat oder ob es tatsächlich das an der Strecke vom User zu CF liegt?

Gruß s.b.

Nachtrag: Es ist jetzt auch nicht so das alle User den Fehler zeitgleich bekommen. Sporadisch mal einer und immer bei verschiedenen Aktionen.

 

[GwenDragon]

Das Routing an Cloudflare von Clients aus Telekom-Netzen ist fehlerbehaftet, aber solche Verluste, welche zu einem Error 520 führen, das sah ich nie.

 

[Lord Gurke]

User bei Telekom oder O2 ihren Anschluss haben. Desweiteren konnte ich bei den Usern die bereit waren mit winmtr zu prüfen auch sehen das diese einen Verlust von bis zu 20% auf der Strecke bis CF haben

*BIS* Cloudflare oder auf dem letzten Hop? Dass Router zwischendrin keinen Bock haben ICMP-Nachrichten zu generieren ist kein Symptom von Packetloss - nur, wenn das Ziel, also der letzte Hop, auch Loss hat.
Zudem wird der Fehler von CF geworfen, weil zwischen CF und deinem Server ein Problem aufgetreten ist. Nicht, weil der User Probleme hat CF zu erreichen, wenn das überhaupt ein Problem ist.

Nach weiteren suchen hat sich herrausgestellt das die meisten User bei Telekom oder O2 ihren Anschluss haben

Das entspricht den Marktanteilen, auch wenn Vodafone da im Festnetz vor o2 liegt. Aber es könnte durch Mobilfunknutzer bei o2 wieder rausgerissen werden. Nichts, was erstmal per se bemerkenswert wäre.

Diese Code besagt laut CF, das der Webserver für diesen Aufruf eine leere Seite zurück gegeben hat. Sprich es soll dann angeblich zu einen Fehler vom Webserver gekommen sein.

Dann wird das wohl so sein. Wobei der Code eine ganze Reihe anderer Ursachen haben kann (abgebrochene TCP-Verbindung, Server liefert Müll den CF nicht versteht, TLS-Handshake kommt nicht zustande...). Aber alle diese Fehler haben gemein, dass sie nicht durch die Verbindung vom Client zu CF beeinflusst werden sondern zwischen CF und deinem Server. Selbst wenn der Client zu CF massiven Packetloss hat, führt das zu einer langsamen Verbindung, aber nicht zu HTTP 520.
Prüfe, was dein Server und, wenn vorhanden, eine davor stehende Firewall macht. Vielleicht hast du da irgendein Rate-Limiting auf die Anzahl gleichzeitiger TCP-Sessions oder eine WAF die Anfragen dropped. Irgendwas wird da sein und es liegt nicht am Client.

 

[sbr2d2]

Prüfe, was dein Server und, wenn vorhanden, eine davor stehende Firewall macht. Vielleicht hast du da irgendein Rate-Limiting auf die Anzahl gleichzeitiger TCP-Sessions oder eine WAF die Anfragen dropped. Irgendwas wird da sein und es liegt nicht am Client.

Vielen Dank für die Ansätze, ich werde mich dann mal durch dir Konfigs wühlen und schauen ob ich dazu was im System finde. Ansonsten muss der Code der Seite grundsätzlich geprüft werden.

 

[sbr2d2]

Was ich alles versucht habe ist folgendes.
1. PHP-FPM und Apache aufgebohrt, ohne Erfolg
Cpu hängt bei 3-20% und der Speicher mit 7GB belegt von 40Gb. Fehler gibt es nach wie vor keine in den Logs die den 520er erklären.

2. CF zum weiteren testen deaktiviert.
Das hat dann zwar den 520er eleminiert aber den ERR_HTTP2_PROTOCOL_ERROR erzeugt.

3. Das Routing von CF zu 1und1 gezogen. Das war nun das letzte was ich tun wollte bevor ich den Server neu aufsetze.
Das war dann auch die Lösung. Keiner hat mehr Fehler auf der Seite.

Aber alle diese Fehler haben gemein, dass sie nicht durch die Verbindung vom Client zu CF beeinflusst werden sondern zwischen CF und deinem Server.

Und das wird es wohl sein. Seit gestern 11:00 habe ich umgestellt zu 1und1 und es läuft.
Muss ich jetzt meinem Anbieter Bescheid geben? Ich denke jetzt nicht, das die nur wegen uns irgendwas ändern werden...