Bonjour, pas pour mon site, mais un site d'un ami sur lequel je viens en aide, j'ai constaté un comportement étrange…
Il a depuis peu, je ne sais pas dire quand, des clients qui lui ont remonté voir des erreurs HTTP 520 Cloudflare et ne plus être capable d'accéder au site. J'ai creusé, et ai reproduit le problème sur un premier navigateur pour moi même (chrome) puis pour un second. Le comportement observé c'est effectivement une page erreur HTTP 520 dés qu'on accède à une sous page du site - la page principale on y accède éventuellement; et ensuite pendant environ, je dirais 10 minutes, pour toute url (y compris la page principale) on obtient l'erreur 520. On est comme bloqué et dans les logs apache/PHP, rien de bien particulier, on semble ne pas arriver sur le serveur. Si on revient plus tard, on réaccède à la première page (non cachée) mais si on navigue de nouveau le même comportement. Si on redémarre son ordi, essaye avec un autre navigateur ou vide son cache, par contre tout revient à la normale.
Je pense, mais je n'en suis pas sûr, que ce comportement est nouveau.
Le site en question a une configuration un peu particulière au niveau cloudflare, il utilise un proxy ezoic (solution d'ad qui paye 4 fois plus que google analytics) et que mon ami souhaite conserver, pas facile à débrancher qui plus est.
Mon analyse première est que le problème n'est pas chez cloudflare, car quand je suis bloqué sur le site de mon ami sur mon navigateur, je ne suis pas bloqué sur mon propre site qui lui aussi est sur cloudflare. Ce n'est pas non plus un problème de config de cloudflare, car sinon ça ne marcherait jamais. La config est bonne.
Enfin quand je suis passé en mode développement cloudflare, j'ai été surpris de toujours voir la page 520 Cloudflare, il y a un mécanisme de cache navigateur ou d'un autre équipement …
Le problème n'est pas au niveau de l'hébergement en tant que tel, sinon y aurait des traces dans les fichiers erreurs qui permettraient d'y voir plus clair. Donc pour moi, on est sur un problème sur un équipement réseau ou firewall entre cloudflare et le serveur … Le firewall ovh est inactif, donc un candidat en moins. Les différents plugin WAF wordpress (wordfence ithemes security) ne sont pas non plus candidats, si on les désactive ça ne résout rien.
Reste donc un problème au niveau d'ezoic, qui bien sûr dit que le problème est chez ovh qu'ils ne font pas ce qu'il faut, ou chez ovh, qui bien sûr dit que tout va bien de leur côté, et que le problème est côté cloudflare (qu'ils conseillent de supprimer), ou ezoik (qu'ils conseillent de supprimer), ou serveur (qu'ils conseillent d'upgrader). Bref, je tais ce que je pense du niveau d'analyse et de conseil …
Et puis je tombe par hasard sur cette info comme quoi ovh a installé un nouveau cdn … Et je me dis que c'est peut être là le coupable tout désigné (le problème n'avait pas été remonté avant, mais pas remonté ne veut pas dire qu'il n'existait pas ceci dit) …
J'ai dit à mon ami temporairement de désactiver le shared CDN et de voir si ça améliore les choses, et de continuer de discuter avec ovh et ezoik s'ils trouvent quelque chose.
Du coup ma question:
Pensez-vous que mon analyse passe à côté de quelque chose ?
Avez-vous déjà vu ce comportement ?
Pensez-vous, comme moi, que le Shared CDN soit une bonne piste ?
Pensez-vous, comme moi, que le Shared CDN soit une bonne piste ?
Tu devrais faire écrivain, quelle prose !
Bonjour,
dans CloudFlare vous avez l'IP avec ou sans CDN ?
Cordialement, janus57
La configuration cloudflare pointe vers un proxy ezoik
Bonjour,
proxy ezoik
Et celui-ci pointe vers quel IP ?
Car du coup l'erreur de cloudflare peut venir de Ezoic également.
Cordialement, janus57
oui pour moi ezoic peut être en cause … J'ai joint ci dessus la config cloudflare en remplacant le site concerné par XXX
le service support d'ezoic dit (et ne me convainc pas): "Le site passe actuellement des tests de disponibilité:
Comme le problème est intermittent et que nous avons exclu d'autres causes potentielles telles que DNS et SSL, le problème semble être causé par vos demandes de blocage d'hôte via Ezoic.
Cela se produit parce qu'ils regardent un en-tête avec Ezoic Ips plutôt qu'un avec l'IP d'origine de l'utilisateur, et ils interprètent mal la demande comme un trafic de bot. Votre hébergeur peut résoudre ce problème facilement de son côté en implémentant l'une de ces solutions: https://support.ezoic.com/kb/article/how-to-fix-origin-errors. Ils auraient également besoin de vider le cache du site.
(J'attache les Ips d'Ezoic à l'une des solutions, et la plus petite liste d'Ip statiques d'Ezoic, si votre hôte choisit plutôt de les ajouter à la liste blanche. Faites-nous savoir s'ils choisissent la plus petite liste d'Ips statiques, car nous devrons également activer une mise de notre côté dans cet événement aussi.)
Il incombe à votre hôte de résoudre ce problème, car le problème ne se produit pas du côté Ezoic.
J'espère que cela a plus de sens maintenant,"
Bonjour,
il manque toujours vers quoi redirige ezoic.
Cordialement, janus57
j'ai pas l'info (je vais demander) … mais je suppose directement vers le site … donc via le cdn …
Bonjour,
mais je suppose directement vers le site … donc via le cdn …
non pas forcément car le CDN est sur une nouvelle IP d'où la question de la configuration de ezoic.
Cordialement, janus57
Bonjour,
perso dans votre cas je remplacerais "213.186.33.95" par "213.186.33.16" pour me débarrasser du CDN OVH qui sert à rien (vous avez CloudFlare en frontale).
Cordialement, janus57
Oui je partage ce conseil …
Pour info, en désactivant ezoik, par mégarde, le problème est corrigé, ceci prouvant cela… Le support ezoik n'est pas bon du tout et très têtu, ils font le coup de l'électricien qui ne veut passer qu'après le plombier et qui dit que le problème est côté plombier.
La désactivation du CDN d'OVH semble faire apparaître des erreurs 525 SSL Handshake error … pour laquelle ezoik conseille une configuration particulière (cf message d'origine). Par contre ovh ne semble pas ouvert à ses solutions, en tout cas ne répond pas à la demande.
Bonjour,
Whitelisting Ezoic's IP Addresses => OVH ne le fera pas sans une raison valable surtout que ezoic annonce détenir 3633 range IP avec des jolie "44.192.0.0/11" par exemple (== 2,097,152 IPs) ce qui a la fin reviens à whitelister la moitié de internet ou la totalité de AWS (selon le point de vue).
The X-Middleton-IP Request Header => c'est pas un header normé RFC et ce sont visiblement les seule à l'utiliser (alors que de mémoire il existe d'autre header prévu pour passer l'ip d'origine a des proxy intermédiaire et normé RFC)
User Agent Authentication => donnée non fiable - n'importe quel admin système sait qu'il ne faut PAS faire confiance à la valeur du user agent
Set up an X-Forwarded-For Header => déjà en place chez OVH (vu qu'il ont un nginx en frontale des cluster web).
Sinon pour pousser plus loin vous désactivez la proxification de cloudflare comme ça ce sera directement : visiteur -> ezoic -> OVH et vous aurez les message d'erreur de ezoic en directe sans interprétation par cloudlfare (ce qui est plus simple pour diagnostiquer).
Cordialement, janus57
Bonjour,
Whitelisting Ezoic's IP Addresses => OVH ne le fera pas sans une raison valable surtout que ezoic annonce détenir 3633 range IP avec des jolie "44.192.0.0/11" par exemple (== 2,097,152 IPs) ce qui a la fin reviens à whitelister la moitié de internet ou la totalité de AWS (selon le point de vue).
The X-Middleton-IP Request Header => c'est pas un header normé RFC et ce sont visiblement les seule à l'utiliser (alors que de mémoire il existe d'autre header prévu pour passer l'ip d'origine a des proxy intermédiaire et normé RFC)
User Agent Authentication => donnée non fiable - n'importe quel admin système sait qu'il ne faut PAS faire confiance à la valeur du user agent
Set up an X-Forwarded-For Header => déjà en place chez OVH (vu qu'il ont un nginx en frontale des cluster web).
Sinon pour pousser plus loin vous désactivez la proxification de cloudflare comme ça ce sera directement : visiteur -> ezoic -> OVH et vous aurez les message d'erreur de ezoic en directe sans interprétation par cloudlfare (ce qui est plus simple pour diagnostiquer).
Cordialement, janus57
merci,
désactiver l'intégration via cloudflare n'est pas si simple je crois, car ils misent à fond sur cloudflare pour s'intégrer (leur autre modèle d'intégration c'est via un plugin wordpress qu'ils déconseillent car jugés par les utilisateurs très lents)... Je vais voir si OVH et ezoic répondent, mais votre réponse va dans le sens que le problème est à 90% chez ezoic ...
Bonjour,
désactiver l'intégration via cloudflare n'est pas si simple je crois
heu normalement c'est 1bouton dans CloudFlare pour désactiver le mode proxy, normalement c'est rien de complexe ou alors j'ai raté un épisode.
Cordialement, janus57
oui en théorie. Mais 1/ l'action conduit à une erreur (dans un sens ou dans l'autre) 2/ désactiver l'intégration par cloudflare = ezoik plus actif du tout … l'alternative est alors une activation via un plugin wordpress mais annoncée comme hyper lente et fortement déconseillée de ce fait …
Bonjour,
oui en théorie. Mais 1/ l'action conduit à une erreur (dans un sens ou dans l'autre)
vous avez bien un compte cloudflare, tout ce ne gère pas du côtyé ezoic quand même ?
Et dans le compte cloudflare quand vous désactivez le mode proxy ça marche plus ??
Cordialement, janus57