Error 522 – „Con­nec­tion timed out“: So beheben Sie den Fehler

Seit 2010 verhilft der CDN-Service Cloud­fla­re zahl­rei­chen Web­pro­jek­ten zu einer besseren Per­for­mance und erhöhten Si­cher­heit. Im Gegensatz zu kon­ven­tio­nel­len Content Delivery Networks fungiert Cloud­fla­re dabei nicht nur als einfacher Zwi­schen­spei­cher für sta­ti­schen Content, sondern auch als Reverse-Proxy-Server, der im stetigen Austausch mit dem Webserver ist. Das hat den Vorteil, dass die Cache-Inhalte nicht explizit vom Website-Betreiber fest­ge­legt werden – auch eine Quellcode-Anpassung ist nicht notwendig, da man lediglich die DNS-Server anweisen muss, den Service zu nutzen.

Ein bekannter Fehler, der im Zu­sam­men­hang mit dem leis­tungs­star­ken Content Delivery Network immer wieder auftaucht, wird durch die Meldung „Error 522: Con­nec­tion timed out“ angezeigt. Und obwohl dieser Fehler auch als „Cloud­fla­re-Error“ bekannt ist, liegt das Problem genau genommen nicht bei dem Web-Per­for­mance-Service selbst.

Die 522-Meldung zählt wie viele andere Feh­ler­sei­ten im World Wide Web zu den HTTP-Sta­tus­mel­dun­gen: Während die vor­an­ste­hen­de „5“ der Indikator für einen Ser­ver­feh­ler ist, verrät die dar­auf­fol­gen­de „2“, dass der Ser­ver­feh­ler in Zu­sam­men­hang mit Cloud­fla­re auf­ge­tre­ten ist. Der Code 522 steht dabei für eine Zeit­über­schrei­tung beim Ver­bin­dungs­auf­bau (engl. „Con­nec­tion timed out“), die immer dann eintritt, wenn der TCP-Handshake zwischen dem Webserver und Cloud­fla­re fehl­schlägt. Notwendig wird dieser Handshake – der elementar für den Ver­bin­dungs­auf­bau ist –immer dann, wenn der CDN-Service eine Nut­zer­an­fra­ge ent­ge­gen­nimmt, die die Rück­spra­che mit dem Server erfordert. Aufgrund der hohen Ver­wen­dung von Cloud­fla­re zählt der 522-Con­nec­tion-timed-out-Error zu den be­kann­te­ren Browser-Feh­ler­mel­dun­gen.

Anders als man zunächst vermuten würde, ist das Auftreten des 522-Errors also nicht auf eine Fehl­funk­ti­on von Cloud­fla­re, sondern auf ein ser­ver­sei­ti­ges Problem zu­rück­zu­füh­ren. Wie bei vielen ver­gleich­ba­ren HTTP-Fehlern ist es jedoch nicht so einfach möglich, die Feh­ler­quel­le direkt zu benennen. Vielmehr exis­tie­ren ver­schie­de­ne Szenarien, die eine Zeit­über­schrei­tung beim TCP-Ver­bin­dungs­auf­bau zwischen dem CDN-Dienst und dem kon­tak­tier­ten Webserver ver­ur­sa­chen können. Die häu­figs­ten Gründe für die Con­nec­tion-timed-out-Meldung sind die folgenden:

• Webserver ist offline: Häufig wird der HTTP-Error 522 angezeigt, weil der kon­tak­tier­te Webserver offline ist. Da die Kom­mu­ni­ka­ti­on zwischen ihm und Cloud­fla­re über das Internet erfolgt, kann ein Austausch dann lo­gi­scher­wei­se nicht statt­fin­den.
  
  
• Über­las­tung des Ori­gi­nal­ser­vers: Cloud­fla­re nimmt dem ur­sprüng­li­chen Webserver, mit dem das jeweilige Projekt betrieben wird, eine Menge Arbeit ab. Für bestimmte Requests der Brow­ser­nut­zer (ins­be­son­de­re dy­na­mi­sche Inhalte) muss der CDN-Dienst dennoch den Ur­sprungs­ser­ver kon­tak­tie­ren. Wie bei einem ge­wöhn­li­chen Server ohne CDN kommt es dabei mitunter zu einer Über­las­tung und einer Zeit­über­schrei­tung beim TCP-Aufbau, wenn zu viele Anfragen gleich­zei­tig ver­ar­bei­tet werden sollen.
  
  
• Firewall blockiert Request: Ist der Ori­gi­nal­ser­ver an eine eigene Firewall gekoppelt, kann dies ebenfalls zum Cloud­fla­re-Error führen. Natürlich sollten die IP-Adressen des Per­for­mance-Services stan­dard­mä­ßig von dieser zu­ge­las­sen werden – dennoch kommt es ge­le­gent­lich vor, dass Adressen per Zufall oder aus­ver­se­hen blockiert sind. In­fol­ge­des­sen kann der Ver­bin­dungs­auf­bau nicht initiiert werden. Feh­ler­haf­te Ein­stel­lun­gen können außerdem dazu führen, dass Pakete innerhalb des Original-Host-Netzwerks gelöscht werden.
  
  
• In­kor­rek­te DNS-Ein­stel­lun­gen: Die DNS-Server von Cloud­fla­re arbeiten mit der hin­ter­leg­ten IP-Adresse des Ori­gi­nal­ser­vers. Jegliche Änderung dieser Adresse muss also über­mit­telt werden, damit die Zu­sam­men­ar­beit von CDN und Server auch weiterhin funk­tio­nie­ren kann. Da viele Webhoster den ver­wal­te­ten Websites in be­stimm­ten Abständen au­to­ma­tisch neue Web­adres­sen zuordnen und nicht an Cloud­fla­re wei­ter­lei­ten, nutzt das DNS-Setup mitunter eine falsche Adresse.
  
  
• Feh­ler­haf­tes Routing: Cloud­fla­re muss über Netz­werk­gren­zen hinaus arbeiten, um für die ge­wünsch­te Per­for­mance-Op­ti­mie­rung von Websites zu sorgen. IP-Routing, das den Weg der ver­schick­ten Pakete durch die ver­schie­de­nen, in­vol­vier­ten Netzwerke regelt, ist daher ein ele­men­ta­rer Be­stand­teil des Content-Delivery-Prozesses. Gibt es Un­stim­mig­kei­ten zwischen Ori­gi­nal­ser­ver und Cloud­fla­re, ist oft eine Con­nec­tion-timed-out-Meldung die Kon­se­quenz.
  
  
• Keep-alive-Nach­rich­ten sind ser­ver­sei­tig de­ak­ti­viert: Cloud­fla­re greift auf den Header-Eintrag „Keep-alive“ zurück, um auf­ge­bau­te Ver­bin­dun­gen über einen längeren Zeitraum hinweg aufrecht zu erhalten und auf diese Weise die Per­for­mance zu ver­bes­sern. Ist die Mög­lich­keit der­ar­ti­ger HTTP-Nach­rich­ten auf dem Webserver de­ak­ti­viert, scheitert der Ver­bin­dungs­auf­bau, was wiederum einen Error 522 zur Folge haben kann. Da die meisten gängigen Webserver den Keep-alive-Eintrag stan­dard­mä­ßig erlauben, geht diese relativ seltene Feh­ler­ur­sa­che fast immer auf einen Kon­fi­gu­ra­ti­ons­feh­ler des Web­mas­ters zurück.

Wenn Sie für ein Web­pro­jekt ver­ant­wort­lich sind, das mit einem Error-522-Problem zu kämpfen hat, sollten Sie un­ver­züg­lich mit der Ur­sa­chen­for­schung beginnen. Bevor Sie sich al­ler­dings über­prü­fen, ob eine der im Abschnitt zuvor ge­schil­der­ten Ursachen vorliegt, sollten Sie sich zunächst ver­si­chern, ob der originale Webserver überhaupt aktiv ist und HTTP-Requests ak­zep­tiert. Ist das nicht der Fall, ist die Kom­mu­ni­ka­ti­on zwischen Cloud­fla­re und Server lo­gi­scher­wei­se unmöglich – selbst wenn sämtliche Ein­stel­lun­gen korrekt sind. Zeigt dieser erste „Schnell“-Check, dass der CDN-Service ei­gent­lich wie geplant auf die Server-Res­sour­cen zugreifen kann, bedarf es al­ler­dings einer genaueren Analyse, um die Feh­ler­quel­le zu finden.  

In den folgenden Ab­schnit­ten haben wir die er­folg­ver­spre­chends­ten Lö­sungs­an­sät­ze zum Beheben des Errors 522  zu­sam­men­ge­tra­gen.

Die Über­las­tung des Web­ser­vers zählt zu den häu­figs­ten Ursachen für den Error 522. Das Be­su­cher­auf­kom­men kann al­ler­dings zu keinem Zeitpunkt ein­hun­dert­pro­zen­tig vor­aus­ge­se­hen werden. Ins­be­son­de­re punk­tu­el­le Last­spit­zen sorgen schnell dafür, dass der Server nicht mit der Ver­ar­bei­tung der HTTP-Requests hin­ter­her­kommt – daher sollten Sie die Traffic-Ent­wick­lung Ihres Web­pro­jekts mithilfe von Analyse-Software im Auge behalten. Werten Sie die Daten re­gel­mä­ßig aus, um Engpässe ausfindig zu machen und das Hardware-Setup der Hosting-Umgebung ent­spre­chend aufwerten zu können. Flexible Cloud-Hosting-Lösungen erlauben Ihnen bei­spiels­wei­se, Res­sour­cen punkt­ge­nau zu skalieren, um optimal auf Tageszeit-, Wochentag- oder saisonal bedingte Schwan­kun­gen reagieren zu können.

Um her­aus­zu­fin­den, ob die von Cloud­fla­re genutzten IP-Adressen von Ihrem Webserver blockiert werden, müssen Sie einen Blick in die ent­spre­chen­den Ein­stel­lun­gen der Firewall und anderer Fil­ter­an­wen­dun­gen – wie bei­spiels­wei­se iptables – werfen. Auch in der .htaccess-Datei ist die Filterung von In­ter­net­adres­sen möglich, weshalb Sie diese ebenfalls auf blo­ckier­te IPs über­prü­fen sollten. Eine Auf­lis­tung jener Adressen, die der CDN-Service-Provider verwendet, finden Sie auf der of­fi­zi­el­len Homepage. Ist eine dieser Adressen in den genannten Pro­gram­men (oder Tools mit ähnlichen Funk­tio­nen) gesperrt, müssen Sie diese ent­sper­ren, um den Error 522 zu beheben. Häufig blo­ckie­ren die An­wen­dun­gen die IPs sogar au­to­ma­tisch, weshalb Sie auf Nummer sicher gehen und die Cloud­fla­re-Adressen auf die Whitelist setzen sollten.

Wenn Ihr Webhoster auf einen re­gel­mä­ßi­gen Wechsel der Web­ser­ver­adres­se setzt, liegt es an Ihnen, die ver­än­der­ten IPs an Cloud­fla­re wei­ter­zu­lei­ten. Die Provider teilen diese Ver­än­de­run­gen nämlich stan­dard­mä­ßig aus­schließ­lich den eigenen DNS-Servern mit. Kommt es also zu einem Error 522, lohnt sich ein Blick in die IP-Ein­stel­lun­gen Ihrer Domain. Loggen Sie sich in das ent­spre­chen­de Ad­mi­nis­tra­ti­on­s­pa­nel Ihres Web­pro­jekts ein und notieren Sie sich die aktuellen IPv4- und IPv6-Adressen des Web­ser­vers. Wechseln Sie an­schlie­ßend in das Kon­fi­gu­ra­ti­ons­me­nü von Cloud­fla­re und wählen Sie dort die feh­ler­ver­ur­sa­chen­de Domain aus. Klicken Sie auf den Menüpunkt „DNS“ und tragen Sie die notierten Web­adres­sen an­schlie­ßend in die ent­spre­chen­den DNS-Records ein (Type AAAA: IPv6, Type A: IPv4).

Sollte der Cloud­fla­re-Error auf falsche HTTP-Header-Ein­stel­lun­gen zu­rück­ge­hen, lässt er sich in der Theorie relativ einfach beheben. Wenn „Keep-alive“ aus­ge­schal­tet oder eine zu geringe Anzahl möglicher Requests definiert ist, können Sie dies in der je­wei­li­gen Kon­fi­gu­ra­ti­ons­da­tei des Web­ser­vers (z. B. in der httpd.conf bei Apache-Servern) kor­ri­gie­ren. Vor­aus­set­zung ist al­ler­dings, dass Sie über die ent­spre­chen­den Rechte verfügen, was ins­be­son­de­re bei Shared-Hosting-Paketen häufig nicht der Fall ist. In solch einem Fall bleibt Ihnen lediglich die Mög­lich­keit, Kontakt zu dem Provider auf­zu­neh­men. Bleibt dieser bei der Ein­stel­lung, „Keep-alive“ für das gewählte Paket zu blo­ckie­ren, müssen Sie einen Wechsel des Hosting-Modells bzw. des Anbieters in Erwägung ziehen.

Lässt sich der 522-Error auf ein Problem beim Routing des Da­ten­ver­kehrs zu­rück­füh­ren, sollten Sie sich direkt an den Support von Cloud­fla­re wenden. Erstellen Sie ein Ticket, in dem Sie das Problem schildern, und geben Sie dabei an, welche Bereiche Sie bereits auf Fehler überprüft haben. Der CDN-Provider empfiehlt darüber hinaus, Tools wie MTR oder tra­ce­rou­te zu nutzen, um In­for­ma­tio­nen über die aktuelle Pa­ket­ver­mitt­lung zwischen Ihrem Webserver und den Cloud­fla­re-IPs zu ermitteln. Die Er­geb­nis­se können Sie Ihrem Ticket anhängen (Text-/Bild­for­mat), um den Pro­blem­lö­sungs­pro­zess zu be­schleu­ni­gen.

Die Auf­lis­tung möglicher Feh­ler­ur­sa­chen ver­deut­licht, dass es sich bei HTTP-Error 522 aus­schließ­lich um ein ser­ver­sei­ti­ges Problem handelt. Wenn Sie also lediglich im Angebot des World Wide Webs stöbern und Ihnen die 522-Meldung beim Aufrufen einer Website begegnet, liegt das nicht etwa an einer gestörten In­ter­net­ver­bin­dung oder an einem feh­ler­haft ar­bei­ten­den Plug-in. Das heißt al­ler­dings auch, dass Sie Ih­rer­seits das Problem nicht direkt lösen können. Um den Frust gering zu halten (bzw. erst gar nicht entstehen zu lassen), ist es daher ratsam, den Besuch des Web­pro­jekts auf einen späteren Zeitpunkt zu ver­schie­ben. Im Op­ti­mal­fall ist das Kom­mu­ni­ka­ti­ons­pro­blem zwischen Cloud­fla­re und Webserver bis dahin behoben, sodass die Seite wieder wie geplant aus­ge­lie­fert wird.

Natürlich können Sie auch Kontakt zu dem zu­stän­di­gen Webmaster aufnehmen – ins­be­son­de­re, wenn die Seite auch nach mehreren Versuchen nicht funk­tio­niert und weiterhin den Cloud­fla­re-Error anzeigt. Unter Umständen erhalten Sie auf diese Weise wertvolle Hin­ter­grund­in­for­ma­tio­nen oder einen konkreten Zeitpunkt genannt, zu dem die Website wieder er­reich­bar ist. Ferner ist es möglich, dass sich der Anbieter der Pro­ble­ma­tik bis dato nicht bewusst war – die Kon­takt­auf­nah­me lohnt sich also in jedem Fall.