Разрывы сессий пользователей при использовании TLS шлюза континент

Может быть подскажет кто куда копать? Уже все перепроверили. Суть проблемы такая. Стоит приложение. Доступ организован через TLS шлюз Континент. Пока работали на SSL3 все вроде было норм, разрывы были э■■■■ическими и очень редкими. После перехода стали каждый день. Сторона Континента говорит смотрите у себя, томкат уже весь перенастроли…результата нет.
Из фактов которые нам удалось узнать.

  1. У нас есть шлюз через который работает много других систем. Мы работаем с ним же. Внешка идет от клиентов TLS ГОСТ после TLS шлюза идет на порт 80
  2. разрывы происходят не у всех сразу одномоментно а постепенно. Бывает так что сессию не обрубает, а бывает так что выбрасывает на экран авторизации.
  3. Мы видим в томкате что количество thredов возрастает и видим зависшие сессии.
  4. Для наc TLS шлюз черный ящик. Как он работает хз и логов в нем нет о_О
  5. В логах приложения видим только Connection reset by peer: socket write error
  6. Все настройки подняли в топ что аппаратно что конфигурационно в файлах. В том числе число коннектов более 1000 разрешено. Проблема не решается, континенты ничего не могут сказать, ситуация патовая. Не комфортно работать пользователям.
  7. После ребута системы она работает где то 36 часов а потом видимо из за переполнения зависших сессии начинает тормозить. Проблема решается только ребутом.

Может быть кто то сталкивался с проблемой подобной или будут мысли?

Дополнение. Проблема при проксировании клиенты - TLS GOST nginx - tomcat 7
Как будто какие то ограничения есть у томката.
Настройки коннекторов 80 и 8009 в максималке такие как МаксТред, МахКоннектионс, ЭктивКаунт, и другие. В логах висит по netstat -an по 6000 подключений и большая часть WAIT
Может быть у кого то будут какие нибудь идеи?

Нужно поискать в tomcat какую-нибудь настройку типа connection idle timeout, чтобы при неактивности соединения он закрывал соединение.
Возьмите с tomcat thread dump, чтобы посмотреть, что это за соединения (keepalive или м.б. websocket), это можно сделать утилитой jstack или из jmx console.

tomcat7 - очень старый. Какая у вас версия платформы? Для CUBA 6 рекомендуется 8.5, для CUBA 7 - tomcat 9.

платформа 5.6. Tomcat 7. К сожалению все возможные настройки томката я уже менял. Насчет tomcat thread dump попробую.
А есть ли какой нить мануал как 5.6 перекинуть на Томкат 8, стоит ли игра свечь? На что обратить внимание ?
Вообще чисто теоретически, как я понял на количество пользователей влияют параметры MaxConnection, AceptCount, MaxThread и подобные. Но все равно они не дают результат. Возможно тут проблема в всязке nginx + tomcat при проксировании. Возможно джинкс что то делает. что не нравиться томкату. Потому что если по SSL напрямую - все работает хорошо. Но так как требование ГОСТ шифрование - без аппаратного nginx с ГОСТом нельзя :frowning: