Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 1126 views
  • Users 0 members are here
Options
Suggested

[7.903][QUESTION][ANSWERED] WAF

warper
I have a question due to earlier issue. Should I now be able to use WAF for multiple SSL servers now behind the astaro? This was brought up back at 7.900 and now I have gone to 7.903 and still can't use multiples. This was setup originally as a restore of 7.504 to 7.900. Will I need awhile before testing this completely or does it have to do with restoring the 7.504? Basically I want to know if this was setup from scratch would it have worked?

Thanks
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 7.903

    Type: QUESTION

    State: ANSWERED

    Reporter: warper+

    Contributor: 

    MantisID: 

    Target version: 

    Fixed in version: 

    --------------------------------
  • 0
    ... now I have gone to 7.903 and still can't use multiples ...


    What makes you think that this doesn't work? Maybe if you explain in a little more detail what you are trying to achieve, we can work out an answer for you.
  • 0 in reply to kbr
    This thread explained the issue. I have just not gotten an answer if it is a bug or something with the restore of a 7.504 config.

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/102/t/69281
  • 0
    Hmm... i thought you got an answer.

    So, yes there is a bug. And as you can see from the Betabot-Post, it isn't fixed yet. In this special case, there is a conflict between portal, ssl-vpn and WAF all wanting to use the port 443, and we use the mantis id to track the changes for all three areas. Portal and WAF are done by now, and in your case (neither ssl-vpn nor portal) it should work. We haven't tested it yet. though. QA tests are done when all three areas haven been worked on.
  • 0 in reply to kbr
    I understand that. I have been trying to say that even if I disable the portal, and ssl vpn it still will not allow me to bring the second waf service on line. It is a conflict it appears between the 2 that I have configured but could be wrong. I can bring either online and they work. it is just can't bring both online. If someone wants to look at it I am happy to give access to it.
  • 0
    Yes, that was a bug too. It has been handled by the same Mantis ID, and this part should be fixed by now. But for the reasons i mentioned above, i can not guarantee it, so if you want to test it and give us some feedback... ;-)
  • 0 in reply to kbr
    Ok I see it has a Mantis ID of 13264. I never see it on the known bug list. I have tested and tested without trying to reinstall. My question still stands. Do you know where the bug comes from? Is it due to restoring a config from  7.504? You still say to test but don't tell me what. I have tried everything from start from scratch and than config it from scratch. I need some guidance here what exactly you are looking for.
  • 0 in reply to warper
    I never see it on the known bug list.


    Sorry, that is my fault. I'm responsible for putting things up on the KIL, but in this case i thought, we would have fixed this by now, which is obviously not the case.

    Do you know where the bug comes from?


    Yes, we know where the problems are. And yes, it's not one problem, it's a whole group of problems. I'll explain below.

    Is it due to restoring a config from  7.504?


    No, not at all.

    The problem lies in the fact that you normally can't run two services on the same port. We've done some tricks to make this work with the portal and he ssl-vpn, but this doesn't matter in this particular case. Now, if i understand you correctly, you want to run WAF on port 443, and even if you disable ssl-vpn and portal, you can only run one single site on port 443. The error message states that the port 443 is already in use by another WAF site / virtual server.

    What happens here is that a kind of consistency-check does too much. One component that you as an end-user normally don't have to do with directly, is our resource-reservation framework. We use it to make sure that you can't configure for example the http-proxy and the ssh shell access on the same port 9999. This component just does it's job and the result is the error message that you see. The bug herein is that this component is currently configured in the wrong way, because it doesn't take into account that two different virtual servers may actually use the same port, as long as they are running on different IP addresses.
    And to fix this, we have to make sure that the WAF doesn't step on it's own toes, but we also have to modify the portal and the ssl-vpn, because they also can step on the WAFs toes. Because all these changes are so closely related, we put this in the same Mantis ID, and that's why it still isn't fixed.

    So, just to make sure, i tested it on both of my current test-machines, and it seems like the parts that would solve your problem haven't been put it the current beta version, it still throws the same error message.

    I'll put that on the KIL now, so please look there for changes related to Mantis ID 13264 before you put much effort in testing you scenario.
  • 0 in reply to kbr
    KBR 
    thank you for that answer. Yes I have tried it all to get this to work. Now your explanation makes sense and as I had said I kept looking for the bug. I will wait for update to the issue and hopefully will be all good. I am actually looking for this and have been since becoming an Astaro Partner. I am glad to see it is coming.

    Thanks
Cookie Information Banner