Thread Info
  • State Not Answered
  • Replies 16 replies
  • Subscribers 0 subscribers
  • Views 2608 views
  • Users 0 members are here
Options
Suggested

[7.904][BUG][FIXED] HTTP/S proxy issue w/active-active cluster

darrenl
Hi,

Same issue as 7.903 - was this fixed in 7.904?
Can I reapply the patch again or will this no longer work?

https://community.sophos.com/products/unified-threat-management/astaroorg/f/102/t/69427

Cheers,

Darren

Correction - workaround does not work per 7.903 (i.e. turn off HTTP/S proxy), the http packets are then dropped and won't allow direct connection out.

Had to shut down one node and reboot the other before I got a usable connection.
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 7.904

    Type: BUG

    State: FIXED

    Reporter: darrenl++

    Contributor: 

    MantisID: 

    Target version: 

    Fixed in version: 

    --------------------------------
  • 0
    As original post, HTTP/S proxy started refusing traffic on one node.  Ended up shutting it down so only one node running (the master).  Master still wouldn't serve traffic properly, turned off HTTP/S proxy however HTTP/port 80 packets were then being dropped via filter - other outgoing traffic was not affected.
    Rebooted the master, came back online and served http traffic OK.
    Turned HTTP/S proxy back on, worked ok, web traffic being served.
    Thought I'd bring the other node back online and things started getting interesting: once the slave node was online, master kept failing to slave and vice versa.  Checked in management config and only one node was being shown (pic attached) - the active master, slave was no longer present.  Left it for about 10 mins hoping it would settle down but failover kept on occurring.
    Shut down both servers.
    Powered both back on at the same time, both now recognised and platform "stable", web traffic being served.

    Monitoring.
  • 0
    Had to shut down slave node, any traffic hitting it was not being processed, so VoIP, IPSec Web, anything behind the firewall was failing if it ended up being routed to that node.
  • 0
    Hi Darren,

    couldn't reproduce this issue so far.
    What traffic is not working anymore if you enable the Slave node?

    Only HTTP proxy traffic or all traffic?
    If all traffic is not working anymore, can you disable IPS and check if this helps?

    Best regards
     Ulrich
  • 0
    Hi Ulrich,

    When the slave node is online it stopped HTTP, IPSec, VoIP from passing through the firewall.  Will bring it back online and disable IPS to see if that helps.

    Cheers,

    Darren
  • 0
    Just fired up the slave node, totally bizarre - everything is working OK and I didn't need to disable IPS.  This is how the cluster was operating last night when I applied the 7.904 patch.  Wonder if it needs to run for a while?

    Will monitor to see what happens.
  • 0
    Can you mail me you /var/log/high-availability.log log? Thanks!
  • 0
    Hi Ulrich,

    Back to issues with HTTP/S traffic this morning via the cluster.
    When monitoring the HTTP/S live log, the slave node(3) is not processing any traffic, only the master node.  Computers trying to access web traffic are seeing very poor performance when trying to view web pages.
    Moved profile to 'Standard' from 'Transparent', no change.
    Disabled IPS, no change.
    Disabled HTTP/S proxy, very slight improvement but now see a lot of these style entries hitting the packet log:

    2010:04:30-08:10:17 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54758" dstport="8080" tcpflags="ACK FIN"
    2010:04:30-08:10:17 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54757" dstport="8080" tcpflags="ACK FIN"
    2010:04:30-08:10:17 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54756" dstport="8080" tcpflags="ACK FIN"
    2010:04:30-08:10:17 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54755" dstport="8080" tcpflags="ACK FIN"
    2010:04:30-08:10:19 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54758" dstport="8080" tcpflags="ACK FIN"
    2010:04:30-08:10:19 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54757" dstport="8080" tcpflags="ACK FIN"
    2010:04:30-08:10:19 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54756" dstport="8080" tcpflags="ACK FIN"
    2010:04:30-08:10:19 mercury-1 ulogd[4441]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.10" srcmac="0:23[:D]f:7e:cf:30" dstmac="0:1a:8c:f0:bf:0" srcip="10.10.0.80" dstip="10.10.0.2" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="54755" dstport="8080" tcpflags="ACK FIN"

    Again, no entries in the packet filter for the slave node(3).

    CPU/memory usage for master node (pic attached):


    Cheers,

    Darren
  • 0
    Is the HTTP proxy now working properly with the new kernel?
  • 0
    Hi Ulrich,

    Both nodes are successfully serving requests from the HTTP/S proxy, however, I've noticed that on the master node the CPU utilisation while browsing web traffic is now running between 10-25% utilisation vs. low single digit before.  Is that an expected behaviour with the new kernel?

    Cheers,

    Darren
Cookie Information Banner