Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 2931 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot SSH out from ASL itself

kensee
Hi,

I have got the ASL box to work. I can ssh out from my internal network to a host in the internet but the connection drops after some idle time. This does not happen when I ssh into the ASL box. Therefore, I am trying to ssh out directly from ASL box instead to the host in the internet. However, with the -v -d option, I see that a local port (below 1024) is assigned but it hung there.

Is it a bug or I am missing something?

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Hi kensee,

    i guess there is a connection interrupt somewhere in the internet, which drops your connection from your internal net to a internet host (i know this behaviour from my connections from astaro to our server in washington...)

    If you want "ssh out" from your ASL box, you must enable this (you should see droped packet in the LiveLog).
    Add a rule EXTERNAL_ASL_IP SSH ANY ALLOW and it works.
  • 0 in reply to Markus Hennig
    Hi,

    Thanks for the reply.

    Actually, I already have a rule that says
    "ExternalNetwork any any allow". I even added a "any any any allow" and it still does not work.

    Any idea what is going on? 

    Thanks.  [:S]
Reply Children
  • 0 in reply to kensee
    Hi kensee,

    you need a rule with the interface ip(!), not the network - explicit the interface ip!
  • 0 in reply to Markus Hennig
    Hi Markus,

    Thanks alot. It worked after adding in the interface IP but I don't understand this. Why doesn't it work when I specified the network since the external interface IP is also in the network.

    Another question related to the connection drop. Have you got a solution to this. Is this a problem with ASL keepalive setting? 

    Thanks. 

    Ken See  [:S]
  • 0 in reply to kensee
    Hi kensee,

    1) read our FAQ!

    2) this is no problem of ASL, please ask your provider for his uninterruptile connections/lines and the provider of your provider....
  • 0 in reply to Markus Hennig
    Hi Markus,

    I believe it is not the problem of my provider because if I ssh directly from ASL box and set /proc/sys/et/ipv4/tcp_keepalive_time to 30, the connect is still up after 1 hour.

    However, for my internal network (private address), the connection will drop.

    Any idea.

    Thanks.
  • 0 in reply to kensee
    Hi kensee,

    ok, lets collect some helpfull data:

    After what time (of inactivity) does the connection drop?
    Please do a ssh connect and start on the other side a (slow) traffic generating program (e.g. top). Any connection drop (after what time)?
    After a connection drop please cat /proc/net/ip_canntrack - do you find your connection there?
  • 0 in reply to Markus Hennig
    Hi Markus,

    I cannot get the exact time that the connection will drop because I know it has drop as when I try to type something, the ssh client will close and I need to reconnect. I only know it is within half an hour. Everytime I type sometime, the timer seems to have reset.

    After the connection has dropped (ssh client terminated), the ip_conntrack still show the session there. It has [ASSURED] and use=1.

    What does that mean?

    If you are saying that it is the server or my provider side that is having problems, then why the session that goes out from my ASL box does not terminate even after 1 day.

    Thanks.  [:(]
Unfiltered HTML