Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 3077 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intermittently unable to surf out

fnacer
For the past week, I've been experiencing intermittent problems surfing the Net from behind my Astaro box. This seems to happen primarily after the machine has been idle for awhile. When I attempt to surf to sites such as google, yahoo or ebay, IE simply times out. So does a trace route, getting no further than the firewall. Then, things start happening for no rhyme or reason I can see. One site will start working, then another, then all, then one site will no longer be accessible, etc. This doesn't appear to be a DNS problem as the site names seem to resolve just fine when the sites are inaccessible.

I have made no changes to the firewall configuration (HTTP proxy is off). However, I did install the last three up2date patches last weekend. In fact, after installing the second patch, I was unable to connect to the firewall from one subnet and had to use a machine on a separate subnet/interface. The next day, the connection from the first machine was working again.

A couple more symptoms I have noticed. The little mail monitor program I used to track receipt of mail in various external mailboxes I have never has problem connecting to the external SMTP servers. However, Outlook will occasionally have trouble connecting to the same servers to retreive or send email. 

Also, when I can't surf out to the site, a trace route from the firewall completes successfully.

I am stumped. Does anyone have any suggestions or ideas? Thanks.

Farid
 


This thread was automatically locked due to age.
Parents
  • 0
    • What type of Internet connection are you using?
      (static, pppoe, dhcp is involved...)
    • When you can't get to the admin, can you ping? (that would have to be enabled)
      Can you ping the station you are trying to access it from, from the console?
    • Is DHCP being used on your LAN?
    [/list]
       
  • 0 in reply to SecApp
    The internet connection is ADSL with static IPs. DHCP service is enabled on the firewall for s small range of addresses but all the workstations I currently have on the LAN all have individually assigned IPs.

    I only had difficulty accessing the admin interface from one subnet and that was immediately after installing 17 (or was it 18?). Ping was enabled on the server and I could ping the workstation from the console. But the workstation couldn't ping the server. That particular problem has not occured again.

    The simplest explanation for what I've observed is that the ethernet cards in the server (2 quad ports) have suddenly and simultaneously gone bad.  But because all this started with the upgrades leads me to believe that ASL, for some reason, is not routing traffic reliably between the internal ports and the external one. 

    Argh!  It just happened again. One minute I'm reading the messages on this board. The next, I can't connect. 

    Any ideas?

    Thanks.

    Farid 
  • 0 in reply to fnacer
    OK; we may be narrowing it down.

    Do an ifconfig eth0ifconfig eth1... to look at the error statistics on the cards. Then when it happens do an ifconfig eth0 downifconfig eth0 up (if eth0 is the problem interface) to see if that corrects it...
      
Reply
  • 0 in reply to fnacer
    OK; we may be narrowing it down.

    Do an ifconfig eth0ifconfig eth1... to look at the error statistics on the cards. Then when it happens do an ifconfig eth0 downifconfig eth0 up (if eth0 is the problem interface) to see if that corrects it...
      
Children
  • 0 in reply to SecApp
    Thanks for the suggestion.

    I was unable to connect to astaro.org this morning but had no problem going to google, yahoo, and other such sites. After trying for a couple of minutes, I opened another window and used a public proxy service to connect to astaro.org. I immediately switched to the first window and tried astaro.org there again. And you guessed it, I got through. Which, of course, makes the test totally inconclusive. 

    Anyway, I checked all the interfaces and none had any errors. I rebooted the ASL box afterwards anyway. 

    Do you know of a utility I can run on the ASL box that will verify that the web server I am trying to connect to is actually running?

    Thanks.

    Farid 
  • 0 in reply to SecApp
    The saga continues:

    Had trouble connecting to www.astaro.org again. No problem getting to yahoo, google and almost everything else I tried. I saw no pattern (i.e., some mask value) to the sites I couldn't access.

    Tracerouting to astaro.org from the workstation times out at the firewall. No problem tracerouting from the firewall. 

    My only conclusion at this point is that ASL is not routing SOME addresses SOME of the time. The routing is currently set up through a masquerade rule. I edited the rule and saved it without changing anything.... Suddenly, the traceroute I had started in another window got past the firewall and I;m able to surf here. Strange...

    Farid 
  • 0 in reply to fnacer
    Anything unusual in the logs??
      
  • 0 in reply to SecApp
    [ QUOTE ]
    Anything unusual in the logs??
       

    [/ QUOTE ]

    Thanks for making me take yet another look around the logs. It turns out I hadn't looked closely at the kernet logs which is where I found the following nugget:

    MASQUERADE: Route sent us somewhere else.

    From what I read on the subject on Usenet, this appears to be a problem that cropped up in the Linux 2.4.23 kernel. Someone apparently fixed it by replacing the MASQ rule with an SNAT rule. So I gave that a try. Time will tell whether this takes care of it.

    Odd that no one else has had that problem. 

    Farid