Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 3 subscribers
  • Views 5469 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Taking Astaro out of production.

Jayson
Whelp I think I'm going to take Astaro out of production in my home lab. 

Even with my years of experience with the Cisco Pix and other similar products like the iPrism I've been unable to setup Astaro in a fashion that will allow me to use even the simplest of programs like Ventrilo a basic voice chat program. See Thread

The Astaro product does seem like the best product I've used, however the lack of documentation and or configuration examples tied in with the fact so many others seem to be having the same unanswered problems kind of puts this product on the back burner for me at this time.

I will probably keep it around for lab testing, but I don't think I'll put this back in to production till the documentation catches up with the product or some real world configuration examples present themselves.

As it sits, the product is no good to me if it makes everything else unusable.


This thread was automatically locked due to age.
Parents
  • 0
    So Jayson, did the info ClausP provide help?  What was the answer?
  • 0 in reply to BrucekConvergent
    So Jayson, did the info ClausP provide help?  What was the answer?


    I was unable to get the DNAT working with the information he supplied, I did however tinker with it for another day or so and found that I could get it working with a lot of playing around.

    The problem continues in the logging NOT showing any blocks or drops on "some" programs. What I mean by that is when I first setup ASG I was seeing all kinds of drops from different programs, adobe, google, avg, vmware, games etc... At which point I was able to see those dropped connections and setup filter rules which would allow those programs to connect out. But I didn't see for example port 6100 for ventrilo was being dropped, it simply doesn't show up in the live logs. Once I opened that I could get it working. The server destination port was 3784 (1024 on the return) and the return port is a range of ports between 2 - 4k. (and this is not documented anywhere for the client program, in the doc, their site or their forums, even tried google with no luck) 

    The solution so far is to setup DNAT to allow a range of incoming ports and the out going port of 3784. Then of course setup a filtering rule to allow the same. We touched on this in the post that started this whole silliness.

    Client connects out on random ports between 2-4k to port 3784 on the server.
    The server responds from port 1024 (for whatever reasons) to the random port the client used to connect out.
    And for no reason that I can find at all the client must have port 6100 open to connect the ventrilo directory service. I think this might be a system that allows them to find cracked s/n's on servers. Kind of a phone home system, but I'm not totally sure about about that.

    So in the example above one would need to setup a DNAT rule to allow the Source port 1024 (server) to connect to the destination ports 2000-4000 (your network) 
    Then a filter rule needs to be setup under packet filtering to allow default ventrilo ports and port 6100... 

    That will get you out. (when I get some time I will make a better tutorial)
Reply
  • 0 in reply to BrucekConvergent
    So Jayson, did the info ClausP provide help?  What was the answer?


    I was unable to get the DNAT working with the information he supplied, I did however tinker with it for another day or so and found that I could get it working with a lot of playing around.

    The problem continues in the logging NOT showing any blocks or drops on "some" programs. What I mean by that is when I first setup ASG I was seeing all kinds of drops from different programs, adobe, google, avg, vmware, games etc... At which point I was able to see those dropped connections and setup filter rules which would allow those programs to connect out. But I didn't see for example port 6100 for ventrilo was being dropped, it simply doesn't show up in the live logs. Once I opened that I could get it working. The server destination port was 3784 (1024 on the return) and the return port is a range of ports between 2 - 4k. (and this is not documented anywhere for the client program, in the doc, their site or their forums, even tried google with no luck) 

    The solution so far is to setup DNAT to allow a range of incoming ports and the out going port of 3784. Then of course setup a filtering rule to allow the same. We touched on this in the post that started this whole silliness.

    Client connects out on random ports between 2-4k to port 3784 on the server.
    The server responds from port 1024 (for whatever reasons) to the random port the client used to connect out.
    And for no reason that I can find at all the client must have port 6100 open to connect the ventrilo directory service. I think this might be a system that allows them to find cracked s/n's on servers. Kind of a phone home system, but I'm not totally sure about about that.

    So in the example above one would need to setup a DNAT rule to allow the Source port 1024 (server) to connect to the destination ports 2000-4000 (your network) 
    Then a filter rule needs to be setup under packet filtering to allow default ventrilo ports and port 6100... 

    That will get you out. (when I get some time I will make a better tutorial)
Children
  • 0 in reply to Jayson
    Glad you got it working... I knew there had to be a way.
  • 0 in reply to BrucekConvergent
    Glad it's working. 

    However I feel the silly urge to address the documentation issue. 
    Being a person who *gasp* yes actually worked in Astaro  support. 

    I'll would love to point out how may tickets come in a day marked- 
    how do I set up SMTP proxy? How does DNAT work?
    Where is the network accounting button?????
    Can Astaro policy route??
    How do I install my license??

    (the list goes on and on)

    These are people who know full well where the manual is, and where the KB be, but stack the support queue full of questions that do unfortunately  revolve around them rather to put in a case, and complain it wasn't answered in 4 hours, then spend 2 minutes using the search function. 

    It frustrates engineers. and end users who have a real problems -or who are waiting for one of us to help them, but we are busy answering silly questions that answers CAN be found for with a little effort.
  • 0 in reply to BrucekConvergent
    Glad you got it working... I knew there had to be a way.


    I feel that I've probably been spoiled by SPI...
  • 0 in reply to Jayson
    I find Astaro dead easy to use once you get the basics of NAT and filters sorted out.

    I started off from knowing pretty much zilch about firewalls but taught myself through this forum and trial and error and google [:)]

    That was about 6 years ago now.

    One thing I've learnt is firewalls are not to be taken lightly.  A person should understand what they are trying to do and the possible consequences of implementing it.

    This annoys me when it comes to home users, they want everything, quickly and easily, with often no real understanding of what's being accomplished, oh and they want it all free.

    That's fine, but remember Astaro is 99% a corporate product who just happen to offer home licenses, (which are really intended for admins to be able to test and learn at home rather than screwing around with their corporate firewall).

    Anyway, my two cents.