Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 1138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I must be missing something

jdogsupreme
I have installed the VMware appliance version (8.102) with two interfaces.  I have a pretty straight forward set of resources I want to publish to the internet.

DNS - works
SMTP - works
HTTP - doesn't work
HTTPS - doesn't work

Here are the details:

For DNS the installation wizard created a default packet filter from (internal network) to any.  I created a dsnat Source- any, Service - DNS, Traffic Destination - External WAN Address, Nat Mode - DNAT, Destination - Internal DNS IP address. Automatic Packet filter rule is checked.

For http - Source - Any, Service - HTTP, Destination - External WAN address, Destination - Internal Webserver IP, Nat Mode - DNAT, Destination Service HTTP. Automatic Packet Filter rule is checked.

So everything looks functionally the same to me, but the http rule doesn't allow for the page to load.  It does however, load somewhat, but very slowly from the internet.  It ultimately times out with a connection reset error.

What am I missing here? Driving me crazy!

Thanks,

John


This thread was automatically locked due to age.
  • 0
    Hi,
    I am not sure why you would want the world to access your DNS?

    What you haven't said is that your are a business or a home user. If you are business what subscriptions do you have? If you are home user why don't you use the web application server function?

    Ian M
  • 0
    I just happen to host dns that is authoritative for my domain name.  Makes it easy to add additional A records etc.  The DNS part works the firewall passes that traffic just fine.  SMTP also works just great.

    The problem is with http and https... neither one seem to work.  In terms of license right now I am using the trial license that came with the product.  Beyond that this firewall will be used as part of a lab environment I am running.

    Does anything immediately jump out at you that I have configured incorrectly?  From where I stand it should work.  After writing this note, I looked at the packet filter log and saw some blocks using only DNAT.  I manually added packet filters (though the dnat had the check box to create ticked) and the packet filter log cleaned up.

    However, the problem of the webpage only partially loading continued, before dieing and then reseting ultimately in a couple minutes.   I also tried to download a zip file that I had hosted on the site and was only able to download about 2.5kb.

    In the back of my mind I have been thinking Astaro may have a problem with mod_gzip content, but am not sure.

    Just feeling like I am missing something dumb...like the publication of http should have been the same as for dns...

    Thoughts?

    Thanks,

    John
  • 0 in reply to jdogsupreme
    Check your IPS Settings... you may have rules being falsely triggered by your website traffic.  YOu can try disabling it temporarily to see if that makes a difference.
  • 0 in reply to BrucekConvergent
    Thanks - IPS wasn't enabled... Any other thoughts?
  • 0
    I re-deployed the appliance and repeated the setup.  Couple observations.  I don't think the dnat wizard actually creates packet filters to support the dnat rules (at least they aren't listed in the packet filter ui).  Regardless after creating dnat rules (which didn't allow access to the webserver) I added inbound packet filter rules which corrected the incoming packetfilter log failures.   Still there were response errors from the webserver.  As a result I added additional packet filters to explicitly allow outbound requests from the webserver to any.

    The result was that the packet filter log came back clean there were no denies for a web response.

    Still the page would only fractionally load before having the connection reset.

    At this point I am feeling like this software itself is pretty much defective...

    Tell me I am wrong.  Anyone know if gzip chunked encoding breaks this thing?
  • 0
    The problems you desrcibe sound like configuration issues.  The Astaro is very easy to use, but like a lot of technical devices, you can get yourself into trouble when first learning it.

    I didn't understand your DNS DNAT, so I can't tell if it's working or if the DNS proxy is handling DNS traffic.

    Your HTTP DNAT is for external access to an internal server, and should work from outside your network.  Although it shouldn't make any difference in this case, it's a good habit to leave 'Destination service' blank if not changing it.  Similarly, if only changing the Service, leave the destination empty.

    If you're having trouble with HTTP access to the outside from the inside, then this sounds like a different issue.  Typically, slow loading means that DNS is not configured correctly and you're getting name resoultion from the root name servers.

    Cheers - Bob
  • 0 in reply to jdogsupreme
     I don't think the dnat wizard actually creates packet filters to support the dnat rules (at least they aren't listed in the packet filter ui). 

    Tell me I am wrong.  Anyone know if gzip chunked encoding breaks this thing?


    Hi,

    Auto-created packet filter rules don't show in the UI - I was also a bit puzzled by this at first.

    Packet filtering (without IPS) is pretty simple and should not break the traffic.
    I am also inclined to suspect a DNS issue.
    Any chance that something is referring to a LAN address? 
    Have you accessed the webserver from WAN prior to setting up the Astaro?

    Since you are running VMWare (vSphere?) you could quickly try another firewall appliance to see if Astaro is the culprit.
    For example this 9MB m0n0wall image, which is easily set up for testing.

    I have had som strange issues with the VMWare appliances as well.
    Ended up with using E1000 adapters for network instead of the default flexible.
    (But my problems weren't service-specific like yours - more general network performance)

    BTW: The latest ISOs contain VMWare tools as well. You could try installing from ISO instead of deploying from OVF.

    Best regards
    Martin