Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 1140 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

I must be missing something

jdogsupreme
I have installed the VMware appliance version (8.102) with two interfaces.  I have a pretty straight forward set of resources I want to publish to the internet.

DNS - works
SMTP - works
HTTP - doesn't work
HTTPS - doesn't work

Here are the details:

For DNS the installation wizard created a default packet filter from (internal network) to any.  I created a dsnat Source- any, Service - DNS, Traffic Destination - External WAN Address, Nat Mode - DNAT, Destination - Internal DNS IP address. Automatic Packet filter rule is checked.

For http - Source - Any, Service - HTTP, Destination - External WAN address, Destination - Internal Webserver IP, Nat Mode - DNAT, Destination Service HTTP. Automatic Packet Filter rule is checked.

So everything looks functionally the same to me, but the http rule doesn't allow for the page to load.  It does however, load somewhat, but very slowly from the internet.  It ultimately times out with a connection reset error.

What am I missing here? Driving me crazy!

Thanks,

John


This thread was automatically locked due to age.
Parents
  • 0
    I re-deployed the appliance and repeated the setup.  Couple observations.  I don't think the dnat wizard actually creates packet filters to support the dnat rules (at least they aren't listed in the packet filter ui).  Regardless after creating dnat rules (which didn't allow access to the webserver) I added inbound packet filter rules which corrected the incoming packetfilter log failures.   Still there were response errors from the webserver.  As a result I added additional packet filters to explicitly allow outbound requests from the webserver to any.

    The result was that the packet filter log came back clean there were no denies for a web response.

    Still the page would only fractionally load before having the connection reset.

    At this point I am feeling like this software itself is pretty much defective...

    Tell me I am wrong.  Anyone know if gzip chunked encoding breaks this thing?
Reply
  • 0
    I re-deployed the appliance and repeated the setup.  Couple observations.  I don't think the dnat wizard actually creates packet filters to support the dnat rules (at least they aren't listed in the packet filter ui).  Regardless after creating dnat rules (which didn't allow access to the webserver) I added inbound packet filter rules which corrected the incoming packetfilter log failures.   Still there were response errors from the webserver.  As a result I added additional packet filters to explicitly allow outbound requests from the webserver to any.

    The result was that the packet filter log came back clean there were no denies for a web response.

    Still the page would only fractionally load before having the connection reset.

    At this point I am feeling like this software itself is pretty much defective...

    Tell me I am wrong.  Anyone know if gzip chunked encoding breaks this thing?
Children
  • 0 in reply to jdogsupreme
     I don't think the dnat wizard actually creates packet filters to support the dnat rules (at least they aren't listed in the packet filter ui). 

    Tell me I am wrong.  Anyone know if gzip chunked encoding breaks this thing?


    Hi,

    Auto-created packet filter rules don't show in the UI - I was also a bit puzzled by this at first.

    Packet filtering (without IPS) is pretty simple and should not break the traffic.
    I am also inclined to suspect a DNS issue.
    Any chance that something is referring to a LAN address? 
    Have you accessed the webserver from WAN prior to setting up the Astaro?

    Since you are running VMWare (vSphere?) you could quickly try another firewall appliance to see if Astaro is the culprit.
    For example this 9MB m0n0wall image, which is easily set up for testing.

    I have had som strange issues with the VMWare appliances as well.
    Ended up with using E1000 adapters for network instead of the default flexible.
    (But my problems weren't service-specific like yours - more general network performance)

    BTW: The latest ISOs contain VMWare tools as well. You could try installing from ISO instead of deploying from OVF.

    Best regards
    Martin