Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 487 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Very Odd Issue with Satic IP - Dynamic OK

StephenW
Way back when 8.x came out, I configured two boxes:
1 - Configured with HTTP scanning, dynamic internet IP, IPS enabled
1 - Configured with HTTP scanning, STATIC internet IP, IPS enabled

I had a web server that I had behind NAT, had the proper rules in place (I have other web servers and am totally comfortable with Astaro Rules and configuration). The Web server provided a Java based page over HTTPS. Keep in mind I don't have ANY HTTPS scanning, only HTTP.

Now for some reason, when accessing this page remotely (from the internet), only portions would load. Ultimately I made the decision to put the web server directly on the internet, because it was NOT usable.

Fast forward to 5 months ago...

I normally use the dynamic ASG for web surfing for my office, the static IP ASG handles all the server stuff... I tried to log on to the HTTPS website on one of my servers, and BAM, same issue. The website would load certian stuff, but not load other sections (just as before). I changed my computer to use the Static ASG and the same happened. When using the dynamic it works fine!

Keep in mind ALL configuration is good, double checked, and the same, except one ASG was configured to use DHCP for it's internet adapter, and one ASG was configured staticly off the get go.

I created two new ASG's inside of VMware at the time to test my theory. Same configuration, same everything, just different internet adapter configuration. The issue occured again, one worked and loaded fine, the other wouldn't load sections of the page.

I've checked all the logs, nothing shows up in IPS, nothing shows up in anywhere, EXCEPT when I look at the packet filter log, I'm noticing that the ASG with the static IP configured shows alot of "ACK RST" dropped packets (that when viewing the site on the dynamic ASG do NOT occur).

My network configuration is tested, validated, and 100% ok. The only thing I can narrow the issue down to are those two different configurations (static off the get go, vs dynamic off the get go).

PS. I did a TCP dump and analyzed via wireshark and compared traffic during page loads comparing dynamic configured ASG vs static configured. The dynamic looked very clean, no errors, etc... however with the static ASG, I'm seeing numerous duplicate ACKs, numerous ACK retransmissions, and a bunch of errors about packet fragmentation.

MTU is 1500 across the board. and all testing was done in a VMware environment where all VMs had the same configuration, etc... (My third round of testing I used the same VM, just re-installed Astaro).


Anyone have any ideas?


This thread was automatically locked due to age.
  • 0
    I had a web server that I had behind NAT, had the proper rules in place (I have other web servers and am totally comfortable with Astaro Rules and configuration). The Web server provided a Java based page over HTTPS. Keep in mind I don't have ANY HTTPS scanning, only HTTP.

    Now for some reason, when accessing this page remotely (from the internet), only portions would load. Ultimately I made the decision to put the web server directly on the internet, because it was NOT usable.


    I take it that this is the webserver that you're having difficulty reaching - correct?  If so, where is it in relation to the two Astaro instances - on the same switch?  Or, is this a general problem with a all webservers on the internet?

    Have you experimented with a lower MTU on the instance with a fixed IP?  Have you tried changing to a  fixed IP after the DHCP has assigned an IP to the other instance?

    Cheers - Bob
  • 0
    At first, before I was even aware of an issue, I had it behind the NAT on the Static ASG. When I realized it didn't work, I put the web server directly on the internet with a different satic just because I NEED to have it running. The issue now, is that when I'm behind the static ASG and try viewing the web server, the same behavior (partial page load) occurs... I believe whatever issue is occurring is causing both issues...

    The web server now resides directly on the internet (ISP demarcation to a simple switch). The switch is working fine as it has numerous devices connected to it (web servers, VoIP, 2 X ASG, etc...).

    As for other websites. When I saw the results of the TCP dump from the static astaro, I tried loading some other SSL websites. They loaded fine, however I did see all the distorted traffic (ACK retransmissions, fragmentation errors, etc...), however the pages did load, and at a "normal" speed. This one web server I'm having an issue with actually loads quite the content full page. (It's a very very heavy page load, if you know what I mean (a web application)).

    I havn't touched a lower MTU as my ISP recommends 1500, all devices are set at 1500, the web server is set at 1500, etc...

    This morning as a test I did create a fresh ASG instance in VMware to test changing to fixed after choosing DHCP initially. And it DID work fine afterwards. However I can't remember if I gave it time for the "Definitions" to update.


    And one other note:
    While this was happening initially, i disabled ALL features (HTTP content, IPS, etc..) and created an ALLOW ALL to ALL firewall rule, and this issue still existed.

    I like to think I'm an expert with linux, and networking, and I've never ever ever seen this type of issue. And furthermore this is one of the ONLY issues I've never been able to resolve myself... (I'm not trying to sound cocky, but everything has a clear path to resolve, I don't see it with this...)
  • 0
    Could be a hardware or cable problem.
    Are the NICs the same model in the two Astaro boxes?

    Barry
  • 0 in reply to BarryG
    Could be a hardware or cable problem.
    Are the NICs the same model in the two Astaro boxes?

    Barry


    All the ASG's are being virtualized inside of a vSphere 4 cluster. The cluster has around 20 VMs spread across 3 physical hosts...

    All VMs are running perfectly fine, no packet loss, a few VMs actually push quite a bit of traffic, absolutely no problems whatsoever.

    All the virtualized NICs are the same (used the Virtual Appliance config in testing, and then created my own VM using E1000 nics, absolutely no change).

    I also moved the VMs to other physical hosts just to make sure, and it made no change. The behavior remains the same.
  • 0
    And one more thing!

    I have absolutely NO funky things like VLANs, etc... Available to the VMware environment are two simple networks you can bind to the NICs... Either internal, or internet...
  • 0
    This morning as a test I did create a fresh ASG instance in VMware to test changing to fixed after choosing DHCP initially. And it DID work fine afterwards. However I can't remember if I gave it time for the "Definitions" to update.

    And one other note:
    While this was happening initially, i disabled ALL features (HTTP content, IPS, etc..) and created an ALLOW ALL to ALL firewall rule, and this issue still existed.

    If I understand correctly, this means that the problem with a static IP only occurs when the connection doesn't begin with a DHCP assignment.  I'd definitely try my idea about a lower MTU just as a way to eliminate (or confirm!) the possibility that there's a problem with the ISP.  

    Also, you might ask your ISP to configure their DHCP to assign your device a specific IP.  Or, maybe you could just go with a dynamic IP and DynDNS entry, and then CNAME your original FQDN to point to it.

    Cheers - Bob