Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 486 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Very Odd Issue with Satic IP - Dynamic OK

StephenW
Way back when 8.x came out, I configured two boxes:
1 - Configured with HTTP scanning, dynamic internet IP, IPS enabled
1 - Configured with HTTP scanning, STATIC internet IP, IPS enabled

I had a web server that I had behind NAT, had the proper rules in place (I have other web servers and am totally comfortable with Astaro Rules and configuration). The Web server provided a Java based page over HTTPS. Keep in mind I don't have ANY HTTPS scanning, only HTTP.

Now for some reason, when accessing this page remotely (from the internet), only portions would load. Ultimately I made the decision to put the web server directly on the internet, because it was NOT usable.

Fast forward to 5 months ago...

I normally use the dynamic ASG for web surfing for my office, the static IP ASG handles all the server stuff... I tried to log on to the HTTPS website on one of my servers, and BAM, same issue. The website would load certian stuff, but not load other sections (just as before). I changed my computer to use the Static ASG and the same happened. When using the dynamic it works fine!

Keep in mind ALL configuration is good, double checked, and the same, except one ASG was configured to use DHCP for it's internet adapter, and one ASG was configured staticly off the get go.

I created two new ASG's inside of VMware at the time to test my theory. Same configuration, same everything, just different internet adapter configuration. The issue occured again, one worked and loaded fine, the other wouldn't load sections of the page.

I've checked all the logs, nothing shows up in IPS, nothing shows up in anywhere, EXCEPT when I look at the packet filter log, I'm noticing that the ASG with the static IP configured shows alot of "ACK RST" dropped packets (that when viewing the site on the dynamic ASG do NOT occur).

My network configuration is tested, validated, and 100% ok. The only thing I can narrow the issue down to are those two different configurations (static off the get go, vs dynamic off the get go).

PS. I did a TCP dump and analyzed via wireshark and compared traffic during page loads comparing dynamic configured ASG vs static configured. The dynamic looked very clean, no errors, etc... however with the static ASG, I'm seeing numerous duplicate ACKs, numerous ACK retransmissions, and a bunch of errors about packet fragmentation.

MTU is 1500 across the board. and all testing was done in a VMware environment where all VMs had the same configuration, etc... (My third round of testing I used the same VM, just re-installed Astaro).


Anyone have any ideas?


This thread was automatically locked due to age.
Parents
  • 0
    This morning as a test I did create a fresh ASG instance in VMware to test changing to fixed after choosing DHCP initially. And it DID work fine afterwards. However I can't remember if I gave it time for the "Definitions" to update.

    And one other note:
    While this was happening initially, i disabled ALL features (HTTP content, IPS, etc..) and created an ALLOW ALL to ALL firewall rule, and this issue still existed.

    If I understand correctly, this means that the problem with a static IP only occurs when the connection doesn't begin with a DHCP assignment.  I'd definitely try my idea about a lower MTU just as a way to eliminate (or confirm!) the possibility that there's a problem with the ISP.  

    Also, you might ask your ISP to configure their DHCP to assign your device a specific IP.  Or, maybe you could just go with a dynamic IP and DynDNS entry, and then CNAME your original FQDN to point to it.

    Cheers - Bob
Reply
  • 0
    This morning as a test I did create a fresh ASG instance in VMware to test changing to fixed after choosing DHCP initially. And it DID work fine afterwards. However I can't remember if I gave it time for the "Definitions" to update.

    And one other note:
    While this was happening initially, i disabled ALL features (HTTP content, IPS, etc..) and created an ALLOW ALL to ALL firewall rule, and this issue still existed.

    If I understand correctly, this means that the problem with a static IP only occurs when the connection doesn't begin with a DHCP assignment.  I'd definitely try my idea about a lower MTU just as a way to eliminate (or confirm!) the possibility that there's a problem with the ISP.  

    Also, you might ask your ISP to configure their DHCP to assign your device a specific IP.  Or, maybe you could just go with a dynamic IP and DynDNS entry, and then CNAME your original FQDN to point to it.

    Cheers - Bob
Children
No Data