Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 3 subscribers
  • Views 824 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

8.201 Routing Problem?

mikeshappell
It has not been a good Astaro day for us. 

We have three private networks internally. We have a general network for users, which would have all the expected mail, web, etc. traffic. There is a network for VoIP and an additional network for the servers. Astaro provides routing between the networks and DHCP services for the general and VoIP networks.

On the VoIP network there is a PBX and some SIP phones or adapters. Each device has a built-in web server for configuration. When I attempt to access a SIP phone from the general network, I get the login UI, enter a password and then timeout. This was true for each SIP device on that network. Interestingly, I am able to access the PBX without any issue.

Even more interesting, if I create a VLAN interface on my machine for the VoIP network and then try to access the SIP devices, I have no problem. I am not sure what is causing this, but am open to suggestions.

Mike


This thread was automatically locked due to age.
  • 0
    I think before you make any more changes, you need to figure out what caused the breach this morning. If you are the only admin, then it should be fairly easy, however if other people have access to your firewall it could be mis-configured. If you are dnatting a bunch of ports then its understandable but if you had your SIP box configured for LAN access and it was accessed from the WAN, there is some serious misconfiguration.

    After you get some idea on what is going on, I would go back to your last working configuration by importing that backup and reboot astaro. Something is not right and I certainly wouldn't keep on guessing and creating vlans randomly.

    Good luck.
    Bill.
  • 0
    First, I am the only admin.  Second, there were no configuration changes made this morning between the time that SIP traffic was being forwarded from the WAN link and when it wasn't EXCEPT that I disabled SIP handling in network security and then re-enabled it.  That was the only change.  Before disabling it, traffic was forwarded inbound, after it was re-enabled, no SIP traffic was forwarded and the packet filter logs accurately show this traffic as dropped.

    I think you will agree that if these are the only changes, something odd was going on inside the firewall.  There are no DNAT or SNAT rules for SIP, RTP or VoIP traffic. In fact there is only one DNAT/SNAT rule and it relates to IMAP. For some reason the firewall was forwarding traffic to the PBX, which it could only have learned about via its outbound registration to the SIP provider.  Do you see my concern/issue here.

    Mike
  • 0 in reply to mikeshappell
    Mike, I am not doubting what you are seeing, just floating some ideas. You know your system the best but it is highly unlikely no matter how much they break astaro that the core functionality like netfilter would flake out and randomly allow incoming connections. 

    --Bill
  • 0
    Unfortunately, I have no other explanation since I made NO other changes.  None.  Trust me, this is why I posted the original message.  This behavior made no sense, and the result was less than idea.

    With that said, I am still trying to understand why I am unable to get access to my SIP devices from the general network.  It works fine from within the same network, but across the firewall/router (and the Astaro box is the only router in the network) I am unable to access the devices (reliably).

    Mike
  • 0
    Hi, Mike - man, you sure have great questions and explanations!

    Whenever you see unexplainable problems, check the Intrusion Prevention logs.  Any hints there?

    Cheers - Bob
  • 0
    Are you running your webproxy in transparent mode? If yes, try to exclude your phone network in the transparent destination skiplist in the webproxy advanced menu. Maybe this interferes with your phones webpage...
  • 0
    Yes, I am using transparent mode.  I added the VoIP network to the "Skip transparent mode destination hosts/nets" and I was able to successfully access the SIP devices. Thanks for the tip. Now is this a bug?

    Mike
  • 0
    Did you look in the Intrusion Prevention log?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0
    Bob, I removed the exception for the transparent proxy, opened the live IPS log and tried to go to one of the phone web pages.  No entries were displayed in the log for either IP and the request timed out.  I re-added the exception and all worked well.

    Mike
  • 0
    Similar issue here. I've been having problems accessing one particular web site after upgrading to 8.201. Put it in as an exception in Web Security/Exceptions (ticked everything). Same problem. It would take so long on Safari that it would timeout. The site would eventually display with Firefox, but it was unbearably slow.

    But everything would work perfectly if I turned off Web Filtering.

    Once I added the hostname to 'Skip transparent mode destination host/nets' on the Advanced tab the issue was fixed - it was back to being fast.

    So something changed with 8.201 from 8.1x

    James.