Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 677 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BUG: WebAdmin webserver crashes after conflicting port configuration

sinedbret
Hi,

I have found a bug in my Astaro Installation.
I have a Vm installation with the latest firmware: Ver 7.305
If I set the TCP port for the user portal (Management -> User Portal -> Advanced -> Hostname and Port) to the same TCP Port as in the Quarantine Report (Mail Security -> Quarantine Report -> Advanced -> Advanced Quarantine Report options), the Web admin server (Apache) crashes without possibility to restart it. The only solution is to restore the last backup. It is important to note that the rest of the functionalities is OK.
The reason to configure it this way is to be able to access he user portal from outside of the Lan through the link in the email sent to the users. In other words, every day a mail is sent to the users with the email put in quarantine. This email enables users to release the items by clicking on a link (this link is specified in the Quarantine report configuration) but the user portal is specified on a different port. 
There is a workaround for this issue, by using NAT on the firewall.
There is still an issue: the SSL, the link to the qurantine items is specified with HTTP and the portal expects HTTPS, currently I have no solution for the second part of the problem.

Anyway, the bug is quite frustrating and requires to restore the configuration through the command line.

Could someone help me to find a solution.

Thank you

Sined


This thread was automatically locked due to age.
Parents
  • 0
    Sined, you should not use the same port.  The following works fine:


    • Add a DNS entry on your Windows Domain Server

    It is likely that you have a hostname for the IP of the External interface of the Astaro; for example, mail.ourdomain.com.  There’s a way for that to point at the internal interface of the Astaro for users inside the firewall, normally including anyone who has VPN’d in via Astaro Remote Access.

    This assumes that internal users are set up to check an internal DNS prior to looking for an external one on the internet.  On your internal Domain Controller, make sure that in your internal DNS there is an entry in ‘Forward Lookup Zones’ in the ourdomain.com (substitute your domain name) folder that points mail (your sub domain) at the IP of the internal interface on your Astaro.


      Configure the User Portal

    From ‘Management >> User Portal’, on the ‘Global’ tab, click on the folder beside ‘Allowed networks’ then drag ‘Any’ into the box.  You may want to restrict this more, but it’s likely you will have people both inside and outside your firewall who will want to access the User Portal.

    Select whether you want to allow all users or only a select group or individuals, and hit ‘Apply’. 

    On the ‘Advanced’ tab, put mail.ourdomain.com (your subdomain.domain), leave 443 as the standard ‘HTTPS port’* and hit ‘Apply’. [Sined, this may be where you are using something else. No DNAT shold be needed.]

    Your users can now use the portal at https://mail.ourdomain.com/ regardless of where they are.

    *Beginning with V7, Astaro moved WebAdmin access from port 443 to 4444 because many sites DNAT https traffic to an internal server.  Our standard approach has been to create an additional IP on the External interface when we wanted to do things like offering Outlook Web Access via https.  If it’s impractical for you to do this, then you’ll need to change the port.  Astaro suggests 1443 and: https://mail.ourdomain.com:1443/.



    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Sined, you should not use the same port.  The following works fine:


    • Add a DNS entry on your Windows Domain Server

    It is likely that you have a hostname for the IP of the External interface of the Astaro; for example, mail.ourdomain.com.  There’s a way for that to point at the internal interface of the Astaro for users inside the firewall, normally including anyone who has VPN’d in via Astaro Remote Access.

    This assumes that internal users are set up to check an internal DNS prior to looking for an external one on the internet.  On your internal Domain Controller, make sure that in your internal DNS there is an entry in ‘Forward Lookup Zones’ in the ourdomain.com (substitute your domain name) folder that points mail (your sub domain) at the IP of the internal interface on your Astaro.


      Configure the User Portal

    From ‘Management >> User Portal’, on the ‘Global’ tab, click on the folder beside ‘Allowed networks’ then drag ‘Any’ into the box.  You may want to restrict this more, but it’s likely you will have people both inside and outside your firewall who will want to access the User Portal.

    Select whether you want to allow all users or only a select group or individuals, and hit ‘Apply’. 

    On the ‘Advanced’ tab, put mail.ourdomain.com (your subdomain.domain), leave 443 as the standard ‘HTTPS port’* and hit ‘Apply’. [Sined, this may be where you are using something else. No DNAT shold be needed.]

    Your users can now use the portal at https://mail.ourdomain.com/ regardless of where they are.

    *Beginning with V7, Astaro moved WebAdmin access from port 443 to 4444 because many sites DNAT https traffic to an internal server.  Our standard approach has been to create an additional IP on the External interface when we wanted to do things like offering Outlook Web Access via https.  If it’s impractical for you to do this, then you’ll need to change the port.  Astaro suggests 1443 and: https://mail.ourdomain.com:1443/.



    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Dear Bob,

    Thank you for your answer. I really appreciate the time you spent answering my question.
    However, I still have 2 remarks:
    - It is not normal that you are able to put at 2 different locations the same TCP port for different purposes and moreover to be able to crash definetely the Web server.
    - As mentionned in my long question (sometimes not clear I must admit), the links to release or whitelist the email in the quarantine report are constructed with http and not https. I have not found a way of changing this in the interface. The user portal is expecting SSL but the reports links to HTTP. In fact, this is the only remaining obstacle to use it easily and communicate it to my email users.

    Thank you again for your help.

    Sined
  • 0 in reply to sinedbret
    Sined,

    When you assign the same port at the same address, the device doesn't know which service to start when it sees the traffic; it should behave as it did!

    The User Portal access is via https.  The release links in the emails are http, and they don't need to know that.

    The post above is an extract from a cheat sheet I created for configuring the User Portal and LDAP or  AD in the Astaro.  Send me an email, and I'll send it to you.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner