Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 2 subscribers
  • Views 6484 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing/access problem that just showed up with 7.401

predatorsw
I have a 320 that I just upgraded to 7.401 (from .3 something) and I have a problem getting people from inside our network to be able to see our own website.

We have a unique IP addy for the website that resolves to 66.213.240.155. I have the firewall automatically route via DNAT from any http destination 66.213.240.155 to our internal dmz located webserver at 10.2.1.80.

From the internal network (10.2.2.X) I can nslookup and resolve correctly and I can ping it. I've viewed the packet rules using live log and nothing is getting fired when trying to view the website. I also get nothing by trying to directly connect to http://66.213.240.155. I can't telnet into that address at port 80 either.

I've got three network plugs, internal (10.2.2.X), dmz (10.2.1.X) and internet with all of our public IP addy's connect directly to our T1 CSU/DSU.

This just stopped working with our upgrade to 7.4.

I'm a bit at a loss as to why this suddenly stopped working and how I can try to figure out what is going on.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BAlfson
    It's an "additional," primary is .154

    A re-save of dnat and masq didn't seem to improve things. It's like dnat isn't working for the 10.2.2.X internal addy's. I'll add a specific dnat from internal to the webserver and see if that helps.
  • 0 in reply to predatorsw
    I put in a specific dnat rule internal network 10.2.2.0/24, http to 66.213.240.155 to go to 10.2.1.80 and it still doesn't like it. Sounds like we may have an official bug on our hands? It seems a little strange as the dnat rule from our external ip addy to the ftpwebserver appears to work.
  • 0 in reply to predatorsw
    If you have support, you should probably open a case.

    You could run tcpdump on both the ext and int interfaces, and see if the packets are getting routed correctly in each direction.

    Barry
  • 0 in reply to BarryG
    tcpdump? Is there a way to do that from the UI? I tend to avoid the command prompt.
  • 0 in reply to predatorsw
    Sorry, command-line only.

    You could use Wireshark on a PC, but you'd have to put a hub or tap or span-port on each side of the firewall to get the full picture.

    The Wireshark and Pcap folks have a new remote sniffer interface, which would be great for this case, but it's not going to be trivial to get running.

    Barry
  • 0 in reply to BarryG
    http://portal.knowledgebase.net/display/2/articleDirect/index.asp?aid=215522

    This seems silly to me. Wouldn't a plain old dnat any http ip destination -> webserver work? I added in a full NAT as suggested here and it seemed to work.

    That was article ID 215522, the help system while trying to help you sticks in a ton of other junk in the url.
  • 0 in reply to predatorsw
    Yes, DNAT should work. I use it as do many others here.

    Barry
  • 0 in reply to BarryG
    Astaro's official response was, "any doesn't mean any when it comes from one of the internal address pools."

    Which I cried baloney.

    quote:

    "The rule that you have in place is used to get around an issue with internal servers, when you are trying to access the public IP address of the server. This is a networking problem that goes along with DNAT technology in general. What happens is that the packets reach the ASG, which is set as the default gateway for the network.  The packet then is DNATed to the internal server. Now you have a packet with a source of the internal network and a destination of the internal network.  The server then uses ARP to transfer the data, thinking that the packet originated from the host on the LAN.  This is theoretically true, but then the session breaks down due to the asynchronous traffic pattern."

    Uhm, ya. So any doesn't mean any if it comes from any internal network serviced by the firewall itself. Go figure.
  • 0 in reply to predatorsw
    It wasn't until I read your last post that I understood you were trying to access the DMZ server at the external IP.  Here's my understanding, and I welcome corrections...

    It's not clear to me why, but, as I understand the documentation, this should work now without your full NAT if you are accessing the webserver via the HTTP proxy.

    If your setup worked before outside the proxy, then I think that was an "unintended feature" of earlier versions.  Theoretically, the server in the DMZ would respond back to the Astaro, but the Astaro wouldn't know how to route the response, as support said in the quote you supplied.

    One "standard" way to do that with Astaro is to SNAT, replacing the source 'Internal (Network)' with 'DMZ (Address)', but that defeats tracking Internal IPs by the webserver.  Your full NAT accomplishes the same thing as this SNAT.  Creating an Additional Address on the Internal interface and a DNAT from it to the webserver's DMZ address also should work, and would preserve the initiating IP - is that what you meant, Barry?

    If you are accessing the server via the FQDN instead of the explicit IP, then a static DNS entry in the Astaro should solve the problem.

    Another solution might be a route in the server or the Astaro.  Barry could tell us what that would look like if it would work.

    Again, corrections of any misunderstandings are solicited.

    Cheers - Bob