Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 1334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow traffic over DNAT to one server

ajfarmer
ASG 7.505
Running as VM on ESXi
ESXi Hardware is brand new with plenty of horsepower

I have three servers with DNAT rules.  Two are working perfectly.  The third has multiple of DNAT rules, all of which are showing the same symptoms.  When making a request from outside, a small "spurt" of data makes it through, in the case of an HTTP service it is enough to show the HTML page title and maybe some text, but that's it.  If you leave it long enough, sometimes the page will fully load, but it takes forever - I'm talking 5 or 10 minutes.  Most of the time it just times out.  The symptoms are the same for all of the DNAT rules to this server (HTTP, HTTPS, WebDAV, RDP).  On the internal network, everything is nice and fast from that server as it should be.  This all started happening after changing out our Cisco ASA for the ASG so all fingers point to the ASG - BUT

Here's where the troubleshooting gets weird:

I set up new identical IIS virtual server instances on port 10001 on Server #1 (one of the ones that is working) and Server #2 (the one with the problem).  I put the same ~100k PDF file on each of the servers to provide data to test with.  I set up a "test" DNAT rule for port 10001 pointing to Server #1.  Tested from outside and it worked nice and fast.  I modified the same DNAT rule and the only change I made was to point to Server #2.  The problem appears.  I get enough for the web browser to know it's a PDF and run the Adobe plugin, but the PDF file never fully loads.  So now I'm thinking it's the server with the problem, right?  Well, again, both servers work perfectly on the internal LAN.

I set the DNAT to not automatically create the PF rule and created my own to see what's up and I'm getting nothing but green.  It does not appear that the ASG is blocking anything at all related to this problem.

No other services are running on the ASG except QoS and I fully disabled it as part of the testing with the same result.  No IPS, no proxying, nothing - only DNAT and PF rules.

I have removed all of the DNAT rules for that server and re-added them.  For a while, I just using one DNAT rule for testing to keep things simple.  Same result.

I have removed the server host definition in the ASG and re-added it.

IP information on the server with the problem has been triple-checked.  Gateway is set to the ASG IP.  Again, it worked perfectly with the Cisco ASA which was in place before I installed the ASG.

I have done everything I can think of and this one has me completely stumped.  I thought I would poll you guys before opening a support call.

Thanks!

A.J.


This thread was automatically locked due to age.
  • 0
    More information.  I created a PPTP tunnel on the ASG.  When I connect from outside through the tunnel, I have an internal LAN IP address so I figured the server would be nice and fast (connecting to the IP of the server on the same internal subnet).  It isn't.  It has the same problem as if I were coming in from the outside using the DNAT rule.  Yet there is no routing involved - only whatever overhead or filtering that the ASG is doing... 

    Still stumped.
  • 0
    ESXi Hardware is brand new with plenty of horsepower

    AJ, this sounds like an MTU mismatch or some such.  If there's not an MTU problem, then try setting the interface to half duplex and/or a fixed speed.  Since things were moved, try changing the Ethernet cable.  There is no possible way this isn't a hardware issue.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, have you checked the IPS and PacketFilter logs?

    Also make sure you don't have the HTTP content filter / proxy listening on the EXT interface.

    Barry
  • 0 in reply to BAlfson
    AJ, this sounds like an MTU mismatch or some such.  If there's not an MTU problem, then try setting the interface to half duplex and/or a fixed speed.  Since things were moved, try changing the Ethernet cable.  There is no possible way this isn't a hardware issue.

    Cheers - Bob


    Hi Bob,

    Thanks for the advice.  MTU is set to 1500 in the NIC driver and there are no MTU entries in the registry.  

    All three servers and the ASG are all running on the same physical hardware as VMWare Virtual Servers so the Ethernet cable is the same for all of them.  Two servers are working great.  The third only works properly on the internal network.  When the packets have to flow through the ASG, the problem appears.

    A.J.
  • 0 in reply to BarryG
    Hi, have you checked the IPS and PacketFilter logs?

    Also make sure you don't have the HTTP content filter / proxy listening on the EXT interface.

    Barry


    Hello Barry,

    As I mentioned, the PF logs do not indicate any drops for the ports that are being DNAT'ed to this server.  I can see the accepts in the logs.  The live logs show green when I generate traffic.

    IPS is not running
    HTTP content filter not running
    Proxy not running

    The only service running on the ASG is the firewall.

    A.J.
  • 0
    FYI - I have just purchased a license.  I'm waiting for my key to arrive so I can activate it.  At that point I'm going to open a ticket with Astaro.  Hopefully they can figure this one out...  I still welcome any suggestions.
  • 0
    Regarding hardware - I really don't think it matters, but everything is running on a Dell PowerEdge T710 with Dual Xeon E5520 and 12GB of memory.  With the ASG and the three servers running, it still has plenty of spare overhead available.  Performance of the servers on the LAN is excellent so I really don't think that's the issue...
  • 0
    AJ, mention that you're in the trial phase and your reseller should help you or see to it that Astaro does.

    Wish I knew more about VM...

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I just wanted to report back that this issue was resolved by changing from Flexible NICs to E1000.  I ended up doing a reset to defaults on the appliance as I could not figure out how to remove the internal hooks that the ASG had on the original NICs.  So the process was:
    1. Reset to defaults in the ASG GUI (system then shuts down)
    2. Remove all NICs in VMWARE vSphere Client
    3. Add in E1000 NICs
    4. Start up ASG again and go through setup wizard

    I hope that helps anyone else that may be having a similar issue.
  • 0 in reply to ajfarmer
    I had exactly the same problem with astaro 8 on esx. Very slow load of webpages. My nics where configured as flexible. My solution:

    - Bring down astaro
    - edit the server.vmx file
    - Add for every interface ethernet0.VirtualDev = "e1000" 

    Check the nic configuration in your vmware client. It should said 'e1000'. If not remove your vm from the inventory and readd the virtual machine to the inventory. 

    It works for me....
    Ipas
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?