Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2455 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot access anymore to WebAdmin from internet

eclipse79oldacct
Hello, 
how can I be away from my ASG during holidays? [[:)]] 
I have tried to access to WebAdmin from internet browsing my external IP, but I don't see the login page even if "ANY" is an allowed network... Using remote desktop (a pc in internal network) I can access to webadmin with both Internal and External ip addresses of my ASG...

mmm... mumble mumble... very strange, don't you think?! I have also added the public ip address of my remote location (not honolulu [[:)]] ), but the result is the same. In packetfilter log I see dropped packets from my location, the type is ="8". What does it mean? Is it a known bug? Never happens during my last vacation (well, I had just v7 in that case). 

NB
No issues to access to userportal

eclipse79


This thread was automatically locked due to age.
  • 0
    "Any" should work if added to the allowed networks for WebAdmin.  Might seem silly, but are you entering the URL correctly?  https://:4444.  I know that I've accidentally forgotten to add port 4444 on occasion.
  • 0
    Hi, vacation-breath! [;)]

    In order to avoid using 'Any', I use some tool to discover the IP where I am, change my home DynDNS entry to that, and then login to an Astaro.  When I'm done, I change my DynDNS entry back to the IP it had for my home.  All I need is a DNS Host definition in 'Allowed networks', and I'm good.

    The other approach is to add the Remote Access subnet (I use "VPN Pool (L2TP)") to 'Allowed networks' and to VPN into the device.  If you really want to limit access, just put the "Your-user-name (User Network)" object into 'Allowed networks', and that will be allowed once you've VPN'd in.

    Cheers - Bob
    PS If you still get blocked packets, can you show an entire line from the log?
  • 0 in reply to Scott_Klassen
    "Any" should work if added to the allowed networks for WebAdmin.  Might seem silly, but are you entering the URL correctly?  https://:4444.  I know that I've accidentally forgotten to add port 4444 on occasion.


    Yeah! I use 4444 port and it is written in the url [:)]

    Anyway I have discovered that the issue is related only to WebAdmin, I can access to SSH... [:S]
  • 0 in reply to BAlfson
    Hi, vacation-breath! [;)]


    Well... we call vacation but I am at Ostia Beach, 30km far from my house [:O] So it is not a really vacation [[:)]]


    In order to avoid using 'Any', I use some tool to discover the IP where I am, change my home DynDNS entry to that, and then login to an Astaro.  When I'm done, I change my DynDNS entry back to the IP it had for my home.  All I need is a DNS Host definition in 'Allowed networks', and I'm good.
     

    It is exactly what I usually do... but considering that I have some issue, in order to investigate I have added ANY... and the host with my public ip address... but as you can see no good results


    PS If you still get blocked packets, can you show an entire line from the log?


    I think that that line is it not related to the issue, I have seen no more dropped packets in the log even if I try to connect:
    Anyway the log entry is this:

    2011:08:10-12:49:54 FWNAME ulogd[4920]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="xx:xx:xx:xx:xx:xx" dstmac="yy:yy:yy:yy:yy:yy" srcip="aaa.aaa.aaa.aaa" dstip="bbb.bbb.bbb.bbb" proto="1" length="60" tos="0x00" prec="0x00" ttl="120" type="8" code="0"

    NB. SSH works... so the issue is limited to WebAdmin... The firewall in the remote location (ostia beach :eek[[:)]] does not drop any packet (I have seen the logs... and I have also tried to connect to other services with non standard ports, and they works), but perhaps... the issue could be here and not in astaro... I have seen some strangeness in other situation with this router (a 3com).
  • 0
    Weird. 
    I have seen no more dropped packets

    In WebAdmin Settings, make certain that you have the "Log Access Traffic" box checked. 

    Is there any upstream firewall that needs to forward port 4444 packets to the astaro?  

    I don't suppose that you've tried to reboot the box to see if that will sort things out?

    the type is ="8"

    The only type 8 that comes immediately to mind for me is an ICMP echo request.
    the issue could be here and not in astaro

    You're welcome to PM me the external IP of your Astaro and I can try to bring up the login page if you think that it will help.
  • 0 in reply to Scott_Klassen
    Weird. 
    In WebAdmin Settings, make certain that you have the "Log Access Traffic" box checked. 
     
    It is the actual setting...


    Is there any upstream firewall that needs to forward port 4444 packets to the astaro?  

    No


    I don't suppose that you've tried to reboot the box to see if that will sort things out?

    Tried this morning, after having hit my head on the wall (fire-wall) [:D]
  • 0
    Good news/bad news.  

    I connected to your WebAdmin login page using Chromium, FF 5.1, and IE9.  In all three cases, the page loaded just fine.  Looks like you have something at your location dropping/blocking traffic destined for port 4444.
  • 0
    In which case he can change the webadmin port.

    Barry
  • 0 in reply to Scott_Klassen
    Good news/bad news.  

    I connected to your WebAdmin login page using Chromium, FF 5.1, and IE9.  In all three cases, the page loaded just fine.  Looks like you have something at your location dropping/blocking traffic destined for port 4444.


    Thank you Scott...
    I had to imagine that this fu**ing 3com could be the culprit! This is the second time that it makes me crazy... (the first time: an IPSEC client behind this horrible 3CRWDR101A worked fine only if it mantains the LAN ip address, if you reboot the client and then the dhcp server assign a different ip you have to reboot the 3com too.... ARG!! [:O] :eek[:)]