Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 4587 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Double firewall/upstream NAT

Mark_H
I am having terrible speed issues using ASL v5.012 on a Celeron 733 with 256MB ram. All of the problems seem to come down to the fact that I am using IPCop v1.3 to NAT my internet connection through to ASL. I am using IPCop since I am still using a dial-up modem, and ADSL is at least three months away for me. If I connect a machine directly to the IPCop box then internet access seems to function at appropriate speeds. As soon as I place the ASL server in the path web browsing (and ftp etc.) slow to an absolute crawl, often with timeouts. I thought it may be an issue with my configuration since I am new to Astaro, however my ASL server funtions correctly (and at high speed) when I connect it directly to a DSL connection, changing only the external IP address and DNS server address. I am not using NAT on ASL, I have configured the various proxy servers instead.

I realise that some of the difference will come from the fact that a DSL connection is substantially faster than a dial-up modem, however pages that load through IPCop using dial-up in around 10 seconds can take closer to 7 minutes once ASL is used, that is if they even load.

One oddity that I cannot explain is that the intrusion detection mentions that there are occurences of the same source/destination. I'm not sure where to look for more information regarding that.

Thanks in advance for any assistance or suggestions.

Regards,
Mark.


This thread was automatically locked due to age.
Parents
  • 0
    You don't have enough RAM in your ASL box to run v5 properly. Either add another 256 MB, giving it  512 MB total RAM, or use  ASL v4, which will work fine with 256 MB.
  • 0 in reply to VelvetFog
    VelvetFog,
    I've got a P3-600 with 256MB and even the webmin works OK. I get 4600KB/s throughput without IPS. With IPS the big hit would be to CPU not RAM (once the webmin has been configured).
    I use double NAT as well. Linksys router for PPPoE connection and then ASL behind it. I get full 1.5 Mbit/s downloads with no speed difference between using ASL or going to the Linksys directly. I think it might be a timeout issue. Possibly DNS.
    First, Use NAT on your ASL, it won't hurt anything.
    Second, only use one DNS proxy if possible.
    Turn off the DNS proxy on the IpCop. Assign the intenal interface of IP as the default gateway of ASL, set the ASL DNS proxy forward addresses to those supplied by your ISP. Make sure IpCop passes DNS requests.
    Make sure it isn't some sort of DNS issue first.
  • 0 in reply to JimmyM
    Its worth pointing out though to anyone that happens upon this thread that double NAT is only for advanced users. It can play absolute havoc with all sorts of things and have strange and unpredicatable results.

    If you can avoid it this should be your first port of call.
  • 0 in reply to PenTest
    I agree.
    In fact, it seems to be the cause of an SSL certificate problem I'm having when I use my dns record to connect to my internal mail server from the internet.
    I'm hesitant to get rid of my Linksys since it has been so reliable at doing my ADSL-PPPoE duties.
    VelvetFog,
    I thought I read in another post that you say tou use it for PPPoE? IS it rock solid reliable?
  • 0 in reply to JimmyM
    [ QUOTE ]
    VelvetFog, 
    I thought I read in another post that you say tou use it for PPPoE? IS it rock solid reliable?

    [/ QUOTE ]I got rid of my Linksys router 6 weeks after I installed my ASL box. Having both of them in the path was just a nuicance.
  • 0 in reply to VelvetFog
    No problems with drops and reconnects?
Reply Children
  • 0 in reply to JimmyM
    [ QUOTE ]
    No problems with drops and reconnects? 

    [/ QUOTE ]No, I just didn't want to deal with the extra configuration issues any more. I run VPNs, Bit Torrents and various other servers. Configuring the open ports on one system is enough. Running two NATs after each other never caused any problems, but once I got comfortable with my new ASL firewall, I just didn't see the point in having the Linksys router fronting it any more.

    I sold the Linksys router, and used the money to buy a cheap SMC 802.11b WiFi router on eBay. That gave me a WiFi access point at no cost, which I connected to the DMZ net from my ASL box.
  • 0 in reply to VelvetFog
    I'll give it a try. I guess I'm just a little "gun shy" after reading all of the problems with PPPoE in v4.

    Also, do you find that your logs grow very quickly after removing the Linksys, since the Linksys blocked most incomming traffic anyway?
  • 0 in reply to JimmyM
    [ QUOTE ]
    I'll give it a try. I guess I'm just a little "gun shy" after reading all of the problems with PPPoE in v4.

    Also, do you find that your logs grow very quickly after removing the Linksys, since the Linksys blocked most incomming traffic anyway? 

    [/ QUOTE ]
    at elast for VZ customers the pppoe mods are not longer neccessary.  I reloaded my asl 4 and the pppoe connected jsut fine..no need for the pppoe patch.
  • 0 in reply to JimmyM
    [ QUOTE ]
    Also, do you find that your logs grow very quickly after removing the Linksys, since the Linksys blocked most incomming traffic anyway?

    [/ QUOTE ]Not really. The daily kernel and packet filter logs are in the 60 to 100 KB range. I do log all unsolicited traffic to the External interface, as I am a Dshield.org member, and submit my logs to them on a daily basis.