Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 16203 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange time-block issue

marton
Hello
I have a home use version of Astaro. Firewall works fine (at the most)..
Problem now is that it seems to be blocking access in the morning until 08:00 CET (NOTE this is Central European Time). I have not configured any Time Event and I find it strange that the firewall blocks.
1 minue past 08 and everything works.

NOTE! This is accessing from the outside in. I have never experienced this problem on the inside.

Any Ideas what may be the problem?
I have tried now creating a All_time time-event (00-23:59 all days) and configure all my packet filter rules against this, just to test.

/MartOn


This thread was automatically locked due to age.
Parents
  • 0
    With all the problems of Astaro, packet filter is the most stable thing about it.
    You do not have to define time events at all (Definitions --> Time Events) for the packet filter to work. And therefore in your packet filter rules, you don't have to tinker with the time events column at all. Don't get confused with time events and create a simple rule first till you get comfortable with basic operation of the firewall.

    A little more information about your rule that is giving you problems would help in troubleshooting it. 

    As far as pfsense is concerned, it looked like it was based on m0n0wall. Which I am sure is great but does not have half of the advanced functions of astaro including IPS and various proxies (smtp being the most important for me).[:)]
  • 0 in reply to Billybob
    I know about the packet filter and time events. I did not configure any time events. I just tried it after this problem occured.

    I am wondering now that it may be a license issue. I often get mails that I exceed my license of max 10 connections..

    This max 10 connection is lame and out dated (who hasn't 10 ip connections today, even printers are counted). Astaro pricing is so non-"home user friendly" that they could for sure expand it without loosing any money. Or they could create a cheap home user version. I think that increasing the the home-usage lisence would increase number of users and also increase business because more people would talk about it.

    I love astaro, I even tried to buy it for home use. But around €700 for the license and €460 for maintenance, they can forget it.

    /MartOn
Reply
  • 0 in reply to Billybob
    I know about the packet filter and time events. I did not configure any time events. I just tried it after this problem occured.

    I am wondering now that it may be a license issue. I often get mails that I exceed my license of max 10 connections..

    This max 10 connection is lame and out dated (who hasn't 10 ip connections today, even printers are counted). Astaro pricing is so non-"home user friendly" that they could for sure expand it without loosing any money. Or they could create a cheap home user version. I think that increasing the the home-usage lisence would increase number of users and also increase business because more people would talk about it.

    I love astaro, I even tried to buy it for home use. But around €700 for the license and €460 for maintenance, they can forget it.

    /MartOn
Children
  • 0 in reply to marton
    I think you miss understand, if your printers are sending stuff to the internet you have a major problem. You need to do a serious review of your configuration.
    The 10 ip address limit applies to actual addresses using the firewall to get to the www.
    I have 4 people that use the internet around here, that includes 2 laptops, 3 PCs and linux box plus my wireless access point and when I am trying out stuff I get 2 extra connections 1 from my 1gb LAN card and one from my fixed LAN point on the laptop, that still amount to 9. I also have 2 networked printers and an occassional PC or 2 from athletics that needs to get an administrative update, but no internet access and the Astaro handles them all very well without complaining about too many ip adresses.

    If you have more than 10 users who access your internet through the Astaro, perhaps you need to rethink the way you connect them.

    Gat a cheap router and put some of the PCs that don't need the printer access behind it and turn on NAT in this device so that only one address is seen by the Astaro ip counting software. You still get full functionality at a cheap rate.
  • 0 in reply to RFCat_vk_01
    I do not misunderstand.

    I run a Gbit network at home, also with NAT on my wireless. I also use VPN sollution when I'm away, so I can connect home. I also have family members connecting to my VPN to access my data (pictures and stuff). I would prefere to do everything on Astaro, so I do not need to have several boxes with config.

    I'm not 100% sure that the license only is web, that I need to check, but it seems like it is maximium 10 routed ip-adresses through firewall. When I print from VPN sollution that traffic is routed and also counted for.

    That said, I also use VMWare-server on my home-server, so I have 3 virtual servers running different services for my network with VLAN trunc from firewall to my linuxbased vmware server.

    On top of that we try out redundant internet routing with my neighbour..
    The reason I pop'ed the license question is that I believe Astaro do not trust "home users". I would guess businesses also use this version, thats why they limit the number of connections.

    /MartOn
  • 0 in reply to marton
    Marton,
    from understanding it is only outgoing users that are counted. If a printer is being used by a VPN it would not be seen by the firewall because it is within an encrypted pipe.

    There is no difference in the application between a homeuser and business. The differentiation comes in the licence purchased.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hello
    What you write is not true in most cases. You do not terminate your VPN in same ip-range as your LAN. I have assigned a separate IPSec-pool where all VPN connections are terminated. That netowork is routed by Astaro.

    But back to business (or non business).
    I have now concluded that it is not the license issue thats causing my problem. Still my firewall blocks until 08:00 in the morning. It is so strange when I have never configured any time-events, I do not use IDS features, ony Packet-filters and NAT-Masq.

    Is there someway I can attach my firewall config to this forum, without compromizing all my security and pre-shared keys?

    /MartOn
  • 0 in reply to marton
    Marton,
    it doesn't sound like an Astaro issue, it sounds more like your ISP has some form of block in place. Are you running with a home connection or a small business connection? Some ISPs get upset with customers running servers from home on a home user account.

    Can you see the failed traffic in the packet filter log?

    You might put some of the packet filter report in this thread.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hello
    I do not get blocked (AFAIK). 
    I have 20Mbit fiberconnection with static IP and we are allowed to run servers for personal use.
    I found one strange issue:
    2006:09:19-07:46:23 (none) ulogd[1851]: DROP: IN=eth1 OUT= SRC=x.x.142.93 DST=x.x.140.3 LEN=40 TOS=00 PREC=0x00 TTL=252 ID=19250 PROTO=TCP SPT=56723 DPT=80 SEQ=0 ACK=0 WINDOW=0 RST URGP=0 
    2006:09:19-07:46:51 (none) ulogd[1851]: DROP: IN=eth1 OUT= SRC=x.x.142.93 DST=x.x.140.3 LEN=40 TOS=00 PREC=0x00 TTL=252 ID=549 PROTO=TCP SPT=56727 DPT=80 SEQ=0 ACK=0 WINDOW=0 RST URGP=0 
    2006:09:19-07:47:15 (none) ulogd[1851]: DROP: IN=eth1 OUT= SRC=x.x.142.93 DST=x.x.140.3 LEN=40 TOS=00 PREC=0x00 TTL=252 ID=10248 PROTO=TCP SPT=56728 DPT=80 SEQ=0 ACK=0 WINDOW=0 RST URGP=0 
    2006:09:19-07:47:27 (none) ulogd[1851]: DROP: IN=eth1 OUT= SRC=x.x.142.93 DST=x.x.140.3 LEN=40 TOS=00 PREC=0x00 TTL=252 ID=15063 PROTO=TCP SPT=56729 DPT=80 SEQ=0 ACK=0 WINDOW=0 RST URGP=0 
    2006:09:19-07:47:31 (none) ulogd[1851]: DROP: IN=eth1 OUT= SRC=x.x.142.93 DST=x.x.140.3 LEN=40 TOS=00 PREC=0x00 TTL=252 ID=30017 PROTO=TCP SPT=56730 DPT=80 SEQ=0 ACK=0 WINDOW=0 RST URGP=0 
    (x.x.140.3 is my static public IP'address)

    As you can see from this (removed MAC and some IP'info), traffic to port 80 is blocked. This is strange, because normally this traffic is masquraded to a internal LAN IP'adress and the masquraded package is sent through the packet filter.

    NOTE! The x.x in source and dest is actually the same because I'm testing from same ISP.

    My Masq rule is like this:
    Any -> External (Address) / HTTP  None  webserver_external
    where HTTP service is: HTTP  TCP  1024:65535  80  static 
    and webserver_external is my webservers public ethernet interface.

    Any Ideas?
    /MartOn
  • 0 in reply to marton
    Marton,
    What is your associated filter rule that lets the traffic into the LAN?

    Ian M
  • 0 in reply to RFCat_vk_01
    Web - Any 0.0.0.0/0 HTTP 192.168.3.20 webserver_external

    /MartOn
  • 0 in reply to marton
    Marton,
    I think I have it.

    You need to setup a service where you define the http say as
    httpmarton tcp 80 (source) 1024:65535 (destination) "external access to my server". 
    Check the filter rules in detail in the filter rules menu and see if any incoming rules are shown.

    If this doesn't work I am out of ideas.

    Ian M
  • 0 in reply to RFCat_vk_01
    The strange part here is that it normally works. It is just at certain times it does not.. And when that happens, nothing works, not even ping.

    /MartOn