Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 16917 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

7.501 Strange Packet Filter behaviour

Suppentrulli
Hi Astaro,

i have a strange packet filter behaviour, maybe you can help me.

I'm trying to use my directly connected LDAP-server (ssl, port 636) for user-authentication in Astaro, but astaro always filters the packets.

ASG: 192.168.1.1
LDAP: 192:168.1.2

Rule #1:
Source:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24

Destination:
192.168.1.2/32
etc.

Service:
ICMP, 443, 53(tcp/udp), 636 etc.

Logfile: 
19:52:20 Default DROP TCP 192.168.1.1 : 42467 → 192.168.1.2 : 636 [SYN] len=60 ttl=64 tos=0x00 srcmac=00:30:18:aa:aa:aa dstmac=00:00:00:00:00:00

19:52:22 Default DROP TCP 192.168.1.1 : 42467 → 192.168.1.2 : 636 [SYN] len=60 ttl=64 tos=0x00 srcmac=00:30:18:aa:aa:aa dstmac=00:00:00:00:00:00  

 
With a dedicated rule with the firewall-interface 192.168.1.1 as source it is working, but not with 192.168.1.0/24. WHY?


This thread was automatically locked due to age.
Parents
  • 0
    From time to time it is not possible to reach remote destinations from a local ASG, clients on the local site do work.

    Example:
    172.16.0.10 => 172.17.1.10 works
    172.16.0.1 => 172.17.1.10 does not work

    The reason is, that SOMETIMES packets leaving ASG1 going across the VPN with the source-address of my PPPoE-interface, i.e. 217.83.***.***, and for that reason routing on the remote site does not work.

    If the source is a local nic, i.e. eth1, connections do work.

    I don't understand how you would have traffic originating from one of the Astaro local interfaces unless you have a NAT rule.  Have you checked those?  That sounds like the same thing with the 217.83.***.*** problem.

    If you can't find it, then it seems like you've found a bug, and I would suggest submitting a ticket to Astaro Support.

    Cheers - Bob
    PS You might want to edit the subnets in the remote site above - you put 16 instead of 17.
Reply
  • 0
    From time to time it is not possible to reach remote destinations from a local ASG, clients on the local site do work.

    Example:
    172.16.0.10 => 172.17.1.10 works
    172.16.0.1 => 172.17.1.10 does not work

    The reason is, that SOMETIMES packets leaving ASG1 going across the VPN with the source-address of my PPPoE-interface, i.e. 217.83.***.***, and for that reason routing on the remote site does not work.

    If the source is a local nic, i.e. eth1, connections do work.

    I don't understand how you would have traffic originating from one of the Astaro local interfaces unless you have a NAT rule.  Have you checked those?  That sounds like the same thing with the 217.83.***.*** problem.

    If you can't find it, then it seems like you've found a bug, and I would suggest submitting a ticket to Astaro Support.

    Cheers - Bob
    PS You might want to edit the subnets in the remote site above - you put 16 instead of 17.
Children
  • 0 in reply to BAlfson
    Hi BAlfson,

    i'm not sure if i got you right: i have masquerading-rules for each of the local networks eth0,eth1,eth2 for the internet-nic eth3. No further NAT-rules.

    The problem is, that outgoing connections (via vpn) have random source-addresses.

    In my packet-filter i see only 217.83.***.*** => 172.17.2.2:636