Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 989 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Connection using NAT. Help?

ggbrown
I've been banking my head against the wall on this for far too long, and am looking for some help.

I have two external (public) IP addresses, and two internal web servers. Our internal network contains addresses of the 192.168.***.*** variety.

Each of the external IP's is bound to an interface called External and External2.

With packet filter rules and DNAT rules in place, traffic from the External interface is routed to one of our webservers without issue. Here is an example from the Live Log (which shows up in green):

Packet filter rule #21  TCP 205.200.189.2:55992 → 192.168.219.12:80

where PF rule #21 has:
source: any
Service: http
destination: MainWebserver

For our second webserver (on a separate public IP), the live log shows:

Connection using NAT  TCP  24.79.100.130:33974 → 24.79.93.182 : 80

This shows as a Grey line, followed by:

Packet filter rule #19  TCP  24.79.100.130 : 33974 → 192.168.219.124 : 80

showing in green, and I am served pages as expected.

The problem:

SOME of our site visitors, specifically those in government agencies, receive "It says request timed out" errors trying to access second webserver on the External2 interface. This is also the same one that results in the "Connection using NAT" entries in the Live Log.  I can only assume there is a relationship between the additional log entry, and the time out issues some of our visitors have. 

ANY guidance or education here would be most appreciated. 

Grant


This thread was automatically locked due to age.
  • 0
    Hi,

    I believe the connection using nat log entry is an option you select when you create the dnat rule. 

    Have you made a SNAT rule for the 2nd server so the source is coming from external2?

    It may be something else if it is only not working for some people, I would also check IPS logsif you have that running.
  • 0 in reply to dilandau
    dilandau,

    Thanks for the reply. You are correct about the log entry option. I had "initial packets are logged" checked for the 2nd server.

    I have not made an SNAT rule for the 2nd server. In fact, I don't have any SNAT rules since I confess, I don't fully understand them.

    I took a stab at creating an SNAT rule, but honestly...I'm guessing. I couldn't find an SNAT example anywhere in the docs of kb. The rule I created is configured as follows:

    Traffic Source: External2
    Traffic Service: HTTP
    Traffic Destination: Webserver2

    NAT Mode: SNAT (Source)

    Source: Webserver2
    Source Service: HTTP

    Am I close?

    Thanks,
    Grant

    Hi,

    I believe the connection using nat log entry is an option you select when you create the dnat rule. 

    Have you made a SNAT rule for the 2nd server so the source is coming from external2?

    It may be something else if it is only not working for some people, I would also check IPS logsif you have that running.
  • 0
    Hi, an SNAT is normally used for outgoing traffic, e.g.

    source: internal server (webserver2 or whatever)
    service: any or http or whatever
    dest: any
    snat
    change source to EXT2

    Barry
  • 0
    Guys, I'm confused about the need for an SNAT here.  If all traffic for the webserver comes in the second WAN connection and is DNATted to it, the Astaro's connection tracking should route the responses automatically out the second WAN connection.  There's no proxy capturing the traffic and forcing it out the interface with the default gateway.  I think you guys both know more than I, so I'm curious; of what am I ignorant in this situation?

    Cheers - Bob
  • 0
    Bob, you're right, it's not needed for a webserver, unless the server is also sending mail or generating other outbound traffic that you want locked to a specific IP.
    I do it on most of our servers as it can make troubleshooting easier.

    Barry
  • 0
    Each of the external IP's is bound to an interface called External and External2.

    Two years ago,Jack Daniel commented
    One common mistake with NAT rules- make sure you do not bind host or network definitions to a specific interface, it can have unintended consequences.


    Then, earlier this year, Jack said:
    I have seen cases where binding to an interface adds enough latency to cause timeouts for some sites (and web apps).


    Does this resolve your issue?

    Cheers - Bob