Strange problem - some sites working, some not

The first places to look would be the Packet Filter live log and/or the DNS live log.  You might want to add a temporary LAN -> ANY -> ANY Allow/Log rule so you can see if traffic is getting out OK.

Thomas, you should not be having this problem.

[RANT]
I think it's unreasonable that your company expects you to install your first Astaro customer by yourself. Every time someone in our company installed something new, he watched an installation by an experienced expert and then, on the next installation, he did the install and was watched by the expert.  If we didn't have such an expert internally, I've hired an outside expert.

It's not a question of being smart; it's knowing the "tricks" of the particular solution and, more importantly, the "standard" way experts solve specific problems with the tool.
[/RANT]

Cheers - Bob

Thomas, you should not be having this problem.

I know :-)

[RANT]
I think it's unreasonable that your company expects you to install your first Astaro customer by yourself. Every time someone in our company installed something new, he watched an installation by an experienced expert and then, on the next installation, he did the install and was watched by the expert.  If we didn't have such an expert internally, I've hired an outside expert.

It's not a question of being smart; it's knowing the "tricks" of the particular solution and, more importantly, the "standard" way experts solve specific problems with the tool.
[/RANT]

Cheers - Bob

Well, since I'm a freelancer hired by the company for doing exactly that sort of thing, I think I'm expected to be the "expert" in this case [:D]. Joking aside - I've done various network stuff since more than 15 years and while networking is not my only focus I think I have quite reasonable experience setting up firewalls. Working with different products in the past I did not expect problems with such a basic setup with ASL - so I thought there is probably some specific thing to know with that product that somebody could tell me...

Anyway, back to the classic debugging...

What I didn't mention in the initial post: I've already ruled out DNS problems - contacting the not-working sites directly by IP did not work either on the internal net...

The packet filter live log does not show any activity when the connection fails. The "LAN -> ANY -> ANY" rule is the only packet filter rule I have, and enabling logging does not give me a clue either - it shows the connection, but still the client does not get any answer.

One more interesting thing forgot to mention in the first post: connections to not working sites like microsoft.com don't fail completely - see below:

C:\Users\thomas.HOME>wget -O - http://www.microsoft.com/

--21:17:10--  http://www.microsoft.com/

           => `-'

Resolving www.microsoft.com... done.

Connecting to www.microsoft.com[207.46.170.10]:80... connected.

HTTP request sent, awaiting response... 302 Found

Location: /en/us/default.aspx [following]

--21:17:11--  http://www.microsoft.com/en/us/default.aspx

           => `-'

Connecting to www.microsoft.com[207.46.170.10]:80... connected.

HTTP request sent, awaiting response...

the client receives the 302 redirect, and then the connection hangs, with nothing coming back from the server on the second GET request. The same thing directly on the ASG works:

loginuser@fw1:/home/login > wget -O - http://www.microsoft.com

--21:22:18--  http://www.microsoft.com/

           => `-'

Resolving www.microsoft.com... 65.55.21.250

Connecting to www.microsoft.com|65.55.21.250|:80... connected.

HTTP request sent, awaiting response... 302 Found

Location: /en/us/default.aspx [following]

--21:22:19--  http://www.microsoft.com/en/us/default.aspx

           => `-'

Reusing existing connection to www.microsoft.com:80.

HTTP request sent, awaiting response... 200 OK

Length: 89,906 (88K) [text/html]



0             --.--K/s             ï»¿

Doing the same with Google or most other sites works without problems on the client.

So i have dumped the packets on the ASG, and for me it looks like it's a network problem - see attached pictures. Explanation: as said before I have the internal network on eth0, with my client on IP 10.12.3.10, and the ASG on 10.12.3.1. Then I have eth1 connected to an ASDL modem (Austrian Telekom), with a PPTP connection on ppp0. The ADSL external IP is 91.115.141.34, and 207.46.19.254 is the IP of the microsoft server which I'm testing with. For me it seems as if the second GET request does not get transmitted propertly - but I don't have a clue why...

As said before - the exact same hardware was running IPcop before ASG for years without any problems.

__
/homas

Sorry sounds stupid, but are U sure to have the right MTU size set?


(I had a similar Problem on a different system and couldn't belive the solution)

Sorry sounds stupid, but are U sure to have the right MTU size set?


(I had a similar Problem on a different system and couldn't belive the solution)

Hi -thanks for the hint.

I'm not sure, but I have hoped so - on the internal Ethernet the MTU is set to 1500, and on the PPTP connection to 1492. I also tried a lower value on the PPTP interface (700), as I already thought of that myself, with no effect.

best regards,
__
/homas

I just did a wget of Microsoft and it worked fine.  The Wireshark retransmission indicates some kind of network issue. You send the get request and then your box sends another get request.  It must not be getting a response back from MS in the alloted time (or at all).  Do you get any reset packets further down that pcap file?

Change your time values to "seconds since previous packet" to see exactly how long it is before your box resends the get request.  There could be some kind of timeout issue related to that site/your setup.  That is just a guess...

Hi - for verification I just setup an ASG 120 hardware appliance. Run through the wizard with just the very basic setup as before (firewall only, no IPS oder scanning).

Same result...

I've attached the package log to this message, with time display "seconds since previous packet". After 9 minutes, WGET retries the request (see wget log below). But on the second try, the result is the same...

C:\Temp>wget -O - Microsoft Corporation

--09:51:25--  Microsoft Corporation

           => `-'

Resolving Microsoft Corporation... done.

Connecting to Microsoft Corporation[207.46.170.123]:80... connected.

HTTP request sent, awaiting response... 302 Found

Location: /en/us/default.aspx [following]

--09:51:26--  Microsoft Corporation

           => `-'

Connecting to Microsoft Corporation[207.46.170.123]:80... connected.

HTTP request sent, awaiting response...

End of file while parsing headers.

Retrying.



--10:00:25--  Microsoft Corporation

  (try: 2) => `-'

Connecting to Microsoft Corporation[207.46.170.123]:80... connected.

HTTP request sent, awaiting response...

Read error (No such file or directory) in headers.

Retrying.



--10:00:41--  Microsoft Corporation

  (try: 3) => `-'

^C

Since this is a new install, Astaro support should be very interested in the situation.  With the Serial number of the device, you should be able to open a ticket with Astaro so that they can look at your box.

Some questions though...  You say "some websites work and some do not" - but the only manifestations you've described are linux-level.  Please show the line from the full 'Content Filter (HTTP)' log where a connection from a client seemed to hang.  In what mode are you running the HTTP/S Proxy?  Are you scanning HTTPS?  If you aren't running the proxy, please log the outbound packet filter rules for Web Surfing and DNS, then retry your experiment and show the lines from the full (not Live) PF log around your accesses.

Cheers - Bob

Since this is a new install, Astaro support should be very interested in the situation.  With the Serial number of the device, you should be able to open a ticket with Astaro so that they can look at your box.

Since I'm using an Astaro Appliance now, I've done that already...

Some questions though...  You say "some websites work and some do not" - but the only manifestations you've described are linux-level.  Please show the line from the full 'Content Filter (HTTP)' log where a connection from a client seemed to hang.  In what mode are you running the HTTP/S Proxy?  Are you scanning HTTPS?  If you aren't running the proxy, please log the outbound packet filter rules for Web Surfing and DNS, then retry your experiment and show the lines from the full (not Live) PF log around your accesses.

Cheers - Bob

What do you mean with "linux-level"? The website which I'm testing with is Microsoft Corporation, and my main machine where the wget is not working is running Windows 7 x64, but I've also tested on Windows Server 2008 R2, Windows XP and Linux (CentOS 5 to be more precise) machines.

The HTTP(/S) proxy is disabled, this was one of the first things I disable when trying to find the problem. Currently all services are disable (see screenshot below), the only thing enabled and configured is the firewall with one any->any->any rule.

I've enabled logging in this any/any/any rule, and retried the HTTP GET.

Here's the GET (on a Windows 7 x64 box):

C:\Users\thomas.HOME>wget -O - http://www.microsoft.com/

--20:48:38--  http://www.microsoft.com/

           => `-'

Resolving www.microsoft.com... done.

Connecting to www.microsoft.com[65.55.21.250]:80... connected.

HTTP request sent, awaiting response... 302 Found

Location: /en/us/default.aspx [following]

--20:48:38--  http://www.microsoft.com/en/us/default.aspx

           => `-'

Connecting to www.microsoft.com[65.55.21.250]:80... connected.

HTTP request sent, awaiting response...

Read error (No such file or directory) in headers.

Retrying.



--20:50:48--  http://www.microsoft.com/en/us/default.aspx

  (try: 2) => `-'

^C

and here's the packet filter log

2010:05:25-20:47:07 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="eth1" dstmac="00:1a:8c:10:f3:71" srcmac="00:90[:D]0:26:9a:57" srcip="10.0.0.138" dstip="10.0.0.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="1723" dstport="36043" tcpflags="ACK RST" 

2010:05:25-20:48:34 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="212.183.102.249" dstip="212.183.80.20" proto="6" length="64" tos="0x00" prec="0x00" ttl="42" srcport="50555" dstport="135" tcpflags="SYN" 

2010:05:25-20:48:58 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="173.77.112.195" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="109" srcport="4757" dstport="2952" tcpflags="SYN" 

2010:05:25-20:48:59 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="69.124.251.148" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="107" srcport="60037" dstport="2952" tcpflags="SYN" 

2010:05:25-20:49:01 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="173.77.112.195" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="109" srcport="4757" dstport="2952" tcpflags="SYN" 

2010:05:25-20:49:02 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="69.124.251.148" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="107" srcport="60037" dstport="2952" tcpflags="SYN" 

2010:05:25-20:49:05 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="69.124.251.148" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="107" srcport="60055" dstport="2952" tcpflags="SYN" 

2010:05:25-20:49:07 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="173.77.112.195" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="109" srcport="4757" dstport="2952" tcpflags="SYN" 

2010:05:25-20:49:07 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="69.124.251.148" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="107" srcport="60037" dstport="2952" tcpflags="SYN" 

2010:05:25-20:49:08 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="69.124.251.148" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="107" srcport="60055" dstport="2952" tcpflags="SYN" 

2010:05:25-20:49:14 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="69.124.251.148" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="107" srcport="60055" dstport="2952" tcpflags="SYN" 

2010:05:25-20:51:23 fw1 ulogd[3269]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="1" seq="0" initf="eth0" outitf="ppp0" dstmac="00:1a:8c:10:f3:70" srcmac="00:25:00:3f:aa:38" srcip="10.12.3.12" dstip="65.55.21.250" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="64742" dstport="80" tcpflags="SYN" 

2010:05:25-20:51:24 fw1 ulogd[3269]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="1" seq="0" initf="eth0" outitf="ppp0" dstmac="00:1a:8c:10:f3:70" srcmac="00:25:00:3f:aa:38" srcip="10.12.3.12" dstip="65.55.21.250" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="64744" dstport="80" tcpflags="SYN" 

2010:05:25-20:52:24 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="77.103.4.177" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="117" srcport="2333" dstport="2952" tcpflags="SYN" 

2010:05:25-20:52:27 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="77.103.4.177" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="117" srcport="2333" dstport="2952" tcpflags="SYN" 

2010:05:25-20:52:30 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="77.103.4.177" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="117" srcport="2334" dstport="2952" tcpflags="SYN" 

2010:05:25-20:52:33 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="77.103.4.177" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="117" srcport="2334" dstport="2952" tcpflags="SYN" 

2010:05:25-20:52:38 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="77.103.4.177" dstip="212.183.80.20" proto="6" length="48" tos="0x00" prec="0x00" ttl="117" srcport="2334" dstport="2952" tcpflags="SYN" 

2010:05:25-20:52:42 fw1 ulogd[3269]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="1" seq="0" initf="eth0" outitf="ppp0" dstmac="00:1a:8c:10:f3:70" srcmac="00:25:00:3f:aa:38" srcip="10.12.3.12" dstip="74.125.77.102" proto="6" length="40" tos="0x00" prec="0x00" ttl="127" srcport="64708" dstport="80" tcpflags="ACK FIN" 

2010:05:25-20:52:44 fw1 ulogd[3269]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="ppp0" srcip="78.89.133.14" dstip="212.183.80.20" proto="17" length="124" tos="0x00" prec="0x00" ttl="112" srcport="43924" dstport="2952" 

Didn't find an suspicious things in there, though...

BTW, a few more things:

• I've upated to the new firmware 7.505 today, but the problem exists without any noticeable differences
  
• Apart from the sites that are not working at all (Microsoft, and I also can't install iPhone apps, for example) other websites or internet performace in general seems much slower than before (with IPcop on the same hardware - with the ASG Software is tried before)
  

Sorry, Thomas, I was "seeing" a linux command line, but it was Windows...

I admit that I've never used wget except from the linux command line on an Astaro, so you're way ahead of me in this realm!  I notice a 302-code for microsoft, but a 200-code for google, so it appears that this has to do with the way Microsoft does redirects.

I also tried these URLs through the HTTP Proxy.  In the HTTP log, a request to Microsoft Corporation gets a 302 followed by a bunch of 304 response-codes before receiving a 200.  A request to Google gets an immediate 200, just as with wget.  In both cases, everything worked fine.

So, let me ask my question isn a bit less clumsy fashion: other than the issue with wget, what other problems were you seeing?  What were the manifestations you saw?

Cheers - Bob