Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 23779 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange problem - some sites working, some not

tbleier
Hi,

I have a strange problem with my ASG: some websites work and some do not :-).

Finally I nailed it down to a reproducable test case:

wget -O - Microsoft Corporation

works when executed directly on the ASG in the shell, but it does not work (connection hangs for minutes) when running from any PC on the internal network, being it Windows or Linux (tried on 3 different PC's). However, acessing e.g. Google in the same way does work.

I've disabled nearly everything on the ASG except the basic firewall and NAT to rule out possible side effects or misconfigurations of other modules.

As this ASG installation at home is more or less a testbed and I'm about to setup an ASG appliance at the company soon, I'm a little bit worried :-). I've used an IPcop on the same hardware before with no problems....

My configuration is an ASG software installation on a PC, internet connectivity through ADSL (Austrian Telekom - PPTP), services on ASG except Firewall disabled, only one packet filter rule "internal -> external (any)" and the same for NAT.

hope anybody can help - best regards,
__
/homas Bleier


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Sorry, Thomas, I was "seeing" a linux command line, but it was Windows...

    I admit that I've never used wget except from the linux command line on an Astaro, so you're way ahead of me in this realm!  I notice a 302-code for microsoft, but a 200-code for google, so it appears that this has to do with the way Microsoft does redirects.

    I also tried these URLs through the HTTP Proxy.  In the HTTP log, a request to Microsoft Corporation gets a 302 followed by a bunch of 304 response-codes before receiving a 200.  A request to Google gets an immediate 200, just as with wget.  In both cases, everything worked fine.

    So, let me ask my question isn a bit less clumsy fashion: other than the issue with wget, what other problems were you seeing?  What were the manifestations you saw?

    Cheers - Bob


    Wget was just a quick way for me to reproduce/check the problem and see each HTTP request without the bloated browser-stuff. The real problem is that the some websites do not work in the browser or in the applications - e.g. I can't access Microsoft Corporation (no matter which browser I'm using, tried Firefox 3.6, Internet Explorer 8, Google Chrome 4, Safari 4 and Opera 10). Another website that is not working for example is that of a local bank here in Austria (Redirect Raiffeisen.at) - so it's not only a Microsoft-related problem. Another thing that does not work is downloading Apps for my iPhone - no matter if I try it directly on the iPhone or within iTunes on a windows PC, the application tries a while to access the servers and then runs into a timeout... Since I suspect that Apple isn't using IIS or Windows for it's servers ;-), I also don't think it has something to do with the OS on the server side.

    I also tried to access the URL on the microsoft site that one gets redirected to directly, but in this case wget (or the browser) directly hangs on the first GET request.
  • 0 in reply to tbleier
    I know :-)



    Well, since I'm a freelancer hired by the company for doing exactly that sort of thing, I think I'm expected to be the "expert" in this case [:D]. Joking aside - I've done various network stuff since more than 15 years and while networking is not my only focus I think I have quite reasonable experience setting up firewalls. Working with different products in the past I did not expect problems with such a basic setup with ASL - so I thought there is probably some specific thing to know with that product that somebody could tell me...

    Anyway, back to the classic debugging...

    What I didn't mention in the initial post: I've already ruled out DNS problems - contacting the not-working sites directly by IP did not work either on the internal net...

    The packet filter live log does not show any activity when the connection fails. The "LAN -> ANY -> ANY" rule is the only packet filter rule I have, and enabling logging does not give me a clue either - it shows the connection, but still the client does not get any answer.

    One more interesting thing forgot to mention in the first post: connections to not working sites like microsoft.com don't fail completely - see below: 


    C:\Users\thomas.HOME>wget -O - http://www.microsoft.com/

    --21:17:10--  http://www.microsoft.com/

               => `-'

    Resolving www.microsoft.com... done.

    Connecting to www.microsoft.com[207.46.170.10]:80... connected.

    HTTP request sent, awaiting response... 302 Found

    Location: /en/us/default.aspx [following]

    --21:17:11--  http://www.microsoft.com/en/us/default.aspx

               => `-'

    Connecting to www.microsoft.com[207.46.170.10]:80... connected.

    HTTP request sent, awaiting response...


    the client receives the 302 redirect, and then the connection hangs, with nothing coming back from the server on the second GET request. The same thing directly on the ASG works: 


    loginuser@fw1:/home/login > wget -O - http://www.microsoft.com

    --21:22:18--  http://www.microsoft.com/

               => `-'

    Resolving www.microsoft.com... 65.55.21.250

    Connecting to www.microsoft.com|65.55.21.250|:80... connected.

    HTTP request sent, awaiting response... 302 Found

    Location: /en/us/default.aspx [following]

    --21:22:19--  http://www.microsoft.com/en/us/default.aspx

               => `-'

    Reusing existing connection to www.microsoft.com:80.

    HTTP request sent, awaiting response... 200 OK

    Length: 89,906 (88K) [text/html]

    

    0             --.--K/s             ï»¿


    Doing the same with Google or most other sites works without problems on the client.

    So i have dumped the packets on the ASG, and for me it looks like it's a network problem - see attached pictures. Explanation: as said before I have the internal network on eth0, with my client on IP 10.12.3.10, and the ASG on 10.12.3.1. Then I have eth1 connected to an ASDL modem (Austrian Telekom), with a PPTP connection on ppp0. The ADSL external IP is 91.115.141.34, and 207.46.19.254 is the IP of the microsoft server which I'm testing with. For me it seems as if the second GET request does not get transmitted propertly - but I don't have a clue why...

    As said before - the exact same hardware was running IPcop before ASG for years without any problems.

    __
    /homas


    Hallo Thomas,

    ich habe exakt das gleiche Problem. Hast Du es mittlerweile loesen koennen und wenn ja, wie?
    Gruesse
    Jan
  • 0
    Maybe I missed it, but have you tried adding some different DNS forwarders? I like 8.8.8.8 & 8.8.4.4 

    Also have you checked IPS to verify there is nothing being blocked there?
  • 0
    Hi,

    it was obviously a MTU problem - Astaro support came up with the following workaround:  

    # echo "iptables -t filter -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j

    TCPMSS --set-mss 1360" > /var/mdw/hooks/packetfilter_advanced

    # chmod 400 /var/mdw/hooks/packetfilter_advanced


    which works for me without problems (so far).

    best regards,
    __
    /homas
  • 0 in reply to tbleier
    Hi I am having the exact same issue you were have, can you tell me how did you manage to enter the command into the astaro. I can ssh into my astaro ok. Was it one command or 3 different commands you have to issue to the astaro. thanks.
  • 0
    Looks to be two commands.  The # symbol would be the bash shell prompt for each separate line.