Astaro-VMware ESX(i)-Foward Ports

Are both VMs in the same subnet?  Please show the two rules - both the one that works and the one that doesn't.

Cheers - Bob

Does the VM on the host that doesn't work have a firewall on it, is it enabled, and have you created rules to allow traffic?  Can you ping or tracert from the Astaro to this host successfully?

Hi Bob,

there are on same subnet.

The rule are the same...only change the IP of server:

Traffic source: any
Traffic source: ssh
Traffic destination: External (Wan Address)
Nat Mode: DNAt
Destination: SLES 
Automatic packet filter rule: yes

Only change the destination: one is 192.168.1.10 (SLES) and other is 192.168.1.25 (SLES3)

Hi Scott,

ssh is open...same for two VMs
yes, it can ping and traceroute with sucess. Like i said, all VMs in both ESXi see all and ping all...thats why i dont understand why i cant access...

Thank you
Best Regards
pacr

The Astaro documentation is a bit short on what I would call "operating philosophy."  I'm not sure where they would put what I'm about to say, but everyone at Astaro already knows it, and every new admin has to discover it...

Almost everything in Astaro is organized in ordered lists, especially when it comes to applying rules to "traffic" passing through the Astaro.  In the packet filter rules, for example, when a packet qualifies for the "traffic selector" portion of a rule, the rule is applied to the packet, but no further packet filter rules are considered.

The same is true for DNAT rules.  In this case, the first time a packet qualifies for 'Any -> SSH -> External (Address)', that DNAT is applied, and no subsequent DNATs are considered.  In order to redirect to two different servers, you need to have two differrent public IPs, or to use a different port.

So, for example, you might set up your SSH client to access the second server on port 2222 and change your second DNAT to 'Any -> {port-2222} -> External (Address) : DNAT SSH to SLES3'.  In that way, SLES3 continues to "see" port-22 traffic from your SSH client.

Was that the issue and does my explanation make sense?

Cheers - Bob

Hi Bob,

thank you for your explanation, and understand....but, the problem is different:

i have two ESXi

In first ESXi i have the follow VM:

Astaro
SLES
W2K3

In second ESXi i have the follow VM:

SLES2
SLES3
W2K3-1

Now, suppose that i dont have any rule create...

First rule that i will create is to SSH to SLES2.
After create this rule try to SSH to SLES2.....it doesnt work.

Delete the rule.
Create new rule to SSH to SLES.
After create this rule, try to SSH to SLES....and work

Delete the rule
Create new rule to SSH to SLES2
After create the rule, try to SSH to SLES2....doesnt work again.
Delete the rule and create/try to SLES3....doesnt work.

Delete and create to SLES again...work

Create second rule to RDP or HTTP to W2K3-1
After create this rule, try to access to W2K3-1...it doesnt work

Delete this rule
Create new rule to RDP or HTTP to W2K3
After create the rule, test and work...

Recreate to W2K3...work

I dont create two DNAT for same service.

So, any rule that i create to a VM outside the ESXi where Astaro VM exist it doesnt work. 
Every rule that i create to a VM inside the ESXi where Astaro VM exist it work.

The strange, is that i can SSH between SLES/SLES2/SLES3 and HTTP between SLES and W2K3-1...

Thank you again
Best regards
pacr

Another guess... If you aren't seeing blocked packets in the packet filter log, then check to be sure the Astaro is the default gateway for the VMs in the second ESXi.

Cheers - Bob

Hi Bob,

you are right...i have another line and those servers have that default gateway...change to Astaro Ip everything works well

Thank you very much for your help
Best Regards
pacr

P.S - Bob, one thing and no critical:

you said "So, for example, you might set up your SSH client to access the second server on port 2222 and change your second DNAT to 'Any -> {port-2222} -> External (Address) : DNAT SSH to SLES3'. In that way, SLES3 continues to "see" port-22 traffic from your SSH client."

To do this, what i need to do? create one service call for example SSH-2222 with TCP, destination port 2222, and then create the rule the same way that i did? Need setup packet filter?

Thank you again

I would create your "SSH-2222" service as 'TCP 1:65535 → 2222', and create:

Traffic source: Any
Traffic source: SSH-2222
Traffic destination: External (Address)
Nat Mode: DNAT
Destination: SLES3 
Destination Service: SSH
Automatic packet filter rule: yes

And keeping your first rule:

Traffic source: Any
Traffic source: SSH
Traffic destination: External (Address)
Nat Mode: DNAT
Destination: SLES
Destination Service: {left blank}
Automatic packet filter rule: yes

Cheers - Bob

Hi Bob,

thank you very much for your help!

Best Regards
pacr

Hi Bob,

i did like you said:

I would create your "SSH-2222" service as 'TCP 1:65535 → 2222', and create:

    Traffic source: Any
    Traffic source: SSH-2222
    Traffic destination: External (Address)
    Nat Mode: DNAT
    Destination: SLES3
    Destination Service: SSH
    Automatic packet filter rule: yes

And keeping your first rule:

    Traffic source: Any
    Traffic source: SSH
    Traffic destination: External (Address)
    Nat Mode: DNAT
    Destination: SLES
    Destination Service: {left blank}
    Automatic packet filter rule: yes

and everything works well until i start use uplink balancing (multipath). If i use the standards ports, 22---22 or 443---443 everything works. If try 2222---22 or 444 -----443 doesnt work.

Another question about uplink balancing: for each connection i have a static IP. Can i say to DNS that, for example, my webserver or mail server, has both IPs? 

Can you help me please?

Best regards
pacr