Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4719 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

packet filters blocking traffic?

aladoug
Our main office has a network address of 172.20.0.0/16 with an Astaro gateway to the Internet at 172.20.10.1.  

I have a direct point to point setup to three regional offices, 10.0.1.0/24, 10.0.5.0/24, and 10.0.10.0/24 through a router on address 172.20.0.11.   I have set up static routes to those nets and the .11 accordingly in the Astaro and want them to be able to receive the same Internet traffic as we get on our main 172.10.0.0/16 network.  Anyhow, I'm able to see clients at the regional offices, remote into them etc, but something is blocking them from receiving Internet.  It is not a DNS issue.  Can someone tell me how to fix this?  I'm gathering that it has to do with packet filter rules.

Thanks


This thread was automatically locked due to age.
  • 0
    Hi, aladoug, and welcome to the User BB!

    Do you see blocked packets in the Packet Filter log?  If so, post a few lines from the full (not the live) log.

    Also note the version of Astaro and, if you have a Web Security subscription, show a picture of the 'Global' tab of 'HTTP/S'.

    Cheers - Bob
  • 0
    Hi aladoug,

    Which ip adresses do The user get, if they remote into The regional office?
    Are these the same 10.0.x.x ip adresses or it is an additional subnet?

    If yes, do you have static routes for them as well?

    Is the default gateway of the regional offices set to the way, that all traffic routed to the central ASG via the router?

    Do you have MASQuerading NAT rules configured on the ASG for all networks, also all 10.0.x.x?

    Do you have packet filter rules enabled for all networks?

    Do you see packets arrive from the regional office at the ASG?

    Thanks
    Gert
  • 0
    Version 7.507. No Web Security subscription.  I couldn't find a log other than the live one in the packet filter section of the interface, but yes I can clearly see dropped packets in that live log when a client on the 10.0.5.x network (the one I'm testing on) tries to access the Internet.

    The 10.0.x.x is the same.   Not positive what you're asking on that but thanks.   I can do a traceroute from the 10.0.5.0/24 office to Google and you can see that it stops at the ASG.  Tried configuring MASQuearding and packet filter rules enabled for the 10.0.5.0/24 networks in addition to our main 172.20.0.0/16 to no avail.   If I use our old Cisco PIX with just the static routes entered everything goes through so not sure what is causing the Astaro to drop the 10.0.5.x packets?
  • 0
    Look in 'Logging >> View Log Files'.

    Ping and Traceroute are regulated by the settings on the 'ICMP' tab of 'Network Security >> Packet Filter'

    Cheers - Bob
  • 0
    Well, when I click on the "view" button for the log nothing happens.  Using Mac Safari browser and also tried Firefox.  (Tried putting save as .zip file too in the drop down menu at bottom of page for selected action.)
  • 0
    Ah, I had pop ups blocked.   I will try again and get back to you.  Thanks
  • 0
    Here you go:

    2010:10:28-10:20:45 AEBASG120 ulogd[3272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth1" dstmac="00:1a:8c:10:54:3c" srcmac="00:a0:c8:62:b4:ed" srcip="10.0.5.7" dstip="38.118.85.21" proto="6" length="64" tos="0x00" prec="0x00" ttl="61" srcport="49697" dstport="80" tcpflags="SYN" 
    2010:10:28-10:20:46 AEBASG120 ulogd[3272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth1" dstmac="00:1a:8c:10:54:3c" srcmac="00:a0:c8:62:b4:ed" srcip="10.0.5.6" dstip="74.125.45.99" proto="17" length="40" tos="0x00" prec="0x00" ttl="6" srcport="38016" dstport="33460" 
    2010:10:28-10:20:46 AEBASG120 ulogd[3272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth1" dstmac="00:1a:8c:10:54:3c" srcmac="00:a0:c8:62:b4:ed" srcip="10.0.5.7" dstip="74.201.74.193" proto="6" length="64" tos="0x00" prec="0x00" ttl="61" srcport="49696" dstport="80" tcpflags="SYN" 
    2010:10:28-10:20:46 AEBASG120 ulogd[3272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth1" dstmac="00:1a:8c:10:54:3c" srcmac="00:a0:c8:62:b4:ed" srcip="10.0.5.7" dstip="38.118.85.21" proto="6" length="64" tos="0x00" prec="0x00" ttl="61" srcport="49697" dstport="80" tcpflags="SYN" 

    2010:10:28-10:33:15 AEBASG120 ulogd[3272]: id="2001" severity="info" sys="SecureNet"sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth1" dstmac="00:1a:8c:10:54:3c" srcmac="00:a0:c8:62:b4:ed" srcip="10.0.5.2" dstip="128.64.217.200" proto="17" length="240" tos="0x00" prec="0x80" ttl="61" srcport="3001" dstport="43744" 
    2010:10:28-10:33:17 AEBASG120 ulogd[3272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth1" dstmac="00:1a:8c:10:54:3c" srcmac="00:a0:c8:62:b4:ed" srcip="10.0.5.6" dstip="74.201.74.193" proto="6" length="64" tos="0x00" prec="0x00" ttl="61" srcport="52725" dstport="80" tcpflags="SYN" 
    2010:10:28-10:33:17 AEBASG120 ulogd[3272]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" seq="0" initf="eth0" outitf="eth1" dstmac="00:1a:8c:10:54:3c" srcmac="00:a0:c8:62:b4:ed" srcip="10.0.5.7" dstip="74.201.74.193" proto="6" length="48" tos="0x00" prec="0x00" ttl="61" srcport="49737" dstport="80" tcpflags="SYN"
  • 0
    It looks like you need a packet filter rule something like '{10.0.5.0/24} -> Web Surfing -> Internet : Allow'.  Gert asked about a masquerading rule; if there were no outbound blocks in the packet filter log, I would have guessed that you needed a rule like'{10.0.5.0/24} -> External', but that doesn't appear to be the case.

    Did that resolve your issue?

    Cheers - Bob