Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 12899 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Knoxvault Online Backup won't start

va3mw
Up to this point, one of my customers was working fine.

Now, I am configuring an online backup that initiates communication to their backup servers.  I use the same vendor at home on the same firewall (other than the rules), so I know it works.

Masquerading works, etc.

I set up Service definition for TCP on their 3 ports (6701:6703).   I've also defined their backup server as a defined DNS host and nslookup works and resolves fine.

I've setup Packet Filtering outbound and inbound for those ports (do I need inbound?).  I've also turned them on.

However, it fails to log in to their server.  In the packet filter, I can see the outbound connection, but not the return.

I've even made the rules number 1 and 2 just to be sure.

I then tried a telnet connection on that port to their site and I don't get any sort of logon/herald (not sure if I should).  I do need to test that once I get offsite.

I know I am missing something pretty obvious, but I am  approaching brain fried mode.  [:S]  I have confirmed with them that they are only using TCP (to the best of their knowledge).

I'm going to wireshark a connection on the firewall to see what I can see as well.

thanks in advance for any advice.

Mike


This thread was automatically locked due to age.
Parents
  • 0
    I've setup Packet Filtering outbound and inbound for those ports (do I need inbound?).

    You're right, you only need inbound if it's the internal deviceinititating each excange and the on-line service just responding.  In any case, you would see blocks in the packet filter log if the service is sending unrequested packets.

    However, it fails to log in to their server.

    I guess I'm not sure about where things are relative to the Astaro.

    Seriously, it has to as you can actually surf via that box.

    That's a valid conclusion if the HTTP/S Proxy is in a transparent mode, but not if the browser is pointed at the proxy in a non-transparent mode.

    It seems like an outside shot, but how about the Intrusion Prevention log?

    Cheers - Bob
Reply
  • 0
    I've setup Packet Filtering outbound and inbound for those ports (do I need inbound?).

    You're right, you only need inbound if it's the internal deviceinititating each excange and the on-line service just responding.  In any case, you would see blocks in the packet filter log if the service is sending unrequested packets.

    However, it fails to log in to their server.

    I guess I'm not sure about where things are relative to the Astaro.

    Seriously, it has to as you can actually surf via that box.

    That's a valid conclusion if the HTTP/S Proxy is in a transparent mode, but not if the browser is pointed at the proxy in a non-transparent mode.

    It seems like an outside shot, but how about the Intrusion Prevention log?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Thanks again,

    A few back to the basics questions and level setting.

    It fails on more than 1 device (a linux server and multiple windows boxes)
    There are no special proxy rules in place for HTTP and we are operating in Transparent mode (would not not only affect port 80 and 443 traffic?)
    What other 'rules' would catch traffic on port 6701:6703?
    What is the best way to ensure that traffic to this host (the backup host) is totally bypassed by the ASG?

    The other strange thing is that on my Home ASG with a somewhat similar setup it works fine.

    The ASG at this store is used as a basic firewall and exploiting their deep packet inspection strengths.  Nothing else very fancy (no proxies, etc.).  Just the odd port open for special store applications.

    The fact that it fails when I do an outbound Any/Any/Any tells me that we are getting intercepted somewhere else.  I guess I am going to have to do an inbound Any/Any/Any as a test.  However I have done an inbound Any/The host Server and it still fails (I hope that makes sense).

    Again, thanks for listening

    Mike
  • 0 in reply to va3mw
    A bit more on this.  

    I wanted to log onto my home firewall to check a few things (home edition).

    Of course, port 4444 was blocked, so I added it to my web surfing rules.  That worked.

    On a whim, I added my Online backup ports (6701:6703) to that group.  That failed.

    Could this be an IPSEC issue and I need to add all those rules?