Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 12899 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Knoxvault Online Backup won't start

va3mw
Up to this point, one of my customers was working fine.

Now, I am configuring an online backup that initiates communication to their backup servers.  I use the same vendor at home on the same firewall (other than the rules), so I know it works.

Masquerading works, etc.

I set up Service definition for TCP on their 3 ports (6701:6703).   I've also defined their backup server as a defined DNS host and nslookup works and resolves fine.

I've setup Packet Filtering outbound and inbound for those ports (do I need inbound?).  I've also turned them on.

However, it fails to log in to their server.  In the packet filter, I can see the outbound connection, but not the return.

I've even made the rules number 1 and 2 just to be sure.

I then tried a telnet connection on that port to their site and I don't get any sort of logon/herald (not sure if I should).  I do need to test that once I get offsite.

I know I am missing something pretty obvious, but I am  approaching brain fried mode.  [:S]  I have confirmed with them that they are only using TCP (to the best of their knowledge).

I'm going to wireshark a connection on the firewall to see what I can see as well.

thanks in advance for any advice.

Mike


This thread was automatically locked due to age.
Parents
  • 0
    I was on the phone with the developer, and all they do is initiate an outbound connection on port 6701, then once that is successful, they go on. 

    OK, so let me put that in my own words to be sure I understand.  This is a software package installed on a server behind the Astaro (the Astaro has a public IP on the External interface).  The application backs up files from the server to a remote service.  In order to begin a backup, the application sends a packet on port 6701 to the remote service.  Correct?

    You have defined a service "KnoxVault" = "1:65535 → 6701:6703" and used it in a logged PF rule like 'Internal (Network) -> KnoxVault -> {KnoxVault servers} : Allow'.  You can see the outbound packets passed in the PF log, and there are no blocked packets related to this communication.  Correct?

    The KnoxVault site says that the traffic is encrypted; one place commented that this was with SSL.  I would have expected port-443 packets to show up as blocked if that's the case though.

    That leaves us with the packets being blocked by the ISP or some configuration issue with the application or that customer's KnoxVault account.

    Cheers - Bob
Reply
  • 0
    I was on the phone with the developer, and all they do is initiate an outbound connection on port 6701, then once that is successful, they go on. 

    OK, so let me put that in my own words to be sure I understand.  This is a software package installed on a server behind the Astaro (the Astaro has a public IP on the External interface).  The application backs up files from the server to a remote service.  In order to begin a backup, the application sends a packet on port 6701 to the remote service.  Correct?

    You have defined a service "KnoxVault" = "1:65535 → 6701:6703" and used it in a logged PF rule like 'Internal (Network) -> KnoxVault -> {KnoxVault servers} : Allow'.  You can see the outbound packets passed in the PF log, and there are no blocked packets related to this communication.  Correct?

    The KnoxVault site says that the traffic is encrypted; one place commented that this was with SSL.  I would have expected port-443 packets to show up as blocked if that's the case though.

    That leaves us with the packets being blocked by the ISP or some configuration issue with the application or that customer's KnoxVault account.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
      In order to begin a backup, the application sends a packet on port 6701 to the remote service.  Correct?

    You have defined a service "KnoxVault" = "1:65535 → 6701:6703" and used it in a logged PF rule like 'Internal (Network) -> KnoxVault -> {KnoxVault servers} : Allow'.  You can see the outbound packets passed in the PF log, and there are no blocked packets related to this communication.  Correct?

    The KnoxVault site says that the traffic is encrypted; one place commented that this was with SSL.  I would have expected port-443 packets to show up as blocked if that's the case though.

    That leaves us with the packets being blocked by the ISP or some configuration issue with the application or that customer's KnoxVault account.

    Cheers - Bob


    Item  1 - correct
    Item  2 - correct as well
    Good point on port 443 - I don't see any port 443 communication in the tcpdump and 443 is open for outbound as well

    ISP - I thought that as well, however, the Controller (Financial) has the same ISP (small town), so I went to her house to test.  It worked.

    One test I should do, is to unplug the modem from the firewall, plug in my laptop and run a test.  My 99% test is that it will work.  I can't do that during business hours though.  

    Mike

    Here is the flow.  xx.yyy.zzz.aaa is the outside ip address.  This is captured on the ASG on both eth0 and eth1.  (The same text file is attached).

      Time                       Source                Destination           Protocol Info
          1 2010-11-05 12:09:17.228500 10.10.93.228          206.223.175.30        TCP      50832 > kti-icad-srvr [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2 TSV=600324 TSER=0
          2 2010-11-05 12:09:17.228515 10.10.93.228          206.223.175.30        TCP      50832 > kti-icad-srvr [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2 TSV=600324 TSER=0
          3 2010-11-05 12:09:17.228521 xx.yyy.zzz.aaa        206.223.175.30        TCP      50832 > kti-icad-srvr [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=2 TSV=600324 TSER=0
          4 2010-11-05 12:09:17.239963 206.223.175.30        xx.yyy.zzz.aaa        TCP      kti-icad-srvr > 50832 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1027114435 TSER=600324 WS=7
          5 2010-11-05 12:09:17.240000 206.223.175.30        xx.yyy.zzz.aaa        TCP      kti-icad-srvr > 50832 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1027114435 TSER=600324 WS=7
          6 2010-11-05 12:09:17.240413 206.223.175.30        10.10.93.228          TCP      kti-icad-srvr > 50832 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1460 TSV=1027114435 TSER=600324 WS=7
          7 2010-11-05 12:09:17.241385 10.10.93.228          206.223.175.30        TCP      50832 > kti-icad-srvr [ACK] Seq=1 Ack=1 Win=66608 Len=0 TSV=600326 TSER=1027114435
          8 2010-11-05 12:09:17.241403 10.10.93.228          206.223.175.30        TCP      [TCP Dup ACK 7#1] 50832 > kti-icad-srvr [ACK] Seq=1 Ack=1 Win=66608 Len=0 TSV=600326 TSER=1027114435
          9 2010-11-05 12:09:17.241695 xx.yyy.zzz.aaa        206.223.175.30        TCP      50832 > kti-icad-srvr [ACK] Seq=1 Ack=1 Win=66608 Len=0 TSV=600326 TSER=1027114435
         10 2010-11-05 12:09:19.360026 10.10.93.228          206.223.175.30        TCP      50832 > kti-icad-srvr [PSH, ACK] Seq=1 Ack=1 Win=66608 Len=72 TSV=600538 TSER=1027114435
         11 2010-11-05 12:09:19.360053 10.10.93.228          206.223.175.30        TCP      [TCP Out-Of-Order] 50832 > kti-icad-srvr [PSH, ACK] Seq=1 Ack=1 Win=66608 Len=72 TSV=600538 TSER=1027114435
         12 2010-11-05 12:09:19.360677 xx.yyy.zzz.aaa        206.223.175.30        TCP      50832 > kti-icad-srvr [PSH, ACK] Seq=1 Ack=1 Win=66608 Len=72 TSV=600538 TSER=1027114435
         13 2010-11-05 12:09:19.371892 206.223.175.30        xx.yyy.zzz.aaa        TCP      kti-icad-srvr > 50832 [ACK] Seq=1 Ack=73 Win=5888 Len=0 TSV=1027114648 TSER=600538
         14 2010-11-05 12:09:19.371912 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Dup ACK 13#1] kti-icad-srvr > 50832 [ACK] Seq=1 Ack=73 Win=5888 Len=0 TSV=1027114648 TSER=600538
         15 2010-11-05 12:09:19.371895 206.223.175.30        xx.yyy.zzz.aaa        TCP      kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114648 TSER=600538
         16 2010-11-05 12:09:19.371919 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Out-Of-Order] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114648 TSER=600538
         17 2010-11-05 12:09:19.372321 206.223.175.30        10.10.93.228          TCP      kti-icad-srvr > 50832 [ACK] Seq=1 Ack=73 Win=5888 Len=0 TSV=1027114648 TSER=600538
         18 2010-11-05 12:09:19.580017 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114669 TSER=600538
         19 2010-11-05 12:09:19.580037 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114669 TSER=600538
         20 2010-11-05 12:09:20.003075 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114711 TSER=600538
         21 2010-11-05 12:09:20.003108 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114711 TSER=600538
         22 2010-11-05 12:09:20.840064 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114795 TSER=600538
         23 2010-11-05 12:09:20.840089 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114795 TSER=600538
         24 2010-11-05 12:09:22.519349 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114963 TSER=600538
         25 2010-11-05 12:09:22.519381 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027114963 TSER=600538
         26 2010-11-05 12:09:25.880040 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027115299 TSER=600538
         27 2010-11-05 12:09:25.880059 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027115299 TSER=600538
         28 2010-11-05 12:09:32.603166 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027115971 TSER=600538
         29 2010-11-05 12:09:32.603185 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027115971 TSER=600538
         30 2010-11-05 12:09:46.040136 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027117315 TSER=600538
         31 2010-11-05 12:09:46.040166 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027117315 TSER=600538
         32 2010-11-05 12:10:12.923958 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027120003 TSER=600538
         33 2010-11-05 12:10:12.923996 206.223.175.30        xx.yyy.zzz.aaa        TCP      [TCP Retransmission] kti-icad-srvr > 50832 [PSH, ACK] Seq=1 Ack=73 Win=5888 Len=36 TSV=1027120003 TSER=600538
         34 2010-11-05 12:10:21.013816 10.10.93.228          206.223.175.30        TCP      50832 > kti-icad-srvr [RST, ACK] Seq=73 Ack=1 Win=0 Len=0
         35 2010-11-05 12:10:21.013840 10.10.93.228          206.223.175.30        TCP      50832 > kti-icad-srvr [RST, ACK] Seq=73 Ack=1 Win=0 Len=0
         36 2010-11-05 12:10:21.014228 xx.yyy.zzz.aaa        206.223.175.30        TCP      50832 > kti-icad-srvr [RST, ACK] Seq=73 Ack=1 Win=0 Len=0