Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 15852 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SYSLOG Packets Being Dropped

UweT
Hello Community Support,

We have a HP WLAN controller (192.168.200.30) that shall forward SYSLOG messages to a client computer (192.168.200.2) but always the Astaro Packet filter log says the packets are dropped as you can see below.

What I can say for sure after troubleshooting: The firewall rules are not even touched that say that SYSLOG traffic in between these two hosts is allowed (although they are in the same VLAN even). It's also not the Intrusion Protection.

I don't know where to look else!

i.e. see this log excerpt: 

13:05:42	Default DROP	UDP	192.168.200.30	:	32780→	192.168.200.1	:	514 len=152	ttl=64	tos=0x00	srcmac=0:3:52:8:16:45	dstmac=0:1a:8c:17:8:19

13:05:42	Default DROP	UDP	192.168.200.30	:	32780→	192.168.200.1	:	514 len=274	ttl=64	tos=0x00	srcmac=0:3:52:8:16:45	dstmac=0:1a:8c:17:8:19

13:05:42	Default DROP	UDP	192.168.200.30	:	32780→	192.168.200.1	:	514 len=219	ttl=64	tos=0x00	srcmac=0:3:52:8:16:45	dstmac=0:1a:8c:17:8:19

13:05:42	Default DROP	UDP	192.168.200.30	:	32780→	192.168.200.1	:	514 len=224	ttl=64	tos=0x00	srcmac=0:3:52:8:16:45	dstmac=0:1a:8c:17:8:19


it goes like this forever....

Regards,
Uwe


This thread was automatically locked due to age.
  • 0
    Uwe, please post the same lines from the full (not the "Live") log.

    Cheers - Bob
  • 0 in reply to BAlfson
    Sorry for the late response BAlfson. Wasn't aware yet that the live log differs from the normal one.
    This points to rule 60001 (sample lines):
    https://support.astaro.com/support/index.php/Packetfilter_logfiles

    2011:09:13-16:32:01 disgwac ulogd[4831]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:3:52:8:16:45" dstmac="0:1a:8c:17:8:19" srcip="192.168.200.30" dstip="192.168.200.1" proto="17" length="153" tos="0x00" prec="0x00" ttl="64" srcport="32780" dstport="514" 
    2011:09:13-16:32:01 disgwac ulogd[4831]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:3:52:8:16:45" dstmac="0:1a:8c:17:8:19" srcip="192.168.200.30" dstip="192.168.200.1" proto="17" length="276" tos="0x00" prec="0x00" ttl="64" srcport="32780" dstport="514" 
    2011:09:13-16:32:01 disgwac ulogd[4831]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:3:52:8:16:45" dstmac="0:1a:8c:17:8:19" srcip="192.168.200.30" dstip="192.168.200.1" proto="17" length="215" tos="0x00" prec="0x00" ttl="64" srcport="32780" dstport="514" 
    2011:09:13-16:32:01 disgwac ulogd[4831]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:3:52:8:16:45" dstmac="0:1a:8c:17:8:19" srcip="192.168.200.30" dstip="192.168.200.1" proto="17" length="219" tos="0x00" prec="0x00" ttl="64" srcport="32780" dstport="514" 
  • 0 in reply to UweT
    I also set up a DNAT rule that didn't help (actually a try. for same LAN it doesn't help IMO):

    Traffic selector: 192.168.200.30 → SYSLOG → 192.168.200.2
    Destination translation: 192.168.200.2 SYSLOG
    Automatic packet filter rule: no
    Initial packets are logged: no
  • 0
    Are the WLAN controller and the client system plugged into separate interfaces of the Astaro?
  • 0 in reply to UweT
    Hi,

    How does your packetfilter Rules Look like?

    How does the network interface setup look like?

    Thx
    Gert
  • 0 in reply to Gert Hansen
    Hi there,

    The WLAN controler HP MSM 730 is connected to a central HP Procurve Switch which is attached to the client and the ASG320 (192.168.200.1) as well.

    The packet filter rules are like this:

    192.168.200.30 -> SYSLOG -> 192.168.200.2 -> ALLOW
    (ANY instead of 192.168.200.2 results in the same)

    ANY -> SYSLOG -> 192.168.200.2 -> ALLOW

    (I tried both options: Port 514 via UDP and TCP - same problem)
  • 0
    Uwe, some questions:

    1. Can you ping .200.2 from the Astaro?

    2. Why does the MSM 730 (192.168.200.30) think it needs to send internal traffic to the Astaro?

    3. Are you using VLANs?

    Cheers - Bob
  • 0
    2)  That's why I asked about being plugged into separate interfaces.  Intra-LAN traffic on the same interface shouldn't even get to the Astaro.  Seems odd.

    3)  He mentioned in post #1 about them being in the same VLAN.
  • 0 in reply to BAlfson
    Uwe, some questions:

    1. Can you ping .200.2 from the Astaro?

    2. Why does the MSM 730 (192.168.200.30) think it needs to send internal traffic to the Astaro?

    3. Are you using VLANs?

    Cheers - Bob


    1.) Yes. It's a management station, so being used for various services.

    2.) It's the management port. On the WLAN controller I set up a remote syslog host (192.168.200.2). That host shall receive all logs because the controller's inbuilt log only lasts for 3 minutes(!) and that is far too less.
  • 0
    1. I understand that it's being used for various services.  What result do you get in the Astaro from 'Support >> Tools' 'Ping-Prüfung' for 192.168.200.2?

    2. The question here is why the traffic even goes to the Astaro - local traffic in the 192.168.200.0/24 subnet should be sent directly - not via the Astaro.  In the WLAN controller, what is the subnet mask?  What is the subnet mask on Astaro's eth1?

    Cheers - Bob