Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5994 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange NAT Problem

Harsesis
Hi,

i have a strange Problem with my ASG Again. I'm running ASG 8.300 als ESXi 5 VM. I have the following issue:

I'm running a Minecraft Server on a Debian VM on my ESXi-Host. There is a virtual Network that bridges all VM's, internal ASG Nic and physical Network. ASG has a second Nic for WAN. I have a NAT Rule that routes Port 25565 TCP/UDP to the Minecraft Server. The problem i have is, that external connections to the minecraft server are very instable and disconnect to after 2-3 minutes. First I tought the is a problem with the MC-Server or a bandwidth problem. After some testing I found out it must be a problem with ASG.

I started a Server on my Desktop PC and changed the NAT on it and everything works fine (stable connection, fast, etc.). So the route:

Internet -> ASG -> Desktop PC works fine

But

Internet -> ASG -> Debian Guest does not work fine.

A frind of mine runs a very similar setup, but on his setup the ASG works as Gateway behind an FritzBox. I tried to host an server to (to help me solving this problem) and we found out that it works fine when I connect over the route:

Internet -> FritzBox -> Debian Guest

But it does not work (same problems like mine above)

Internet -> FritzBox -> ASG -> Debian Guest

My last thougth was it could be an problem with the MTU, I tried to change it but I can't see any improvements.

Do you have any ideas?


This thread was automatically locked due to age.
  • 0
    Hi, please post screenshots of your DNAT.

    Barry
  • 0 in reply to BarryG
    Hi,

    Screen is attached, the Service "Minecraft Server" contains Port 25565 UDP/TCP
  • 0
    so the Minecraft Server service definition looks like:
    source port: 1024-65535
    dest port: 25565

    right?

    Do you have a Packetfilter rule allowing Outgoing traffic?

    Take a look at the Packetfilter and IPS logs.

    Barry
  • 0 in reply to BarryG
    Hi,

    yes, service defintion is like that. I have a packetfilter rule to allow the traffic. There is nothing in the Live-Log (checked multiple times). Also the IPS log shows no entries related to the MC-Server.

    The problem must be something complete different, because connection to one PC behind FW works but another does not. I think it had to do with the virtual ESXi network and the Astaro, something is buggy there!
  • 0
    You might want to run a sniffer. TCPDump is available on the Astaro console, fyi.

    Barry
  • 0
    Hi,

    I allready checked the packages that where sent and received on the client-side with wireshark. Client and Server send a ton of packages. Can you give me a hint what I suppost to look for? I think it's no good idea trying to check every single package...
  • 0
    You might check to confirm that the default gateway on the minecraft server is set to the IP of "Internal (Address)" of the Astaro.

    Cheers - Bob
  • 0
    Hi,

    I have tried something out what shows that the problems seems to be the virtual Network of ESXi.

    I made a HW Pass-Through of a Nic direct to the MC-Server so that the setup is:

    MC-Server  Astaro  Internet

    instead of

    MC-SERVER  Astaro  Internet

    I do not know how this could help make it the "nice" way over a vnic, but maybe that could help to find out what is the problem.
  • 0 in reply to Harsesis
    Hi,

    I have tried something out what shows that the problems seems to be the virtual Network of ESXi.

    I made a HW Pass-Through of a Nic direct to the MC-Server so that the setup is:

    MC-Server  Astaro  Internet

    instead of

    MC-SERVER  Astaro  Internet

    I do not know how this could help make it the "nice" way over a vnic, but maybe that could help to find out what is the problem.


    Hi, I read this post a couple days ago, but was not sure what your diagram was trying to show.  Now I think I get it.

    I am having the exact same problem and it seems that our set up is exactly the same: an ESXi server with 2 NIC's, one for LAN and one for WAN, running astaro and another (at least one) VM with a minecraft server on it.  I will try hosting the server on a physical machine tonight (I think that's what your diagram shows there, right?)  Did you ever get this problem solved while using a VM?

    A few concerns I have are that I downloaded the Astaro appliance for ESXi and cannot make the vmnic's anything other than flexible.  They show up in the guest as vmxnet instead of vmxnet3 like I would want them to be.  The other problem is that my server hardware is about 50-75% utilized at all times.

    I had similar problems with another gateway distro, ClearOS, but it would come and go.  Sometimes it would would work fine, other times it would do the same exact thing that its doing now.  With Astaro, there's no sometimes.  It does it all the time.  The main difference between these 2 ESXi setting wise is that I was using vmxnet3 ethernet adapters on ClearOS.

    The whole reason I switched to Astaro is because with ClearOS I could not reach a web server or SSH server I had on another VM on the same ESXi server.  Now with Astaro the web server and SSH server works but the minecraft server doesn't.  Its all starting to come together now that there is some sort of problem with ESXi routing between interfaces.  Is there some sort of vswitch, or vmnic setting I'm missing?

    Edit:
    I was hoping to upgrade to ESXi 5 tonight to see if that might fix the problem, but I see you already have that installed so I will hold off on that for now.

    Edit edit:
    With ClearOS if I connected a VPN tunnel either with SSL or PPTP I would be able to get to the servers that were not working, and in some instances after I disconnected I would then be able to access them over the internet the way I should be able to.  With Astaro, this is not the case.  The difference between the 2 is that ClearOS I had it set up to put me right on the same local network.  With Astaro I am on a 10.242.6.x network instead of 192.168.0.x.  Hopefully this might help?

    Edit edit edit:
    Looking through the Networking in the ESXi config, I noticed that the physical NIC attached to the vSwitch that is used for the WAN has Observed IP  Ranges of 0.0.0.1-255.255.255.254, while the physical NIC attached to the vSwitch that is used for the LAN has Observed IP  Ranges of "None".  I have seen this in the past and while the LAN NIC will always say None, I have seen the WAN NIC say the network that my ISP gives me.
  • 0
    Hi ats1000,

    you are really lucky today! I'm playing arround with ESXi this moment and landed in this (realy old) thread of me and saw your answer ;D.

    Yeah I  have found the solution for the problem but had no time to realy write an answer here, or to blog about it.

    The problem is related to the network technology of ESXi. The vSwitch allows it to transfer bigger packages then a phyical network can. To do that both Clients of the communication have to enable this feature in their nic settings.

    This works fine with the most VM's but not with ASG. The network settings of ASG says ESXi it CAN receive this large packages, but when they arrive it can not handle them. So the solution is to change the settings of the internal ASG Nic, so that it do not longer receive them. After that fix every thing worked fine for me!

    To diable the large packages you need to login to the shell of astaro and then edit the file /etc/modprobe.conf

    in the first block of the configuration find the line
    "install eth0       /bin/true"
    for your internal nic (mine is eth0)
    and then add this direct behind it (in the next two lines)
    alias eth0 vmxnet
    options vmxnet disable_lro=1

    That should solve your problem!

    Hope that helpd you!