Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2988 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with upgrade from V8 to UTM9

Ed.Kok
The situation with V8 was it had an extra nic as a 'DMZ' with a webserver in that subnet. This has been working fine until I moved to UTM9.
I made a config-backup of V8, installed a new VM for UTM9 and restored the config. All seemed fine except for the webserver. It is a SuSE-linux server with Apache. The server can still be reached via internet (as before) and you can see the SSL-certificate being recognized but then nothing.....
I cannot find any errors in UTM nor in Apache except for time-outs. It has nothing to do with that server because I now have replaced the old V8 back and that works OK as before. Another strange thing is that when I telnet (PuTTY SSH) to the webserver (while running theUTM9) I can cd through the filesystem but when I start YaST it becomes VERY slow. The same for using WinSCP; I can browse the filesystem but cannot open files from /var/log. WinSCP looses the connection.

The setup:
- DNAT
- Traffic Source: Any
- Traffic Service: Group with http and https
- Traffic Destination: External IP bound on external nic from UTM
- Destination: DNS host (the webserver)
- Automatic Firewall rule: enabled
- Plus a few firewall rules for extra ports from internal for UPS, Nagios, etc.

And this setup has been in production for months on the 'old' V8.
What could I do to have this working again on UTM9? Has something changed that I don't know of?

Please ask if something is unclear.


This thread was automatically locked due to age.
  • 0
    Hi,

    1. v9 needs more RAM, especially if you're using the http proxy (Web Protection)

    2. make sure your DNS Host Definition is working, or use a Network Host Definition instead of a DNS one.

    3. have you checked the Firewall and IPS logs?

    4. Are you using the WAF (Web Server Protection)?

    5. run 'ifconfig' and look for any interface errors

    Barry
  • 0 in reply to BarryG
    Is Destination Service in your NAT rule set?  If so, leave it blank.
  • 0
    - Traffic Destination: External IP bound on external nic from UTM

    That should work, but it's clearer to put an Additional Address on the interface, and then use the "(Address)" object created by WebAdmin.

    In fact, when I saw after that "Destination: DNS host (the webserver)," I thought of what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.



    Any luck with any of thise ramblings?

    Cheers - Bob

  • 0
    Thank you all for replying with suggestions.

    @BarryG:
    The V9 has been installed as an VM-appliance and therefor configured by Astaro/Sophos. I have downloaded utm-9.003-esx-v4-x64-smp.zip, unzipped it and followed the deploy-wizard in vCenter. It has 4GB RAM en two cpu's (cores that is). 
    It has been running for two days without any performance problems at all. It was only the DNAT not working as expected. The DNS Host Definition is working because it already did in V8 and the config is transferred to UTM9 and the webserver is reachable on the UTM9. It is just that the website sort of chokes; just a half page or even nothing, just the green url for the SSL. Hovering the definition shows the correct IP-address.
    IPS log is almost empty and contains nothing concerning the webserver, just a few ICMP floods. The firewall log doesn't show any problems or drops, just the forwards for de UPS and Nagios-client from the inside and the entries for de NAT rule: name="Packet logged" action="log" fwrule="62004" initf="eth2"
    I have tried WAF just for test but could not get it to work. Must do some reading about that I guess. Did have the real and virtual configured but didn't know what to do with the certificate-field and after "domain errors" (?) I still had a questionmark at the rule telling "error". So this is still disabled.
    Will have a look at the ifconfig for errors next time I have the nerv to try...

    @BrucekConvergent:
    Destination Service is left blank.

    @BAlfson:
    No luck yet. I think there is some confusion with terminology between the 'old' V8 and new UTM9. The naming I used is from a V8 screen and I do use an additional address bound to eth1, being my NIC for the public/external side. In UTM9 the DNAT is:
    - For traffic from: Any
    - Using service: Group with http and https
    - Going to: External [EXT-11] (address) Address of alias "EXT-11" on interface "External" 62.21.x.x
    - Change the destination to: webserver (DNS-host [192.168.210.210])
    - And the service to: blank
    - Automatic Firewall rule: enabled

    Sorry for the confusion.
    This config came from a working ASG 8.306 and it 'almost' works in UTM9 because I can connect to the webserver from the internet but it takes a VERY long time to show something in the browser if any at all.
  • 0
    Just a thought: could it be caching in a switch or router?
    What I did is prepare the UTM9 with the exact config (IP-addresses) as the running V8. All nics from the new UTM9 were disconnected exept for eth0 which I had reconfigured on a temp IP-address to be able to use WebAdmin.
    The moment I wanted to put the new one into production I disconnected the V8 and connected the UTM9. Maybe some ARP-tables don't understand the new MAC-addresses??
  • 0
    Maybe some ARP-tables don't understand the new MAC-addresses?? 

    Was that it?

    If you're still having problems, you might want to try an installation with the software ISO - there are lots of reports here of folks having problems with the virtual install.  The new software ISO senses that ti's being installed in a VM, and it installs the VMware tools.

    Chees - Bob
  • 0
    Also, what NIC drivers are you using in the VM?

    Barry
  • 0 in reply to BAlfson
    Was that it?

    If you're still having problems, you might want to try an installation with the software ISO - there are lots of reports here of folks having problems with the virtual install.  The new software ISO senses that ti's being installed in a VM, and it installs the VMware tools.

    Chees - Bob


    Don't know yet because must first find out how to clear the cache on a Cisco 2800 [:D]

    In the mean time I followed up on your tip about the ISO, dowloaded it and almost ready with installing. Will continue tomorrow hopefully. Already noticed installing changed; compared to the OVF deploy-wizard I now could enter an IP for eth0! That is an improvement.

    @BarryG: The nic's use the "Flexible" driver because that is what is configured in the OVF and they cannot be changed. Adding additional nics are always E1000 because again, there is no choice.
    Using the ISO, again there is no choice. Now they are always E1000 because for OS I choose "Linux other 64-bit" and that's the driver you'll get then.
  • 0
    Hi, the 'flexible' drivers are known to have serious performance problems with Linux.

    The 'vmxnet3' are recommended, but e1000 should be fine too.

    There is a way to change it, but I don't know what it is off the top of my head.

    Barry
  • 0
    Which version is your esx(i)?