Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2990 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with upgrade from V8 to UTM9

Ed.Kok
The situation with V8 was it had an extra nic as a 'DMZ' with a webserver in that subnet. This has been working fine until I moved to UTM9.
I made a config-backup of V8, installed a new VM for UTM9 and restored the config. All seemed fine except for the webserver. It is a SuSE-linux server with Apache. The server can still be reached via internet (as before) and you can see the SSL-certificate being recognized but then nothing.....
I cannot find any errors in UTM nor in Apache except for time-outs. It has nothing to do with that server because I now have replaced the old V8 back and that works OK as before. Another strange thing is that when I telnet (PuTTY SSH) to the webserver (while running theUTM9) I can cd through the filesystem but when I start YaST it becomes VERY slow. The same for using WinSCP; I can browse the filesystem but cannot open files from /var/log. WinSCP looses the connection.

The setup:
- DNAT
- Traffic Source: Any
- Traffic Service: Group with http and https
- Traffic Destination: External IP bound on external nic from UTM
- Destination: DNS host (the webserver)
- Automatic Firewall rule: enabled
- Plus a few firewall rules for extra ports from internal for UPS, Nagios, etc.

And this setup has been in production for months on the 'old' V8.
What could I do to have this working again on UTM9? Has something changed that I don't know of?

Please ask if something is unclear.


This thread was automatically locked due to age.
Parents
  • 0
    Thank you all for replying with suggestions.

    @BarryG:
    The V9 has been installed as an VM-appliance and therefor configured by Astaro/Sophos. I have downloaded utm-9.003-esx-v4-x64-smp.zip, unzipped it and followed the deploy-wizard in vCenter. It has 4GB RAM en two cpu's (cores that is). 
    It has been running for two days without any performance problems at all. It was only the DNAT not working as expected. The DNS Host Definition is working because it already did in V8 and the config is transferred to UTM9 and the webserver is reachable on the UTM9. It is just that the website sort of chokes; just a half page or even nothing, just the green url for the SSL. Hovering the definition shows the correct IP-address.
    IPS log is almost empty and contains nothing concerning the webserver, just a few ICMP floods. The firewall log doesn't show any problems or drops, just the forwards for de UPS and Nagios-client from the inside and the entries for de NAT rule: name="Packet logged" action="log" fwrule="62004" initf="eth2"
    I have tried WAF just for test but could not get it to work. Must do some reading about that I guess. Did have the real and virtual configured but didn't know what to do with the certificate-field and after "domain errors" (?) I still had a questionmark at the rule telling "error". So this is still disabled.
    Will have a look at the ifconfig for errors next time I have the nerv to try...

    @BrucekConvergent:
    Destination Service is left blank.

    @BAlfson:
    No luck yet. I think there is some confusion with terminology between the 'old' V8 and new UTM9. The naming I used is from a V8 screen and I do use an additional address bound to eth1, being my NIC for the public/external side. In UTM9 the DNAT is:
    - For traffic from: Any
    - Using service: Group with http and https
    - Going to: External [EXT-11] (address) Address of alias "EXT-11" on interface "External" 62.21.x.x
    - Change the destination to: webserver (DNS-host [192.168.210.210])
    - And the service to: blank
    - Automatic Firewall rule: enabled

    Sorry for the confusion.
    This config came from a working ASG 8.306 and it 'almost' works in UTM9 because I can connect to the webserver from the internet but it takes a VERY long time to show something in the browser if any at all.
Reply
  • 0
    Thank you all for replying with suggestions.

    @BarryG:
    The V9 has been installed as an VM-appliance and therefor configured by Astaro/Sophos. I have downloaded utm-9.003-esx-v4-x64-smp.zip, unzipped it and followed the deploy-wizard in vCenter. It has 4GB RAM en two cpu's (cores that is). 
    It has been running for two days without any performance problems at all. It was only the DNAT not working as expected. The DNS Host Definition is working because it already did in V8 and the config is transferred to UTM9 and the webserver is reachable on the UTM9. It is just that the website sort of chokes; just a half page or even nothing, just the green url for the SSL. Hovering the definition shows the correct IP-address.
    IPS log is almost empty and contains nothing concerning the webserver, just a few ICMP floods. The firewall log doesn't show any problems or drops, just the forwards for de UPS and Nagios-client from the inside and the entries for de NAT rule: name="Packet logged" action="log" fwrule="62004" initf="eth2"
    I have tried WAF just for test but could not get it to work. Must do some reading about that I guess. Did have the real and virtual configured but didn't know what to do with the certificate-field and after "domain errors" (?) I still had a questionmark at the rule telling "error". So this is still disabled.
    Will have a look at the ifconfig for errors next time I have the nerv to try...

    @BrucekConvergent:
    Destination Service is left blank.

    @BAlfson:
    No luck yet. I think there is some confusion with terminology between the 'old' V8 and new UTM9. The naming I used is from a V8 screen and I do use an additional address bound to eth1, being my NIC for the public/external side. In UTM9 the DNAT is:
    - For traffic from: Any
    - Using service: Group with http and https
    - Going to: External [EXT-11] (address) Address of alias "EXT-11" on interface "External" 62.21.x.x
    - Change the destination to: webserver (DNS-host [192.168.210.210])
    - And the service to: blank
    - Automatic Firewall rule: enabled

    Sorry for the confusion.
    This config came from a working ASG 8.306 and it 'almost' works in UTM9 because I can connect to the webserver from the internet but it takes a VERY long time to show something in the browser if any at all.
Children
No Data