Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 62 replies
  • Subscribers 2 subscribers
  • Views 135369 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Despite Masquerading Internal Addresses Appear On WAN-Interface

Xavier2
Hi,

my Astaro (9.106-17) is placed on it's WAN-Interface behind another router.
The Astaro is the only device behind the other router and there's just one link
between them.

On the Astaro for all internal networks masquerading is switch on by rules like
'Internal network XX' to WAN-Interface.

Everything worked unsuspicious and quite well until yesterday.

On the external router I switched on a feature called Backroute Verify on the interface to the Astaro.. This means that incoming data packets are only accepted over this interface if outgoing response packets are routed over the same interface.

The subnet between the external router and the Astaro is 10.15.95.0/24.
Astaro has 10.15.95.10. the other has 10.15.95.20
Therefore the external router drops all packets not coming from an address within that subnet. This should be no problem since masquerading is turned on.


The other router logs dropped packets. 
In the logs I can see a lot of of dropped packets from source addresses
behind the Astaro.

How can this happen with masquerading turned on?

It seems like the Astaro doesn' substitute the source address with it's own WAN address.

Surfing, Mailing everything seems to work from inside the Astaros's internal LANs.

But some TCP messages [RST or FIN,ACK odr RST,ACK] go trough. TCP Seq is always '1'.
Only these types of packets. No TCP payload packets and also no UDP.


I can see the with Wireshark too.

I've no clue.
What can I check?

Best regards
Xavier


-----------------------------

Sorry, by posting this messages there appear also some payload packets with internal addresses on the WAN Interface.


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    No change with Spoof Protection set to normal.

    I'm back from Diner and tcpdump and Wireshark show a lot of packages with wrong, internal source addresses.

    And also no trace in the firewall logs.
  • 0
    Astaro has an error in its routing system!

    In the moment you disable an internal interface traffic from another internal interface
    destined for that interface appear on the WAN interface.

    I played with webinterface while I watched Wireshark and disabled an internal interface.
    And while the webinterface refreshed I could see internal packets in tcpdump and Wireshark. 

    It's reproduceable!
  • 0
    Sorry, I don't quite understand how you reproduced the bug?
    Could you please explain it in more detail?

    As you know I have the exact same problem on my astaro but there are no disabled internal interfaces.

    Thanks.
  • 0 in reply to Xavier2
    In the moment you disable an internal interface traffic from another internal interface
    destined for that interface appear on the WAN interface.


    Hi, if a network doesn't exist INSIDE the firewall, then the logical thing to do is to send it out the DEFAULT ROUTE (to the internet).

    If the packets aren't changing their SOURCE address through Masquerading, then there is still a problem.

    1. Can you post some lines from tcpdump on the external interface?

    2. Also post a screenshot of your MASQ and NATs.

    Barry
  • 0 in reply to BarryG
    Hi,

    of course.

    Here are two packet from the tcpdump:
    [FONT="Fixedsys"]21:59:58.118892 00:1a:8c:16:9d:30 > 00:a0:f9:2e:f4:92, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 127, id 20024, offset 0, flags [DF], proto TCP (6), length 40) 10.15.12.10.56460 > 108.160.***.***.443: R, cksum 0xc892 (correct), 320604614:320604614(0) ack 761173673 win 0

    21:59:58.119402 00:1a:8c:16:9d:30 > 00:a0:f9:2e:f4:92, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 127, id 20025, offset 0, flags [DF], proto TCP (6), length 40) 10.15.12.10.56469 > 108.160.***.***.443: R, cksum 0xd37f (correct), 72239159:72239159(0) ack 1606691242 win 0[/FONT]

    00:1a:8c:16:9d:30 is the MAC address of Astaros's WAN interface. 
    It's address is in the transfer subnet 10.15.95.0/24 to the other router.
    10.15.12.0/24 is an internal network behind the Astaro.

    There are no NAT-Rules only the attached masquerading rules.


    Best regards
    Xavier
  • 0
    OK...

    1. KabelBW is the WAN Interface Address, right?

    2. 10.15.12.0/24 is one of the networks in those MASQ rules, right?

    Barry
  • 0
    Hi Barry,

    yes.

    Best regards
    Xavier
  • 0
    Hi,

    I sniffed the conversation between an AppleTV and Apple's servers, because these packets are leaked often.

    Comparing the tcpdumps of the internal interface and the WAN interface you can watch the conversation through the Astaro
    and that suddenly one or two consecutive packets aren't NATted. Afterwards the conversation goes on normally.

    So I thing this is no problem of wrong routes or whatever. The Astaro  leaks packets.

    Xavier
  • 0
    Please let us know what Sophos Support says about preventing this.

    Cheers - Bob
  • 0
    I'm running tcpdump on 2 UTMs right now to see if I can reproduce...

    sudo tcpdump -nn -p -i eth0 src or dst net 192.168.0.0/16

    Barry