Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3703 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Random connection-drops between two internal Networks

ThorstenS
Hi Community,

hope you can help me with this confusing Issue.

What we have:
1x UTM320 FullGuard
2x ESXi-Hosts with ~20 VM's in several Networks (Management, Production, DMZ, WAN - isolated via VLAN or physical)

Example:
Management-Network (172.10.0.0/24)
VM1 (Win2003) - 2 Network-Shares
VM2 (Win2003R2) - 10 Printers
VM3 (Win2012) - 4 Network-Shares

Production-Network (172.10.5.0/24)
VM4 (Win2008R2) - connected to VM1 + VM3
VM5 (Win2008R2) - connected to VM1 + VM2

Networks are masqueraded in each direction.
Firewall-Rules between the Networks: allow-any

Problem:
On VM5 the mapped Printers are flickering between "online", "offline" and "inaccessible", also the mapped Network-Shares are accessible in one moment, in the next moment I get a connection-error.
On VM4 nearly same situation, but VM3-Network-Shares are persistent with no issues.

If I connect the other way, from VM1 or VM2 to a Network-Share on VM4 or VM5, I have no issues at all...

Now you would like say: It's a problem of the Win2003-VM's....
But: When I move one of the Win2003-VM's to Production-Network for testing, the problem is gone. But this is no option nor solution!

Nothing on the Log-Files, that I could connect to this issue...


Thanks for reading and any hint or solution to this.

Have a nice weekend!

Regards
Thorsten


This thread was automatically locked due to age.
  • 0
    Hi, Thorsten, and welcome to the User BB!

    Nothing on the Log-Files

    By this, do you mean the three mentioned in #1 of Rulz?

    Cheers -  Bob
  • 0
    Hi Bob,

    thanks for answering!

    Have read the rulz and verified what was applicable before I posted here.
    I've only checked Firewall-Log, because IPS and Application-Control is not active right now (to eliminate any possible error-sources, but have them checked right now to be extra sure... No Logs available.)

    In my Firewall-Log there are no lines with the problem-networks or IP's.


    Regards
    Thorsten
  • 0
    Networks are masqueraded in each direction.

    If masquerading between networks defined on UTM interfaces is required then you may have a host definition that defies #3 in Rulz.

    Also, consider #3.1 when it appears there's a routing problem.

    Cheers - Bob
  • 0
    Hi Bob,

    regarding 3.1: I can totally rule out the first point. With the second... different VLAN's should act as different segments on the same switch if I'm not totally wrong with that.

    Regarding 3: I'm not sure on how to do it otherwise... on the Network-Field I drag'n'drop i.e. "Management (Network) and of course I select the correspondig interface in the Interface-Field... Is there any other way to do this? Or am I missunderstandig the concept in any way?

    Thanks!
  • 0
    Regarding 3: I'm not sure on how to do it otherwise... on the Network-Field I drag'n'drop i.e. "Management (Network) and of course I select the correspondig interface in the Interface-Field... Is there any other way to do this? Or am I missunderstandig the concept in any way?

    Please use the [Go Advanced] button below and attach a picture of this open in edit mode displaying all of the options.

    Cheer - Bob
  • 0
    Hi Bob,

    I hope I got what you meant, see screenshot 1.
    This way I configured each and every internal Network.
    Additionaly I configured in the firewall  for both directions.
    See screenshot 2.


    Thanks and regards
    Thorsten
  • 0
    Thorsten, the Firewall rules are fine, but you shouldn't need the masquerading rule.  It seems that your problem is not inside the UTM though.

    Cheers - Bob
  • 0
    Thorsten,

    One thing to keep in mind if you are using masquerading. Windows CIFS really does not play nice with any sort of NAT/MASQ. I had a situation recently where I put three PC's behind a MASQ'd subnet, all trying access the same server on the other side (which hosts their home folders). Had exactly the situation you described and as soon as they were on the same subnet, or I disabled the NAT/MASQ rules, things cleaned up right away.
  • 0
    Hi Bob, hi Andrew.

    thanks for your hints! Will give it a shot with disabling the Masq... 
    But so I must have something misunderstood with the masquarading-concept it seems... Will read into it again...

    And I will give feedback as soon my Users responses in any way [:)]

    Thanks!

    Regards
    Thorsten
  • 0
    Hi Thorsten,

    Masquerading is really just a special form of SNAT.

    SNAT basically says, Traffic from this IP, going to this service, at this IP should appear to come from this other IP. Masquerade says, traffic coming from this IP, going out this interface, should appear to come from the interface.

    Subtle difference but important.

    Now as far as these two networks go, do they have the UTM as their default gateway? Or if not, do the existing gateways have static routes pointing at the UTM?

    I think once you move from a NAT/MASQ between networks to a strictly routed setup (no NAT's) the problem should go away. Microsoft does refer to the issue with KB entry 301673 http://support.microsoft.com/default.aspx/kb/301673 though that link is presently broken. The problems applies not only to fileshares but also to networked printers as Windows uses SMB/CIFS to share printers.