This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HA active/active, firewall rules stop working 8.202

We have some problems lately, some of our firewall rules stop working during the day, after a reboot of one of the astaro's or sometimes after like 4 hours they are suddenly working again.

Another question, what you see on the attachment (HA configured active-passive) both asg320 shows active. Is that correct?


I updated last week to 8.202, then above problem occurred, can i simple restore back to 8.103? (from automatic backup)


This thread was automatically locked due to age.
  • "Rolling Back" is not easy.  You would have to manually reload both appliances with 8.102 (then up2date to 8.103) ... then restore a backup from when they ran 8.103 -- a backup from a newer version will not restore to an older running OS.

    FWIW, this is the precise reason I have advised our customers (my company's customers) to stay on 8.103 -- the 8.2xx branch is not quite "clean" yet... and rolling back is a pain.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Yes both nodes are active and working.

    Can you be a bit more specific about what packet filter rules did not work or
    what traffic is not working?

    Do you use IPS or Application Control?

    Cheers
     Ulrich
  • Hello,
    thanks for your reply.

    We dont use IPS or application control. 

    The rule that stops working is a LDAP ssl login from outside to inside. 

    - Allow 10.10.4.105 --> 192.168.1.101 and 192.168.1.102 port 636
  • If you send me your backup to uweber@astaro.com I can try to reproduce this issue.

    But atm I have no clue what goes wrong here. If you insert a more open rule will it work then,
    e.g. "Allow 10.10.4.105 ANY ANY" ?

    Anything in packetfilter.log or kernel.log?
  • If i enable allow ANY  ANY (our top rule)
    (this is disabled by default offcourse [;)] )

    The ldap login that was not working does work then. (but that is not really secure)

    In the packetfilter log, nothing unusual is shown.
    Ill send you our backup,
  • What rule number is "Allow 10.10.4.105 --> 192.168.1.101 and 192.168.1.102 port 636" ?
    I only can see 10.10.4.101 -> 192.168.1.103/192.168.1.104 (Nr 3).

    The traffic you mentioned is dropped by rule 63 which has "log traffic" not enabled.

    Cheers
     Ulrich
  • One "dumb" idea:  are you using the HTTP Proxy, especially in Transparent Mode (profiles count too) ... seems I recall that the default allowed target services for Web Filtering (HTTP Proxy) included, by default, LDAP and / or LDAPS ... that could be your problem... I always prune all that stuff out on production systems.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • This is starting to feel like my favorite detail to gripe about still being possible...

    Other than the "Internet" definition supplied by Astaro, do all of your network/host definitions have 'Interface: >' instead of being bound to the Internal interface?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • - We use Http proxy in standard mode

    - And our host definistions are bind to an InternalLan interface or to our ExternalInterface, but not to any

    And thanks for thinking along with me
  • That's what I was afraid of.  You need to change that.  The only definition that you should have/need bound to a specific interface is the locked "Internet" definition supplied by Astaro.

    1. Check the 'DNAT/SNAT' tab.  In all cases where you use an address on an Astaro interface, you should use the address object created by WebAdmin.  For example, "External (Address)" or "External [Additional] (Address)" instead of a host definition "Something" bound to the External interface.

    2. After making all necesssary changes in NAT rules, go through all of your host and network definitons and set 'Interface: >'.

    After this, everything should work correctly,

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA