HA active/active, firewall rules stop working 8.202

"Rolling Back" is not easy.  You would have to manually reload both appliances with 8.102 (then up2date to 8.103) ... then restore a backup from when they ran 8.103 -- a backup from a newer version will not restore to an older running OS.

FWIW, this is the precise reason I have advised our customers (my company's customers) to stay on 8.103 -- the 8.2xx branch is not quite "clean" yet... and rolling back is a pain.

Yes both nodes are active and working.

Can you be a bit more specific about what packet filter rules did not work or
what traffic is not working?

Do you use IPS or Application Control?

Cheers
 Ulrich

Hello,
thanks for your reply.

We dont use IPS or application control. 

The rule that stops working is a LDAP ssl login from outside to inside. 

- Allow 10.10.4.105 --> 192.168.1.101 and 192.168.1.102 port 636

If you send me your backup to uweber@astaro.com I can try to reproduce this issue.

But atm I have no clue what goes wrong here. If you insert a more open rule will it work then,
e.g. "Allow 10.10.4.105 ANY ANY" ?

Anything in packetfilter.log or kernel.log?

If i enable allow ANY  ANY (our top rule)
(this is disabled by default offcourse [;)] )

The ldap login that was not working does work then. (but that is not really secure)

In the packetfilter log, nothing unusual is shown.
Ill send you our backup,

What rule number is "Allow 10.10.4.105 --> 192.168.1.101 and 192.168.1.102 port 636" ?
I only can see 10.10.4.101 -> 192.168.1.103/192.168.1.104 (Nr 3).

The traffic you mentioned is dropped by rule 63 which has "log traffic" not enabled.

Cheers
 Ulrich

One "dumb" idea:  are you using the HTTP Proxy, especially in Transparent Mode (profiles count too) ... seems I recall that the default allowed target services for Web Filtering (HTTP Proxy) included, by default, LDAP and / or LDAPS ... that could be your problem... I always prune all that stuff out on production systems.

This is starting to feel like my favorite detail to gripe about still being possible...

Other than the "Internet" definition supplied by Astaro, do all of your network/host definitions have 'Interface: >' instead of being bound to the Internal interface?

Cheers - Bob

- We use Http proxy in standard mode

- And our host definistions are bind to an InternalLan interface or to our ExternalInterface, but not to any

And thanks for thinking along with me

That's what I was afraid of.  You need to change that.  The only definition that you should have/need bound to a specific interface is the locked "Internet" definition supplied by Astaro.

1. Check the 'DNAT/SNAT' tab.  In all cases where you use an address on an Astaro interface, you should use the address object created by WebAdmin.  For example, "External (Address)" or "External [Additional] (Address)" instead of a host definition "Something" bound to the External interface.

2. After making all necesssary changes in NAT rules, go through all of your host and network definitons and set 'Interface: >'.

After this, everything should work correctly,

Cheers - Bob