Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Komisches Verhalten nach Up2Date auf 7.305

Hallo,

zum Glück habe ich neben der Astaro auf Arbeit auch eine Zuhause. Gestern abend war das neue Up2Date auf die Version 7.305 verfügbar, was ich Zuhause natürlich sofort installiert habe.

Danach bootet die Firewall automatisch. Nachdem sie wieder oben war, lief die ersten 5-10 Minuten alles einwandfrei. Dann ging der Spaß auf einmal los...

1. E-Mails konnte ich nicht mehr abrufen, Newsgroups nicht mehr anzeigen

2. Im Paketfilter-Logfile wurden meine pop3-ssl und nntp-Verbindungen plötzlich über meine Last-Reject-Regeln gefiltert und nicht über die eigentlich davor stehenden Regeln zugelassen, die ich extra für pop3-ssl und nntp eingerichtet habe. Zusätzlich wurden alle ntp-Anfragen an die Firewall plötzlich über die Last-DROP-Rule gefiltert.

3. Ein aus- und wieder einschalten des ntp-Servers brachte keine Änderung des Verhaltens. Die Firewall antwortet nicht mehr auf ntp-Abfragen und trotz laufenden ntp-Servers und korrekt freigegebener Netze für entsprechende Anfragen tauchen diese Verbindungen im Paketfilter als gedroppt auf.

4. Eine Paketfilter-Regel, die ganz klar für pop3-ssl und nntp zuständig ist, greift einfach nicht mehr. Ich habe die Regel von vorne bis hinten untersucht (ich arbeite mit Gruppierungen und an Interfaces gebundenen Objekten), sie einmal ab- und wieder angeschaltet, es hat alles nichts geholfen, sie greift einfach nicht mehr. Dabei existiert sie in der Form schon seit Monaten und ausser dem Firewall-Update habe ich gestern keinerlei Netzwerk-Konfigurationen der beteiligten Komponenten geändert (die IP-Adresse meines Rechners hat sich auch nicht geändert).

5. Da ich völlig ratlos war, was das ganze Verhalten der Firewall anging (der http-Proxy funktioniert währenddessen), habe ich einen Reboot gemacht.

6. Nach dem Reboot funktionierte plötzlich alles wieder einwandfrei. Die Firewall beantwortet wieder ntp-Abfragen und die pop3-ssl und nntp-Regel greift wieder. Auch nach 20 Minuten ging noch alles.

7. Ein Blick in den Paketfilter-Log zeigte aber ausser den WebAdmin-Zugriffen NICHTS, gar NICHTS, obwohl alle meine Regeln das Logging eingeschaltet haben. Also habe ich testweise eine Regel ausgeschaltet, wieder eingeschaltet und die Kommunikation laufen lassen, siehe da, das Logging für diese Regel funktioniert wieder. Das Spielchen habe ich mit allen Regeln durchgeführt, danach funktionierte das Paketfilter-Log auch wieder wie erwartet.

Ein EXTREM ungutes Gefühl bleibt aber...

Die Firewall selbst ist eine von Astaro runtergeladene virtuelle Maschine in der Version 7.302, die ich über Up2Dates auf 7.303, 7.304 und jetzt 7.305 aktualisiert habe. Das ganze läuft seit Wochen stabil und ohne Auffälligkeiten problemlos auf einem ESXi-Server.

Mich würde interessieren, ob das ein bedauerlicher Einzelfall ist oder ob das Problem auch andere haben. Ich habe auf den verschiedenen betreuten Astaros schon weit über 50 Up2Dates durchgeführt, zum Teil auf ASGs und ASL-Installationen, aber so ein komisches Verhalten habe ich noch nie beobachten können...

MfG
Manuel


This thread was automatically locked due to age.
Parents
  • @Manuel: bis jetzt habe ich keine probleme, einwandfrei auf ASG 220 V7 eingespielt und automatisches uo2date auf master/slave.
  • Hm, bis jetzt läuft nach meiner Meldung auch alles problemlos, so wie mit Astaro üblich. Es ist also zum Glück kein dauerhaftes oder regelmäßig kommendes Phänomen...

    Wenn ich nächste Woche die ersten ASGs auf Arbeit aktualisiere, werde ich ein wachsames Auge drauf werfen.

    Danke für die Rückmeldungen! Kann mir zwar immer noch nicht erklären, was ich falsch gemacht haben sollte oder was an meiner Konfig so besonderes ist, dass das Update dermaßen komisch reagiert, aber schön zu wissen, dass das ein Einzelphänomen war.

    MfG
    Manuel
Reply
  • Hm, bis jetzt läuft nach meiner Meldung auch alles problemlos, so wie mit Astaro üblich. Es ist also zum Glück kein dauerhaftes oder regelmäßig kommendes Phänomen...

    Wenn ich nächste Woche die ersten ASGs auf Arbeit aktualisiere, werde ich ein wachsames Auge drauf werfen.

    Danke für die Rückmeldungen! Kann mir zwar immer noch nicht erklären, was ich falsch gemacht haben sollte oder was an meiner Konfig so besonderes ist, dass das Update dermaßen komisch reagiert, aber schön zu wissen, dass das ein Einzelphänomen war.

    MfG
    Manuel
Children
  • Also ich habe seit dem Update auch Probleme.
    Sporadische "Verbindungsabbrüche". Alle externen Verbindungen gehen dabei flöten, also VPN Tunnel z.B.  Das dauert jedoch immer nur einige Sekunden, dann ist die Verbindung wieder da.
    Im Packet Filter Log kann ich keine Merkwürdigkeiten feststellen. Ein Reboot der Astaro hat für knapp einen Tag Besserung gebracht. Dann waren die Probleme wieder da. Im Moment bin ich zienlich ratlos, wo ich da ansetzen soll.

    ASG 220 -> V7.305
    externe Verbindung ist eine 2x 2MBit SDSL

    Jemand einen Rat ?

    Greetings Ralf