This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Tunneled connection working but many Active Directory related problems

Hello,

I'm evaluating a RED. I set this up as a DHCP device and defined a separate network for it. The Astaro ASG RED hub is in our LAN and between it and the WAN is an other firewall. As the tunnel is enabled and used, the other firewall should have nothing to do with the following problems.
It seems, that everything is working: I can connect from the RED LAN to the internal LAN, open DFS shares, establish RDP sessions, can VoIP and sometimes, after a long delay can open Active Directory Users and Computers or similar tools or even Outlook.
And there is the problem: every AD related task (e.g. dcdiag from RED LAN) or program initially takes a very long time or it fails. 
Of course, I checked DNS: I can resolve the client in the RED LAN from the LAN side and vice versa, I can resolve every computer and DC in the LAN from the RED LAN side.
I even created a new AD subnet for the RED LAN and assigned it to the correct AD-site. 
The Connections is a well responding Kabel Deutschland 32/2 cable connection and should not be the cause for such delays and weird behaviours.

I dont know what I could do more? Has anyone an idea, what to check or configure?


This thread was automatically locked due to age.
  • Anything in the Packet Filter (Firewall) or Intrusion Prevention logs?  What about the User authentication daemon log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    thanks for your reply. No IPS actions were logged.
    The firewall log shows only allowed connections from the RED LAN to the internal LAN. When I ping or connect to the PC in the RED LAN from the LAN, this is also logged as allowed. I wonder if it is normal, that the firewall logging does not show the responses of one side to connections initiated from the other side?
    e.g.: access fileserver from RED>LAN is logged, the respose from the fileserver to the client LAN>RED is not logged. is it OK?
    Currently there is a REDNetwork>ANY>LANNetwork and a LANNetwork>ANY>REDNetwork rule which allows everything.
    Some multicast packets are blocked but have nothing to do with our problem.

    The UAD has logged nothing except the admin logons to the asg. Why do you think, that it could have something to do with the problem?

    Yesterday I also tested a bridged configuration as described in some official Astaro RED and LAN article. Worked like above: some things were fine and some fail or are initially very slow.

    btw: I'm using 8.202 on an ASG320.
  • I wonder if it is normal, that the firewall logging does not show the responses of one side to connections initiated from the other side?
    e.g.: access fileserver from RED>LAN is logged, the respose from the fileserver to the client LAN>RED is not logged. is it OK?


    This is correct behavior.  The packets only are logged if they're dropped or if logging was selected in the firewall rule.  Astaro is a "stateful" firewall, it tracks connections so it knows when a packet was "invited" by it - none of these response packets are logged.  In fact, you might want to use Wireshark to see what's happening on your network.

    My guess is that this is a problem outside of the RED, or that the RED is malfunctioning.  In any case, I think you should ask your reseller to open a support ticket with Astaro.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I think you should ask your reseller to open a support ticket with Astaro.


    I just did. I think this needs a deeper look.

    Thanks.
  • Have you heard anything back from Support about cause and resolution?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • have you check your MTU settings? Sometimes you need other settings. Check your route with mturoute.