Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

[RISOLTO] Problema VirtualServer e Netbalancer con + WAN
Vai a 1, 2  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG
Precedente :: Successivo  
Autore Messaggio
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Ven Dic 07, 2012 11:30 am    Oggetto: [RISOLTO] Problema VirtualServer e Netbalancer con + WAN Rispondi citando

SITUAZIONE:
==============================================
NETWORK:
--------------------------
ETH00: LAN
ETH01: WAN Hyperlan AEMCOM 8 IP pubblici
ETH02: WAN ADSL TELECOM 8 IP pubblici
ETH03: DMZ non utilizzata

VIRTUAL SERVER:
--------------------------
ETH01 / XXX.XXX.XXX.195 TCP 110 192.168.1.203:110
ETH01 / XXX.XXX.XXX.197 TCP 21 192.168.1.205:21
ETH01 / XXX.XXX.XXX.196 TCP 80 192.168.1.203:8120
ETH01 / XXX.XXX.XXX.197 TCP 80 192.168.1.203:8461
ETH01 / XXX.XXX.XXX.198 TCP 2000 192.168.1.192:2000

NETBALANCER:
--------------------------
DEFAULT GATEWAY XXX.XXX.XXX.81 1 Disabled 0
AEMCOM DEFAULT GATAWAY XXX.XXX.XXX.193 1 Active 0
TELECOM DEFAULT GATAWAY XXX.XXX.XXX.81 2 Active 0

BALANCING RULES:
--------------------------
1 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:25 /* SMTP */ MARK set 0x65 AEMCOM DEFAULT GATAWAY (XXX.XXX.XXX.193) yes
2 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:443 /* HTTPS */ MARK set 0x6f TELECOM DEFAULT GATAWAY (XXX.XXX.XXX.81) yes
3 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:2000 /* ANTIFURTO_2010 */ MARK set 0x65 AEMCOM DEFAULT GATAWAY (XXX.XXX.XXX.193) yes
4 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 192.168.1.121-192.168.1.124 /* NEXT */ MARK set 0x6f TELECOM DEFAULT GATAWAY (XXX.XXX.XXX.81) yes
5 * * MARK all opt -- in * out * 192.168.1.29 -> 0.0.0.0/0 /* PC-SAM019 */ MARK set 0x6f TELECOM DEFAULT GATAWAY (XXX.XXX.XXX.81) yes
6 * * MARK all opt -- in * out * 192.168.1.103 -> 0.0.0.0/0 /* PC-EGT003 */ MARK set 0x6f TELECOM DEFAULT GATAWAY (XXX.XXX.XXX.81) yes
7 * * MARK all opt -- in * out * 192.168.1.104 -> 0.0.0.0/0 /* PC-EGT004 */ MARK set 0x6f TELECOM DEFAULT GATAWAY (XXX.XXX.XXX.81) yes
8 * * MARK all opt -- in * out * 192.168.1.203 -> 0.0.0.0/0 /* KERIO_CONNECT_OUT */ MARK set 0x65 AEMCOM DEFAULT GATAWAY (XXX.XXX.XXX.193) yes
9 * * MARK all opt -- in * out * 192.168.1.204 -> 0.0.0.0/0 /* PC-server04 */ MARK set 0x6f TELECOM DEFAULT GATAWAY (XXX.XXX.XXX.81) yes
10 * * MARK all opt -- in * out * 192.168.1.205 -> 0.0.0.0/0 /* PC-server05 */ MARK set 0x65 AEMCOM DEFAULT GATAWAY (XXX.XXX.XXX.193) yes

FIREWALL:
--------------------------
Ovviamente ho aperto le relative porte

Nel passaggio dalla 1.0beta16 alla 2.0RC1 e poi alla 2.0RC2 non ho cambiato nessuna impostazione e ciò nonostante ho problemi nel raggiungere i miei virtual server dall'esterno.

Leggendo nel forum ho trovato che fulvio dice che il netbalancer nella 2.0RC1 ha dei problemi... pensavo nella RC2 ma il problema a me sembra rimasto.

Ho notato che anche avendo impostato le regole del netbalancer per far uscire determinati IP e/o determinate porte su una WAN specifica questa tenta di uscire sull'altra ignorando la regola...

Disabilitando e riabilitando il netbalancer vanno 110, 8120, 8461 e non vanno 21, 2000.
Disabilitando e riabilitando ancora il netbalancer vanno 21, 2000 e non vanno 110, 8120, 8461.
E così via...

P.S.: Leggere i Log dalla 2.0 è diventato molto più contorto, nel senso che
essendoci molte più informazioni le righe vanno a capo ed il tutto risulta molto più complicato da leggere. E' stato aggiunto penso il tempo tra parentesi [] ed il MAC che per il mio utilizzo risultano inutili.
[ 3278.856646] NetBalancer/002IN=ETH00 OUT= MAC=00:19:66:06:7b:f8:a0:88:b4:2e:4a:bc:08:00

Per il momento torno alla 1.0beta16.

Aggiornamento: Tornato alla 1.0beta16 i server virtuali sono tornati raggiungibili senza aver cambiato nessuna impostazione.


L'ultima modifica di m.panzini il Gio Ott 30, 2014 7:45 am, modificato 4 volte
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Lun Gen 07, 2013 7:55 pm    Oggetto: Rispondi citando

Buogiorno anche io confermo l'instabilità della relase 2.0 e successiva per i virtual server e blocchi continui ....finti fault sul net balancer ecc .
inoltre ho notato spesso problemi nel raggiungimento dell'interfaccia web di gestione .
Anche io come il sig Panzini ho risolto con un downgrade alla beta 16.
saluti Vito
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Mar Gen 08, 2013 12:38 pm    Oggetto: Rispondi citando

Io ho provato questa release su una rete composta da un centralino VoIP con 5 interni, un server M.Windows 2003 con 3 porte girate in uscita, un server video sorveglianza con 2 porte girate in esterno, e 5 client interni.
Non ho riscontrato problemi di alcun tipo. Se potreste farmi la cortesia di girarmi qualche log, vorrei fare delle prove anche io...

Grazie
Top
Profilo Invia messaggio privato Invia e-mail
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Ven Gen 25, 2013 11:12 am    Oggetto: Rispondi citando

Ho rimesso rc02 faccio dei nuovi test con una modifica della configurazione sul server di virtualizzazione .Testo per circa una settimana.
Saluti Vito
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Lun Gen 28, 2013 2:26 pm    Oggetto: Rispondi citando

qualche novità ?
Io con le mie reti non ho ricontrato problemi ....
Top
Profilo Invia messaggio privato Invia e-mail
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mar Feb 12, 2013 9:46 am    Oggetto: Rispondi citando

Ho rimesso la beta 16 e nn ho piu problemi sul sistema virtuale .vhd , zero lo uso come GATEWAY .
Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mer Mag 08, 2013 7:30 pm    Oggetto: Rispondi citando

In virtuale con la beta rc02 non funziona neanche il qos.
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mer Mag 08, 2013 7:33 pm    Oggetto: Rispondi citando

Ciao Francesco Steno ma il tuo server zero è virtualizzato oppure installato su macchina fisica ? noi stiamo discutendo con un server zero installato su v.serv2005 fai delle prove e poi dicci la tua .
Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mer Mag 29, 2013 7:33 am    Oggetto: Rispondi citando

Caro m.panzini
ho risolto la maggiorparte dei bug su virtual server
migrando la macchina da virtuale a fisica.
garantisco che la rc02 funziona egregiamente su hardware di nuova generazione , il problema log interrotto blocco schermata accesso e altro
non avvengono più.
faro altri test sul resto dei problemi evidenziati in virtuale con vs2005.
Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Gio Giu 06, 2013 10:32 am    Oggetto: Rispondi citando

Su server fisico I bug su layer 7 qos persiste ....
il balancer funziona molto meglio. Non ho testato ancora il virtual server.
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Ven Nov 15, 2013 6:27 pm    Oggetto: Rispondi citando

Su server fisico IL vIrtual Server
funziona bene testato rc03.
Saluti Vito
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Mar Feb 04, 2014 11:07 am    Oggetto: Rispondi citando

Se installate una nuova relase di zero 3.0 e all'improvviso non vi funziona il virtual server risolverlo è semplice :
Disabilitate e riabilitate il firewall ,
e per magia il virtual server riprende a funzionare.
Fatemi sapere se risolvete cosi
Saluti Vito
Top
Profilo Invia messaggio privato
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Lun Mar 10, 2014 10:09 am    Oggetto: Pensavo di aver risolto!!! Rispondi citando

Ho installato la 3.0 su HD - Feature 30300, 30200, 30100 e pensavo di aver risolto impostando la stessa "Weight" per tutti i gataway utilizzati e per un po' il netbalancer ha funzionato a dovere!!!

Purtroppo mi sono illuso... dopo circa qualche minuto senza alcun mio intervento le connessioni hanno ricominciato ad uscire sulle varie WAN ignorando le regole del netbalancer...

Il mio problema resta aperto... devo provare a rivedere le impostazioni...

LE REGOLE NETBALANCER:
12 * * MARK all opt -- in * out * 192.168.1.203 -> 0.0.0.0/0 /* PC-SERVER03 */ MARK set 0x65 ETH01-GATAWAY (XXX.XXX.XXX.XXX) no

I LOG KERNEL:
13:54:05 FORWARD/020IN=ETH01 OUT=ETH00 SRC=XXX.XXX.XXX.170 DST=192.168.1.203 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=1550 DF PROTO=TCP SPT=49207 DPT=8120 WINDOW=8192 RES=0x00 SYN URGP=0
13:54:05 FORWARD/020IN=ETH01 OUT=ETH00 SRC=XXX.XXX.XXX.170 DST=192.168.1.203 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=1551 DF PROTO=TCP SPT=49206 DPT=8120 WINDOW=8192 RES=0x00 SYN URGP=0
13:54:17 FORWARD/021IN=ETH00 OUT=ETH03 SRC=192.168.1.203 DST=XXX.XXX.XXX.170 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=19427 DF PROTO=TCP SPT=8120 DPT=49207 WINDOW=0 RES=0x00 RST URGP=0
13:54:17 FORWARD/021IN=ETH00 OUT=ETH03 SRC=192.168.1.203 DST=XXX.XXX.XXX.170 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=19428 DF PROTO=TCP SPT=8120 DPT=49206 WINDOW=0 RES=0x00 RST URGP=0

Perchè continua ad uscire sulla ETH03 e non sulla ETH01 come impostato dalla regola del NETBALANCER?
Non so più cosa controllare!!! Chiedo aiuto?

Aggiornamento del 14/03/2014...
Come potete notare dai log non assegna il MARK e quindi la regola non viene applicata.
Ho provato anche a modificare le regole del netbalancer impostando solo la porta e non specificando la sorgente ma il problema rimane.
Ho notato che per alcune regole del netbalancer nei log viene applicato il MARK mentre per altre no.

IMPOSTAZIONI VIRTUAL SERVER:
Interface / IP Address Protocol Local Port Real Servers
ETH01 / XXX.XXX.XXX.195 TCP 110 XXX.XXX.XXX.203:110
ETH01 / XXX.XXX.XXX.195 TCP 465 XXX.XXX.XXX.203:465
ETH01 / XXX.XXX.XXX.195 TCP 993 XXX.XXX.XXX.203:993
ETH01 / XXX.XXX.XXX.196 TCP 80 XXX.XXX.XXX.203:8120
ETH01 / XXX.XXX.XXX.197 TCP 80 XXX.XXX.XXX.203:8461
ETH01 / XXX.XXX.XXX.197 TCP 21 XXX.XXX.XXX.205:21
ETH01 / XXX.XXX.XXX.198 TCP 2000 XXX.XXX.XXX.192:2000

REGOLE NETBALANCER:
Seq Input Output Description Gateway Log Active
1 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:25 /* SMTP */ MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
2 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:443 /* HTTPS */ MARK set 0x69 TELECOM ADSL GW (XXX.XXX.XXX.81) yes
3 * * MARK tcp opt -- in * out * XXX.XXX.XXX.203 -> 0.0.0.0/0 tcp spt:465 /* SMTPS */ MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
4 * * MARK tcp opt -- in * out * XXX.XXX.XXX.203 -> 0.0.0.0/0 tcp spt:8120 MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
5 * * MARK tcp opt -- in * out * XXX.XXX.XXX.203 -> 0.0.0.0/0 tcp spt:8461 MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
6 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:993 /* IMAPS */ MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
7 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:2000 /* ITALSINERGIE */ MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
8 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range XXX.XXX.XXX.121-XXX.XXX.XXX.130 /* NEXT */ MARK set 0x69 TELECOM ADSL GW XXX.XXX.XXX.81) yes
9 * * MARK all opt -- in * out * XXX.XXX.XXX.29 -> 0.0.0.0/0 /* PC-019 */ MARK set 0x69 TELECOM ADSL GW (XXX.XXX.XXX.81) yes
10 * * MARK all opt -- in * out * XXX.XXX.XXX.40 -> 0.0.0.0/0 /* PC-030 */ MARK set 0x69 TELECOM ADSL GW (XXX.XXX.XXX.81) yes
11 * * MARK all opt -- in * out * XXX.XXX.XXX.44 -> 0.0.0.0/0 /* PC-034 */ MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
12 * * MARK all opt -- in * out * XXX.XXX.XXX.103 -> 0.0.0.0/0 /* PC-003 */ MARK set 0x69 TELECOM ADSL GW (XXX.XXX.XXX.81) yes
13 * * MARK all opt -- in * out * XXX.XXX.XXX.104 -> 0.0.0.0/0 /* PC-004 */ MARK set 0x69 TELECOM ADSL GW (XXX.XXX.XXX.81) yes
14 * * MARK all opt -- in * out * XXX.XXX.XXX.203 -> 0.0.0.0/0 /* SRV03 */ MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes
15 * * MARK all opt -- in * out * XXX.XXX.XXX.204 -> 0.0.0.0/0 /* SRV04 */ MARK set 0x69 TELECOM ADSL GW (XXX.XXX.XXX.81) yes
16 * * MARK all opt -- in * out * XXX.XXX.XXX.205 -> 0.0.0.0/0 /* SRV05 */ MARK set 0x68 AEMCOM HYPERLAN GW (XXX.XXX.XXX.193) yes

LOG:
Regola 1 -> MARK OK (TCP 25)
Regola 2 -> MARK OK (TCP 443)
Regola 3 -> NON POSSO VERIFICARE (TCP 465)
Regola 4 -> MARK NO --> esce su altre WAN (TCP 8120)
Regola 5 -> MARK NO --> esce su altre WAN (TCP 8461)
Regola 6 -> NON POSSO VERIFICARE (TCP 993)
Regola 7 -> MARK NO --> esce su altre WAN (TCP 2000)
Regola 8 -> NON POSSO VERIFICARE (IP NEXT)
Regola 9 -> MARK OK
Regola 10 -> MARK OK
Regola 11 -> MARK OK
Regola 12 -> MARK OK
Regola 13 -> MARK OK
Regola 14 -> TCP 110, 25 MARK OK; TCP 8120, 8461 MARK NO --> esce su altre WAN
Regola 15 -> MARK OK
Regola 16 -> MARK OK; TCP 21, ... MARK NO --> esce su altre WAN

Sembra che il netbalancer non marchi le connessioni con le porte impostate sul virtual server...

Posso aver sbagliato qualche regola nel netbalancer, nel firewall o nel virtual server?
Se servono altre info chiedete pure che ve le scrivo pur di risolvere questo problema...

Con la 1.0beta16 in live non ho mai avuto problemi...
Questi problemi sono nati con la 2.0 e la 3.0.
Con la 3.0 ho ricreato il profilo da zero ed installato su HD.
Top
Profilo Invia messaggio privato
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Sab Mar 15, 2014 9:50 am    Oggetto: Rispondi citando

Chain PREROUTING (policy ACCEPT 16823 packets, 2013K bytes)
pkts bytes target prot opt in out source destination
230K 24M CapPort all -- * * 0.0.0.0/0 0.0.0.0/0
776 46508 DNAT tcp -- ETH01 * 0.0.0.0/0 XXX.XXX.XXX.195 tcp dpt:110 to:XXX.XXX.XXX.203:110
120 7200 DNAT tcp -- ETH01 * 0.0.0.0/0 XXX.XXX.XXX.195 tcp dpt:465 to:XXX.XXX.XXX.203:465
44 2620 DNAT tcp -- ETH01 * 0.0.0.0/0 XXX.XXX.XXX.195 tcp dpt:993 to:XXX.XXX.XXX.203:993
227 11704 DNAT tcp -- ETH01 * 0.0.0.0/0 XXX.XXX.XXX.197 tcp dpt:80 to:XXX.XXX.XXX.203:8461
173 9132 DNAT tcp -- ETH01 * 0.0.0.0/0 XXX.XXX.XXX.197 tcp dpt:21 to:XXX.XXX.XXX.205:21
4 204 DNAT tcp -- ETH01 * 0.0.0.0/0 XXX.XXX.XXX.198 tcp dpt:2000 to:XXX.XXX.XXX.192:2000
2296 121K Proxy tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
368 19236 DNAT tcp -- ETH01 * 0.0.0.0/0 XXX.XXX.XXX.196 tcp dpt:80 to:XXX.XXX.XXX.203:8120

Chain POSTROUTING (policy ACCEPT 21781 packets, 1541K bytes)
pkts bytes target prot opt in out source destination
929K 70M SNATVS all -- * * 0.0.0.0/0 0.0.0.0/0
223K 16M MASQUERADE all -- * ETH01 0.0.0.0/0 0.0.0.0/0
230K 18M MASQUERADE all -- * ETH02 0.0.0.0/0 0.0.0.0/0
180K 14M MASQUERADE all -- * ETH03 0.0.0.0/0 0.0.0.0/0

Chain SNATVS (1 references)
pkts bytes target prot opt in out source destination

Potrebbe essere un problema di proxy che utilizza la porta TCP 80 (vedi prerouting)?
Il problema mi si presenta anche per la porta 21 però?
Top
Profilo Invia messaggio privato
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Gio Mar 20, 2014 6:29 pm    Oggetto: Rispondi citando

Per aiutarmi a risolvere la situazione posto qui le mie impostazioni aggiornate al 20-03-2014:

Versione Zeroshell:
#########################################
Zeroshell 3.0.0 installata su HD formattato con ext4
Processore: Intel P4 3Ghz
Ram: 1GB
HD: 80 GB

Profilo ricreato da nuovo basato sul precedente della versione 1.0.beta16 senza mai nessun problema.

Paccketti installati:
#########################################
30100, 30200, 30300

Configurazione network:
#########################################
ETH00 LAN
Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ (rev 10)
192.168.1.249 255.255.255.0

ETH01 AEMCOM HYPERLAN 2/2MB
3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 30)
xxx.xxx.xxx.194 255.255.255.248
xxx.xxx.xxx.195 255.255.255.248
xxx.xxx.xxx.196 255.255.255.248
xxx.xxx.xxx.197 255.255.255.248
xxx.xxx.xxx.198 255.255.255.248

ETH02 TELECOM ADSL 7MB/512KB
3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 30)
xxx.xxx.xxx.82 255.255.255.248
xxx.xxx.xxx.83 255.255.255.248
xxx.xxx.xxx.84 255.255.255.248
xxx.xxx.xxx.85 255.255.255.248
xxx.xxx.xxx.86 255.255.255.248

ETH03 TELECOM HDSL 2/2MB
3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 30)
xxx.xxx.xxx.171 255.255.255.248
xxx.xxx.xxx.172 255.255.255.248
xxx.xxx.xxx.173 255.255.255.248
xxx.xxx.xxx.174 255.255.255.248

VPN99 DOWN

NAT Enabled Interfaces:
#########################################
ETH01, ETH02, ETH03

Virtual Servers
#########################################
ETH01 / xxx.xxx.xxx.195 TCP 110 192.168.1.203:110
ETH01 / xxx.xxx.xxx.195 TCP 465 192.168.1.203:465
ETH01 / xxx.xxx.xxx.195 TCP 993 192.168.1.203:993
ETH01 / xxx.xxx.xxx.197 TCP 80 192.168.1.203:8461
ETH01 / xxx.xxx.xxx.197 TCP 21 192.168.1.205:21
ETH01 / xxx.xxx.xxx.198 TCP 2000 192.168.1.192:2000
ETH01 / xxx.xxx.xxx.196 TCP 80 192.168.1.203:8120

Altri servizi
#########################################
DNS DOWN
DHCP DOWN
VPN DOWN
QOS DISABLED

NETBALANCER
#########################################
Mode: Load balancing and Failover
DEFAULT GATAWAY xxx.xxx.xxx.81 1 Disabled
AEMCOM GATAWAY xxx.xxx.xxx.193 1 Active
TELECOM ADSL GATAWAY xxx.xxx.xxx.81 3 Active
TELECOM HDSL GATAWAY xxx.xxx.xxx.169 2 Active

ICMP: Enabled
Number DOWN: 3
Number UP: 5
Reply: 4
Pause: 5
Restart: Yes

Test 1 8.8.8.8 Enabled
Test 2 81.88.224.129 Enabled
Test 3 98.139.183.24 Enabled

BALANCING RULES
#########################################
1 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:25 /* SMTP */ MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no
2 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:443 /* HTTPS */ MARK set 0x69 TELECOM ADSL GW (xxx.xxx.xxx.81) no
3 * * MARK tcp opt -- in * out * 192.168.1.203 -> 0.0.0.0/0 tcp spt:465 /* SMTPS */ MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no
4 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:8120 MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no
5 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:8461 MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no
6 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:993 /* IMAPS */ MARK set 0x68 AEMCOM HYPERLAN GW xxx.xxx.xxx.193) no
7 * * MARK tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:2000 /* ANTIFURTO_2010 */ MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no
8 * * MARK all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 192.168.1.121-192.168.1.130 /* NEXT */ MARK set 0x69 TELECOM ADSL GW (xxx.xxx.xxx.81) no
9 * * MARK all opt -- in * out * 192.168.1.29 -> 0.0.0.0/0 /* PC-019 */ MARK set 0x69 TELECOM ADSL GW (xxx.xxx.xxx.81) no
10 * * MARK all opt -- in * out * 192.168.1.40 -> 0.0.0.0/0 /* PC-030 */ MARK set 0x69 TELECOM ADSL GW (xxx.xxx.xxx.81) no
11 * * MARK all opt -- in * out * 192.168.1.44 -> 0.0.0.0/0 /* PC-034 */ MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no
12 * * MARK all opt -- in * out * 192.168.1.103 -> 0.0.0.0/0 /* PC-003 */ MARK set 0x69 TELECOM ADSL GW (xxx.xxx.xxx.81) no
13 * * MARK all opt -- in * out * 192.168.1.104 -> 0.0.0.0/0 /* PC-004 */ MARK set 0x69 TELECOM ADSL GW (xxx.xxx.xxx.81) no
14 * * MARK all opt -- in * out * 192.168.1.203 -> 0.0.0.0/0 /* PC-SRV03 */ MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no
15 * * MARK all opt -- in * out * 192.168.1.204 -> 0.0.0.0/0 /* PC-SRV04 */ MARK set 0x69 TELECOM ADSL GW (xxx.xxx.xxx.81) no
16 * * MARK all opt -- in * out * 192.168.1.205 -> 0.0.0.0/0 /* PC-SRV05 */ MARK set 0x68 AEMCOM HYPERLAN GW (xxx.xxx.xxx.193) no

CAPTIVE PORTAL
#########################################
UP su ETH00
DoS Protection: Medium
Client Identity: IP and MAC
Connessioni simultanee: Permesse
Validità: 5 minuti
Diversi client autorizzati senza autenticazione
Nessun problema o rallentamento rilevato

FIREWALL
#########################################
Chain INPUT ACCEPT nessuna regola impostata
Chain OUTPUT ACCEPT nessun regola impostata
Chain FORWARD DROP regole:
1 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 /* NOTA:_SE_PC_BLOCCATO_DA_FIREWALL_ESCLUDERE_DAL_PROXY */ no
2 * * DROP tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 MAC XXXX state NEW,RELATED,ESTABLISHED tcp dpt:80 /* BLOCCO_PC-017 */ yes
3 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:21 /* FTP_CONTROL */ yes
4 ETH01 ETH00 ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.1.205 tcp dpts:2101:2200 /* FTP_PASSIVE_RANGE_IN */ yes
5 ETH00 ETH01 ACCEPT tcp opt -- in ETH00 out ETH01 192.168.1.205 -> 0.0.0.0/0 tcp spts:2101:2200 /* FTP_PASSIVE_RANGE_OUT */ yes
6 ETH00 * ACCEPT tcp opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:25 /* SMTP_OUT */ yes
7 ETH00 * ACCEPT udp opt -- in ETH00 out * 192.168.1.202 -> 0.0.0.0/0 udp dpt:53 /* DNS_OUT */ yes
8 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:80 /* HTTP */ yes
9 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:8080 /* HTTP_PROXY */ yes
10 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:81 /* AGENZIA_DOGANE_IN */ yes
11 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:110 /* POP3 */ yes
12 ETH00 * ACCEPT udp opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:123 /* NTP_OUT */ yes
13 * * ACCEPT tcp opt -- in * out * 192.168.1.221 -> 0.0.0.0/0 tcp spt:139 /* NetBios_NAS01 */ yes
14 ETH00 * ACCEPT tcp opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:389 /* LDAP_INFOCAMERE */ yes
15 * ETH00 ACCEPT tcp opt -- in * out ETH00 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:443 /* HTTPS_IN */ yes
16 ETH00 * ACCEPT tcp opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:443 /* HTTPS_OUT */ yes
17 ETH01 * ACCEPT tcp opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.1.203 tcp dpt:465 /* SMTPS_IN */ yes
18 * ETH01 ACCEPT tcp opt -- in * out ETH01 192.168.1.203 -> 0.0.0.0/0 tcp spt:465 /* SMTPS_OUT */ yes
19 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:143 /* IMAP */ yes
20 ETH01 * ACCEPT tcp opt -- in ETH01 out * 0.0.0.0/0 -> 192.168.1.203 tcp dpt:993 /* IMAPS_IN */ yes
21 * ETH01 ACCEPT tcp opt -- in * out ETH01 192.168.1.203 -> 0.0.0.0/0 tcp spt:993 /* IMAPS_OUT */ yes
22 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 192.168.1.203 tcp dpt:8120 /* KERIO_CONNECT_IN */ yes
23 * * ACCEPT tcp opt -- in * out * 192.168.1.203 -> 0.0.0.0/0 tcp spt:8120 /* KERIO_CONNECT_OUT */ yes
24 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:8461 /* MAILSTORE_IN */ yes
25 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp spt:8461 /* MAILSTORE_OUT */ yes
26 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 192.168.1.192 tcp dpt:2000 /* VIDEO_IN */ yes
27 * * ACCEPT tcp opt -- in * out * 192.168.1.192 -> 0.0.0.0/0 tcp spt:2000 /* VIDEO_OUT */ yes
28 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:8554 /* VIDEO */ yes
29 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> XXX.XXX.XXX.A tcp dpt:17000 /* TGS_1 */ yes
30 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> XXX.XXX.XXX.B tcp dpt:17000 /* TGS_2 */ yes
31 * * ACCEPT tcp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 tcp dpt:1701 /* OPENVPN_1 */ yes
32 * * ACCEPT udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:9000 /* OPENVPN_2 */ yes
33 * * ACCEPT udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:9002 /* OPENVPN_3 */ yes
34 * * ACCEPT udp opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 udp dpt:9008 /* OPENVPN_4 */ yes
35 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 10.0.0.1-10.0.0.254 destination IP range 192.168.1.101-192.168.1.104 /* LAN_EGT_IN */ yes
36 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 192.168.1.101-192.168.1.104 destination IP range 10.0.0.1-10.0.0.254 /* LAN_EGT_OUT */ yes
37 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 11.0.8.1-11.0.8.254 destination IP range 10.0.0.1-10.0.0.254 /* LAN_EGT */ yes
38 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 destination IP range 192.168.1.121-192.168.1.125 /* NEXT_IN */ yes
39 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 source IP range 192.168.1.121-192.168.1.125 /* NEXT_OUT */ yes
40 * * ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 state RELATED,ESTABLISHED /* ACCETTA_TUTTE_CONNESSIONI_GIA_STABILITE */ yes
41 * * DROP all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 /* BLOCCA_TUTTE_LE_CONNESSIONI_NON_SPECIFICATE_PRIMA */ yes

HTTP PROXY
#########################################
ETH00 Capture
src:192.168.1.202 Not Capture
src:192.168.1.203 Not Capture
src:192.168.1.204 Not Capture
src:192.168.1.205 Not Capture
src:192.168.1.44 Not Capture
src:192.168.1.35 Not Capture
src:192.168.1.59 Not Capture
src:192.168.1.53 Not Capture
src:192.168.1.13 Not Capture

Access logging: Any access
Virus scanning: Enabled
Check Images: Disabled
AutoUpdate: Enabled

Blacklist: 41 item
Whitelist: 3 item

#########################################
PROBLEMA
#########################################
Guardando i log del kernel sembra che alcune regole del netbalancer non vengono applicate dato che manca il MARK.
Le regole che sembra non vengano marcate sembrano quelle impostate nel Virtual Server.
Il problema è che i server interni alla mia lan (verificato che funzionano) non sono raggiungibili dall'esterno, se non casualmente, quando la connessione esce da dove è entrata. Di norma esce su una WAN diversa da dove è entrata.
Ho già provato diverse soluzioni già postate in precedenza tipo:
- Riavviare/Disabilitare firewall, netbalancer, proxy, ...
- Modificare regole netbalancer

Chiedo aiuto a qualche anima pia!!!


L'ultima modifica di m.panzini il Mer Apr 16, 2014 2:47 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Mar Apr 15, 2014 3:51 pm    Oggetto: Rispondi citando

Stavo solo pensando...
Potrei risolvere mettendo in bond le 3 WAN?
Dopodiché disabilito il netbalancer?
Ma poi come regolo le connessioni dei miei virtualserver e come imposto i gataway?

NON funzionerà mai perchè il BONDING (detto anche LAG o Link Aggregation), è utile per aumentare la banda tra 2 switch aggregando porte... non fa al caso mio.
Top
Profilo Invia messaggio privato
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Lun Mag 05, 2014 9:31 am    Oggetto: Rispondi citando

Due settimane senza risposte... un po' scoraggiante...
Posso sapere almeno se sono l'unico con questo problema o se altri lo hanno rilevato in una situazione simile alla mia?

X Fulvio: Non si potrebbe creare una sorta di bacheca con l'evoluzione dei bug scoperti e loro percentuale di risoluzione in modo che qualsiasi utente ne sia a conoscenza ed eviti di riempire il forum di richieste di aiuto?
Top
Profilo Invia messaggio privato
spaccabits



Registrato: 10/12/12 00:40
Messaggi: 8

MessaggioInviato: Sab Mag 10, 2014 11:21 am    Oggetto: Rispondi citando

m.panzini ha scritto:
Due settimane senza risposte... un po' scoraggiante...
Posso sapere almeno se sono l'unico con questo problema o se altri lo hanno rilevato in una situazione simile alla mia?


.... boh ... ho l'impressione che Fulvio non abbia molto tempo per stare dietro al suo prodotto, ho segnalato un problema, ma nessuno mi ha dato cenno di risposta, stamani ho trovato ZS piantata ... noto diversi problemini (probabilmente dati da una configurazione non ottima), tipo che il profilo in meno di un mese s'è mangiato 1G dell'HD (logs? ma come liberarli? Logs che oltretutto non si riesce a vedere per intero) ... insomma, almeno nella versione 3 c'è più di una cosa che non va ... io non ho tantissimo tempo né così tante conoscenze di GNU/Linux per mettere mano ai sorgenti, ma anche avendo sia tempo che conoscenze si può fare ben poco, i sorgenti non sono completi o io non sono stato capace di trovarli ...
Top
Profilo Invia messaggio privato
m.panzini



Registrato: 12/07/11 08:10
Messaggi: 47

MessaggioInviato: Ven Mag 30, 2014 9:57 am    Oggetto: Rispondi citando

Problema non ancora risolto neanche ricreando completamente il profilo da 0!!!
Lo sconforto è totale!!!
Sto valutando di passare a pfSense o Kerio Control...
Vi farò sapere...
Top
Profilo Invia messaggio privato
VITO



Registrato: 03/04/07 23:29
Messaggi: 352

MessaggioInviato: Ven Giu 13, 2014 7:33 pm    Oggetto: Rispondi citando

Cari amici del forum ,
vi sconsiglio di continuare a tenere zero su virtual server passate a
macchine fisiche ....vedrete che cm per magia i vostri problemi si risolveranno. Fidatevi seguo zeroshell dal 2004 e so cosa dico , specie perchè ho fatto miriadi di prove ;
O per lo meno cambiate virtualizzatore. puntate su vmware ...molto piu affidabile. Cmq detto ciò ribadisco il concetto di usare macchine dedicate completamente a zero in produzione.(ho usato virtual server per anni e i miei problemi sn finiti quando ho smesso di virtualizzare su microsoft.)
Cordiali saluti VITO
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it