[2.880] [BUG] Interesting Bug related to Change in IP of ACC Server

This may be more of a nextgen-agent thing (ASG-side), but I figure the ACC team must have some responsiblity for that module:

Using ACC 2.880 with a test install of ASG 8.202 (Soft-Release), but this appears to be a bug present in 8.103 (or earlier, I guess) and ACC 2.202:  We changed ISPs today, which led me to update the Public DNS host record for the ACC Server that all of our managed customer's ASGs (these are all running 8.103) contact (I had previously set the TTL for the record to 1 hour a few days ago in preparation for this change).

After 2 or 3 hours, I noted that none of the customer ASGs had "phoned in" and were still showing as down...  I bounced into the remote test system that is running 8.202, updated the STATIC host record for the Beta ACC instance public IP here, and found that the device would not automatically reconnect to the Beta ACC instance here, even though the network object in the Webadmin reflected the correct IP of the ACC... I had to manually restart the nextgen-agent to get it to reconnect.

Apparently the ACC agent is not smart enough to realize the ACC IP has changed and pretends nothing has happened.  I found that all of the production systems running ACC 2.202 and ASG 8.103 had the same issue; the network objects in the ASG systems all showed that they had queried DNS and found the new IP of the ACC server, but the ACC agents failed to recognize that the IP had changed... I just got through SSHing (could do it thru webadmin as well, by disabling the re-enabling ACC) into all these managed systems and manually ran /var/mdw/scripts/nextgen-agent restart to get them back online.

Is this a known bug, and when is there a fix planned?
  • Hi Bruce,
    I have logged a bug somewhere, I thought in the ACC beta forum, but can't find it.

    Anyway the answer you are looking for is in the thread below.

    Ian[:)]

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/61/t/56890
  • well, it's a rather a missing feature but we'll address it soon.

    Regards, Hakan
  • "Missing Feature"  -- I don't consider being able to change a public IP an ACC is sitting on without manual intervention on all connected ASG units (as is done by MSPs, etc.) a feature.  Let's face it, even with Static IPs (which we do have, of course), ISP changes will result in any / all of us having to deal with this issue at some point... save for those among us who are fortunate to have their own assigned IANA IP range.

    Please reconsider the "status" of this.  I know it's "not a big deal" to users / customers with only a few units, but someone like me, who is managing 30 or so at a time on one ACC instance, will spend a good deal of time manually correcting for this issue.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • I don't consider being able to change a public IP an ACC is sitting on without manual intervention on all connected ASG units (as is done by MSPs, etc.) a feature..


    What is it then if it's not a feature?

    I fully agree that it's self-evident to having it and that it's more than 
    annoying to not having it, anyway it's still a feature which we just forgot
    to implement. And that's why we'll catch up for it as soon as possible.

    I'm aware of that a "missing feature" is often equivalent to a bug. I just
    wanted to emphasize that it's nothing we have implemented and now it's
    broken.

    Regards, Hakan