Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1600 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[ACC] No connection between ACC 3.0 and ASG 8.202 trought ASG

AntAdmin
Hellow !
I have the following situation:
ACC 3.0 ASG 8.202

ASG1 ---> (SSL VPN) ------>
---------------------------------------> ASG3 ----> ACC 
ASG2 ---> (IpSec VPN) ---->


ASG3 firewall rules : Any ->Any -> ACC


ASG1--->Ping--->ACC (YES)
ACC--->ping--->ASG1  (YES)


ASG3  firewall log :
12:16:42 Packet filter rule #1 TCP ASG2(internal ip) : 43171→ACC : 4433  [ACK] len=1420   ((GREEN))
12:16:42 Packet filter rule #1 TCP ASG1(ssl pool ip) : 54507→ACC : 4433 [SYN] len=60 ((GREEN))


ASG1 ssl log
2011:12:20-13:21:47 anthill device-agent[10745]: 1 is not connected. Trying to connect
2011:12:20-13:21:47 anthill device-agent[10745]: [1] Connecting to ACC socket (ip=192.168.134.9, port=4433).
2011:12:20-13:21:52 anthill device-agent[10745]: [1] ACC connection failure, retrying (ip=192.168.134.9, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
2011:12:20-13:21:58 anthill device-agent[10745]: [1] ACC connection failure, retrying (ip=192.168.134.9, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
2011:12:20-13:21:59 anthill device-agent[10745]: [1] Connection failed (ip=192.168.134.9, port=4433).
2011:12:20-13:21:59 anthill device-agent[10745]: Not reporting inotify: no role 


ACC -->GWManager--> Device Security --> Allowed Network = (ANY)

ASG2  (ACC message) === > Login for [1] successful
ASG1  (ACC message) === > [1] ACC SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'.  [:(]

What i do wrong ??
Please any body help me ! 
I dont know wahat to do (((


This thread was automatically locked due to age.
  • 0
    Hi AntAdmin,

    please login to your ACC per ssh and check whether you see warnings
    or errors in the /var/log/accd.log.

    Please also check the connections of your ACC: 
    netstat --inet -apn | grep 4433

    Can you the ip of ASG1 in the output?

    Regards, Hakan
  • 0 in reply to Hakan Yueksel
    I Have 25 ASG server connected via SSL VPN, but in ACCD.LOG i see :


    2011:12:20-11:28:37 astaro accd: 1218668 [0xf3201b70] ERROR server.user.UserCache null - login() Aua user authentication for '' failed
    2011:12:20-11:28:43 astaro accd: 1225010 [0xde7f0b70] WARN  server.user.UserSession null - UserSession::clear() IO error during recv [user]
    2011:12:20-11:28:43 astaro accd: 1225010 [0xde7f0b70] ERROR server.user.UserCache null - session handler is 0
    2011:12:20-11:28:43 astaro accd: 1225010 [0xe5fffb70] ERROR server.user.UserDispatcher null - dispatchNotify() the user is not yet logged in
    2011:12:20-14:26:27 astaro accd: 11889177 [0xeb1f1b70] ERROR server.device.AggregatedItem null - Transformation of inline reporting data failed (transform for table: aggregated_websec_categories, guid: 575B2F3E-1759-11E1-83C6-854C6410D4C6, date: 2011-12-20 failed: fhtagn::variant::safe_get: invalid type) [575B2F3E-1759-11E1-83C6-854C6410D4C6;aggregated.websec]


    netstat says that ASG3 and ASG2 connected :

    loginuser@astaro:/home/login > sudo netstat --inet -apn | grep 4433
    root's password:
    tcp        0      0 0.0.0.0:4433            0.0.0.0:*               LISTEN      12021/accd          
    tcp        0      0 192.168.134.9:4433      192.168.20.2:43171      ESTABLISHED 12021/accd          
    tcp        0      0 192.168.134.9:4433      192.168.253.250:56595   ESTABLISHED 12021/accd    



    Can you the ip of ASG1 in the output?

    I have gray IP in ASG1 , just on this i use SSL VPN....
  • 0 in reply to AntAdmin
    The accd.log portion you sent is unrelated to the connection problem.


    netstat says that ASG3 and ASG2 connected


    So ASG1 is not connected to the accd.

    Could you please check with tcpdump if you see incoming traffic
    from ASG1 on your ACC?

    Could you please also check with tcpdump on ASG3 whether incoming
    packets from ASG1 are forwarded to the ACC?

    Is application control enabled on ASG3? Please check the log files afc.log,
    packetfilter.log, ips.log on ASG3.

    Regards, Hakan
  • 0 in reply to Hakan Yueksel
    Thank you very match ! tcpdump was very helpful )

    I absolutely forget about routing on my cisco catalyst ! 

    I have change ip pool for ssl vpn , and all gates are immediately became visible on ACC !
Unfiltered HTML