This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't connect to remote ASG WebAdmin

I have a single remote ASG 7.5 that is communicating with my ACC behind my local ASG 7.5.  I can see all the details of the remote ASG with no problem.
 
The problem is that I CANNOT connect to the remote ASG through WebAdmin.  I get an error that it is online but is not communicating back.
 
The doc for the Gateway Manager does not specifiy whether or not a Packet Filter rule must be setup on the remote ASG to allow this.
 
Does a Packet Filter Rule or DNAT need to be configured on the remote ASG?


This thread was automatically locked due to age.
Parents
  • Hi,

    was the issue pertaining to the SSO feature? I thought the trouble was reaching the remote WebAdmin at all. If the WebAdmin is not reachable manually, then it cannot be reached via the SSO feature either.

    Anyway, I agree with Angelo that we need to relabel some stuff in the SSO area.

    To fully utilize DNS names you could switch the SSO mode to hostname - this way the WebAdmin URL will contain the (dynamic) DNS name of your remote ASG and your browser should be able to resolve it accordingly.

    Cheers,
    Henning
  • Megaposer - 
    I have added my Public IP to the remote ASG WebAdmin allowed networks as a DNS Host (DNS is handled by ZoneEdit).

    AngeloC -
    I will try your suggestion and see what happens.
  • UPDATE
    My Local ASG SSO mode in ACC was "Public IP" and I could connect to WebAdmin through my public IP.  Changed it to "Agent IP" and my connection was then through my internal ASG IP....  no problems!

    The remote ASG SSO Mode was also "Public IP".... no webadmin connection
    Changed it to "Agent IP"... still no webadmin connection

    Not sure that it matters, but the Remote ASG's Public IP and Agent IP are both the same (The public IP)

    Oh yeah....
    My ACC is version 2.05 running in VMware Server
    Local ASG is 7.501
    Remote ASG is 7.5

    I also keep getting this email notification from the remote ASG every few hours:
    "ACC device agent not running - restarted"
  • Hi,

    the last piece of information is really disturbing - we need to find the reason why your agent gets restarted. Could you please send the /var/log/device-agent.log to acc-support@astaro.com for analysis?

    Apart from that, when you click the "WebAdmin SSO" button to your remote ASG, a new window should open where the deducted URL should appear ...


    •  When you try this URL manually, can you login to the remote WebAdmin?
    •  Can you at least reach the remote WebAdmin?
    •  Could you please post the URL here (obfuscated if needed)?

      Thanks and regards,
    Henning
Reply
  • Hi,

    the last piece of information is really disturbing - we need to find the reason why your agent gets restarted. Could you please send the /var/log/device-agent.log to acc-support@astaro.com for analysis?

    Apart from that, when you click the "WebAdmin SSO" button to your remote ASG, a new window should open where the deducted URL should appear ...


    •  When you try this URL manually, can you login to the remote WebAdmin?
    •  Can you at least reach the remote WebAdmin?
    •  Could you please post the URL here (obfuscated if needed)?

      Thanks and regards,
    Henning
Children
  • I'm NOT a Linux guru by any means!
    How do I copy the log file off the ASG?
    I know a few Linux commands but not many.

    Yes, when I click the WebAdmin button, a new window opens but the connection times out.
    I cannot manually navigate to the remote URL either.
  • Hi,

    okay ... if you cannot access the URL in a manual fashion either, it is not a ACC issue but a general connection/packet-filter/NAT configuration problem.

    When using the SSO feature, is the URL displayed in the new browser window different from the one you would use to "normally" access the remote ASG?

    Can you in fact access the remote ASG WebAdmin in any way?

    Regarding the logfile, you can download it via the ASG WebAdmin in the logfile overview - assuming you can somehow access it. Please navigate to Logging >> Archived Logfiles, select "Device agent" and download the file corresponding to the date where you received all the e-Mail notifications.

    Regards,
    Henning
  • The URL displayed in the new window is the remote ASG's Public IP "https://xx.xx.xx.xx:4444"

    I also created a PF on the remote to allow incoming traffic from the External WAN over port 4444 but it did nothing.

    Do I need to create a DNAT on the remote instead?

    As far as the log goes, I'll just have to find time to go on site.

    BTW - I can ping the remote's public IP just fine.
  • Please do not be offended, but I need to ask a dumb/obvious question:

    How do you currently reach the remote ASG at all? It seems you are able to set packet-filter rules just fine, so I just assume you got into the remote ASG's WebAdmin somehow. Is it from the same address/office you are trying to access it via the SSO feature?

    You would need a DNAT on the remote ASG if you want to reach an internal/hidden server from the outside.

    Basically, the only allowance you need to make is to put the IP or (dynamic) DNS entry of the external interface of your local ASG into the Allowed Networks box for WebAdmin access on your remote ASG. This is because your local ASG masquerades any traffic from the local network to its external IP address.

    If you do have access to your remote ASG via WebAdmin somehow, you can check the packet-filter logfile and check the times when you were blocked when trying the SSO.

    Regards
  • Not a dumb question at all!
    The ONLY way I have access to the remote ASG's WebAdmin is when I get into my truck and drive 40 miles down the road to the Pastor's house.
    Then I access WebAdmin from inside his network.  That is how I setup the PF's.

    So, I need:
    1.  DNAT on the remote allowing my Dynamic Public IP Address, coming through his External WAN Address through port 4444 and the destination as Internal LAN Address.
    2.  PF on the remote allowing my public IP access via port 4444 to the internal LAN address.
    3.  My public IP added to the allowed networks on the remote ASG for WebAdmin.

    Or, is #1 & #2 all I need to do?
  • Oh my goodness, I feared as much ... sounds like a bad movie where you drive through thunderstorm and lightning to fix a generator in a remote location, shooting thugs on the way which randomly jump in front of your truck ... [:O]

    So, let's re-iterate the scenario:

    Remote ASG (Pastor's house)  Local ASG 
  • Excellent post!
    Thanks for taking the time to go into such detail.

    All that you described has been done and more...
    I have tried 'allowing' a DNS Host (My Source IP) and 'ANY' for WebAdmin but no good.
    Another problem I have is that I cannot look at the PF log because I can't attempt to access the remote ASG from the external network while I am on the internal network.

    I really think something is just hosed on that box I built.

    QUESTION:
    You mention that DNAT is not necessary since the WebAdmin is 'within' the box.
    I understand this, but, since the WebAdmin URL is a Private IP, wouldn't that basically place it 'behind' the box?
    Besides that, how would the remote asg route the External (WAN) Address traffic over port 4444 to the correct internal IP?