This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[CRIT-310] Up2Date prefetch failed

Hi all

After upgrading ACC from 2.0 to 2.1 i get Error [CRIT-310] Up2Date prefetch failed on ASG 7.501:
Up2Date prefetch failed: All 12 Authentication Servers failed

-- 
System Uptime : 0 days 0 hours 30 minutes
System Load : 1.20
System Version : Astaro Security Gateway Software 7.501

Please refer to the manual for detailed instructions.

Hints:
- new License is installed on ACC
- up2date Log on ACC says: 2009:12:04-16:13:04 acc audld[8403]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
- if i change "Use ACC server as Up2Date Cache" on ASG to disabled (unmarked), update works fine

Any suggestions?

Cheers Peter
Edit/Delete Message


This thread was automatically locked due to age.
  • Hi,

    could you please check whether the Up2Date Cache itself on ACC is enabled and that the source IPs of the gateways which want to use the Up2Date Cache service are included in the Allowed networks section of the Up2Date Cache?

    Please do not use the Any object within the allowed network settings as the Up2Date Cache is primarily acting as an HTTP proxy you would turn it into an open relay.

    Also, if there are any intermediate firewalls between your gateway and ACC, it might block the traffic from your Gateway to the Up2Date Cache or the traffic from the Up2Date Cache to the public Up2Date Servers.

    Maybe you can post the /var/log/u2dcache.log logfile from your ACC?

    Thanks and regards,
    Henning
  • Hi

    - Up2Date Cache is enabled and allowed for Internal Network, same network were ACC is located.
    - Non firewall, ACC is on the same subnet as internal interface off ASG
    - ACC use http-proxy of ASG to connect to the internet

    2009:12:09-22:32:59 acc squid[4509]: 1260394379.087      8 192.168.0.1 TCP_MISS/503 0 CONNECT 213.144.15.5:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.194     19 192.168.0.1 TCP_MISS/503 0 CONNECT 213.198.93.249:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.259      3 192.168.0.1 TCP_MISS/503 0 CONNECT 213.198.93.249:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.295      0 192.168.0.1 TCP_MISS/503 0 CONNECT 79.125.52.203:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.335      0 192.168.0.1 TCP_MISS/503 0 CONNECT 79.125.52.203:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.391      0 192.168.0.1 TCP_MISS/503 0 CONNECT 128.121.10.115:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.417      0 192.168.0.1 TCP_MISS/503 0 CONNECT 128.121.10.115:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.429      0 192.168.0.1 TCP_MISS/503 0 CONNECT 128.242.114.243:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.443      0 192.168.0.1 TCP_MISS/503 0 CONNECT 128.242.114.243:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.456      0 192.168.0.1 TCP_MISS/503 0 CONNECT 75.101.226.191:443 - DIRECT/- -
    2009:12:09-22:32:59 acc squid[4509]: 1260394379.468      0 192.168.0.1 TCP_MISS/503 0 CONNECT 75.101.226.191:443 - DIRECT/- -

    Cheers   Peter
  • Hi Henning

    More Info: same Problem after update ASG to 7.502

    Regards   Peter
  • Hi,

    thanks for the info so far. You stated:
    - ACC use http-proxy of ASG to connect to the internet


    Did you configure a Parent Proxy within Up2Date >> Advanced of your ACC WebAdmin?

    Maybe you can send us the following file from your ACC:

    /var/chroot-u2dcache/etc/squid/squid.conf


    Please mail it to acc-support@astaro.com and reference the UBB post in your mail. We will have a look.

    Thanks!

    Cheers,
    Henning
  • Hi Henning

    Yes, "Use parent proxy" is marked, an the correct definition in "Proxy host" and "Proxy port"

    As req:

    # PARENT PROXY SETTINGS
    # -----------------------------------------------------------------------------
    #cache_peer 192.168.0.2 parent 8080 7 default no-query no-digest login=:
    cache_peer 192.168.0.2 parent 8080 7 default no-query no-digest

    Greetings from Switzerland
    Peter
  • Hi Henning

    Mail send now 9:08 PM
  • Hello Peter,

    I suspect the parent proxy on your ASG is not forwarding/handling the HTTPS authentication requests.

    The current flow would be:

    ASG Up2Date Client --> (https) --> ACC Up2Date Cache --> (https) --> ASG HTTP Proxy (blocked/disabled)

    Could you try to disable the Parent Proxy usage on the ACC and see if the ASG can then authenticate properly? Might be that you require a packet-filter rule to allow your ACC to go through the ASG (http and https).

    Regards,
    Henning
  • Hi Henning

    - ASG over ACC Up2date Cache direct to Internet (with Rule "allow 80/443 for ACC on ASG") works fine
    - ACC Up2date over Proxy on ASG without exeptions works fine
    - ASG over ACC  Up2date Cache --> Proxy on ASG with any possible exeptions (Skipping: Authentication / Caching / Antivirus / Extension blocking / MIME type blocking / URL Filter / Content Removal / Certificate Trust / Certificate Date Check) to Internet: Bad

    Can't find a request in proxy-log of ASG at the same time i get the error message in Mail

    Regards   Peter
  • Hello Henning

    More information:
    - disabling parent proxy on ACC and configure Firefox to use ACC as Proxy for all http-Req
     and requeat internal (Intranet) Web-Site works fine
    - enable parent proxy and request website on internet is bad, but can see "Default Drop" for http-Request on Deefault-Gateway Firewall

    --> means, Up2date Cache (Squid) does not take correct configured and working parent proxy (Up2date of ACC himself over "parent" Proxy works fine)

    Regards    Peter
  • I think the Up2Date Cache was never really designed/tested to use an Upstream/Parent Proxy - sorry for the inconvenience.

    I will look into this matter and check if we can make it work. If not I would prefer removing the code and configuration parts so that the Up2Date Cache is unaffected by any Parent Proxy settings.

    Thanks for your patience and assistance in this matter.

    Regards