This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ACC drops Port 4433 traffic from our ASGs

After working for months, our Astaro Command Center has lost linkage with our remote ASGs. The ACC packet filter log shows it dropping Port 4433 packets from the public address of each remote ASG. (The log also shows the ACC dropping its own packets intended for our local time server.) Our ACC remains linked to our local ASG, which shares the same class C internal network. All four Axx's have always had the same 'Shared Secret' for central management.
I cannot find any way to re-enable the traffic. The ACC has no Network Security tab and therefore no Packet Filter page. I have tried restarting each Axx device and all routers between them that I admin.

LOG EXTRACT:
22:56:21  Default DROP  TCP  98.114.xx.xx:44394  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:23  Default DROP  TCP  98.114.xx.xx:44394  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:24  Default DROP  TCP  98.114.yyy.yy:46495  :4433 [SYN] len=56  ttl=61  tos=0x00  srcmac=  dstmac=
22:56:27  Default DROP  TCP  98.114.yyy.yy:46495  :4433 [SYN] len=56  ttl=61  tos=0x00  srcmac=  dstmac=
22:56:31  Default DROP  TCP  98.114.xx.xx:47536  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:33  Default DROP  TCP  98.114.xx.xx:47536  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:33  Default DROP  UDP  :123  :123 len=76  ttl=64  tos=0x00
22:56:34  Default DROP  TCP  98.114.yyy.yy:46496  :4433 [SYN] len=56  ttl=61  tos=0x00  srcmac=  dstmac=

How can I get the ACC to stop dropping legitimate traffic?
Thanks.

ACC version 2.201, Pattern 20079
ASG version 8.001, Pattern 20222


This thread was automatically locked due to age.
Parents Reply
  • The dropped packages are due to a bug in setting up the packet filter rules for the devices. 

    The problem:
    If there is a DNS host definition which is bound to the Uplink Interface no packet filter rule is generated.
    Workaround:
    Set the interface for the DNS hosts you use to Any.

    Thorsten
Children
  • The dropped packages are due to a bug in setting up the packet filter rules for the devices. 

    The problem:
    If there is a DNS host definition which is bound to the Uplink Interface no packet filter rule is generated.
    Workaround:
    Set the interface for the DNS hosts you use to Any.

    Thorsten


    The suggested workaround restored our ACC to ASG links instantly. 

    The workaround also fixed the time-server access problem on our ACC and ASGs; therefore, I shall post it (with attribution) on the "Management, Networking, Logging and Reporting" thread I had created.

    Thanks, Thorsten! At least we helped you find a bug, which presumably will be fixed in a subsequent 'dot' release.
    Rob
  • hello,

    where does i apply these dns settings? on the acc or on the asg?

    kind regards,

    sebastian
  • Thorsten, I believe I've experienced a similar bug; in my case, the DNS hosts were not bound to any interface ( was selected)... at random, ACC daemon would go off the charts (100% CPU), and no ASGs would show up in Gateway manager as Up.... found similar drops in the packet filter to the posters above.  Setting allowed gateways to ANY seems to have fixed it.  Before, a reboot or 2 would bring it back... I think this bug may affect DNS hosts, regardless of whether they are bound to an interface or not.  Wierd thing is that it would work for a week or 2, then this would happen.  Happened again overnight, then I remembered this thread... current case ID# is 00135229 ... if you want to follow up on this.  I have an ASG at the perimeter that is currently performing the filtering function that the "allowed gateways" option used to do right now.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.