Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 7425 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ACC drops Port 4433 traffic from our ASGs

RobLP
After working for months, our Astaro Command Center has lost linkage with our remote ASGs. The ACC packet filter log shows it dropping Port 4433 packets from the public address of each remote ASG. (The log also shows the ACC dropping its own packets intended for our local time server.) Our ACC remains linked to our local ASG, which shares the same class C internal network. All four Axx's have always had the same 'Shared Secret' for central management.
I cannot find any way to re-enable the traffic. The ACC has no Network Security tab and therefore no Packet Filter page. I have tried restarting each Axx device and all routers between them that I admin.

LOG EXTRACT:
22:56:21  Default DROP  TCP  98.114.xx.xx:44394  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:23  Default DROP  TCP  98.114.xx.xx:44394  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:24  Default DROP  TCP  98.114.yyy.yy:46495  :4433 [SYN] len=56  ttl=61  tos=0x00  srcmac=  dstmac=
22:56:27  Default DROP  TCP  98.114.yyy.yy:46495  :4433 [SYN] len=56  ttl=61  tos=0x00  srcmac=  dstmac=
22:56:31  Default DROP  TCP  98.114.xx.xx:47536  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:33  Default DROP  TCP  98.114.xx.xx:47536  :4433 [SYN] len=60  ttl=59  tos=0x00  srcmac=  dstmac=
22:56:33  Default DROP  UDP  :123  :123 len=76  ttl=64  tos=0x00
22:56:34  Default DROP  TCP  98.114.yyy.yy:46496  :4433 [SYN] len=56  ttl=61  tos=0x00  srcmac=  dstmac=

How can I get the ACC to stop dropping legitimate traffic?
Thanks.

ACC version 2.201, Pattern 20079
ASG version 8.001, Pattern 20222


This thread was automatically locked due to age.
  • 0
    ACC has again lost contact with every associated ASG. 
    Each ASG's Management/Central Management page contains the identical error message in its "ACC Health" window:
       [1] ACC SSL-connect: 
       'IO::Socket::INET 
       configuration    
       failederror:00000000:lib(0):fun
       c(0):reason(0)'.

    ACC packet filter log confirms outgoing port 4433 is being blocked.
    ASG firmware 8.003; pattern 20677. 
    ACC firmware 2.201; pattern 20663.
    No DNS Hosts bound to an interface. 

    ANOTHER POSSIBLE BUG?
    Suggested workaround(s) that do not compromise security?
    Thanks.
  • 0
    Our ACC has again lost contact with every associated ASG.
    Each ASG's Management/Central Management page contains the identical error message in its "ACC Health" window:
    [1] ACC SSL-connect:
    'IO::Socket::INET
    configuration
    failederror:00000000:lib(0):fun
    c(0):reason(0)'.

    ACC packet filter log confirms outgoing port 4433 is being blocked.
    ACC at 100% CPU utilization; stayed at 100% after successful reboot.
    ASG firmware 8.003; pattern 20677.
    ACC firmware 2.201; pattern 20663.
    No DNS Hosts bound to an interface.

    ANOTHER SIMILAR BUG that affects traffic in the opposite direction this time? (For bug discovered earlier and a workaround, see https://community.sophos.com/products/unified-threat-management/astaroorg/f/61/t/56858)
    Suggested workaround(s) that do not compromise security?
    Thanks.
  • 0
    Hi RobLP,

    workaround is absolutely secure. It will also be released within the next up2date of ACC. Use it to fix your issue.
  • 0 in reply to buddy007
    Hi RobLP,

    workaround is absolutely secure. It will also be released within the next up2date of ACC. Use it to fix your issue.


    Thanks for your reply. 
    You wrote "workaround", not "fix". Seems to me you indicate a two-step solution: a workaround as a near-term remedy, and a proper 'fix' in a later release. Am I correct?
    Can you say when to expect the workaround? The final fix? I'd like to plan accordingly.
    For edification, I'd also  like to understand 1) what caused the issue and 2) what we can do to prevent another recurrence.
    Again, I appreciate you taking time to answer my post.
    Rob
  • 0 in reply to RobLP
    Hi Rob,

    the download which you'll find under the link buddy007 has posted contains a real bug fix. It will take some time until we'll release a new minor version which will contain this bug fix.

    Therefore we provide it here for manual installation until the official release.

    1) The issue is caused by an incorrect handling of a behaviour which is new in V8 Astaros
    2) Just install the aforementioned bug fix

    Regards, Hakan
  • 0 in reply to RobLP
    Acquired and installed workaround from the terminal. It seems to work well. ACC no longer blocks its own port 4433 traffic; CPU down to ~20%; RAM down to 22%; all ASGs now connected; ACC display of ASG  parameters (eg, firmware version) eventually updated to actual versions indicated on each ASG's own dashboard.
    Other than a temp directory not found warning, installation went very smoothly.
    BTW: Good call using the -vh switches: Made it easy to follow download and installation progress.
    Thanks again for your help!
    Rob
  • 0 in reply to RobLP
    This is good news. Thanks for your feedback [:)].

    Regards, Hakan
Unfiltered HTML