This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No connection between ASG and ACC

Hello,

I have the following situation:

        Internet - ASG 5 - ACC --> this works

        ASG 1 - VPN (SSL) - ASG 5 - ACC --> no connection: 
         
           We are now connected (ip=192.168.5.252, port=4433). 
           (ec) Received confd data for ACC connection '192.168.5.252:4433'... 
           Connecting to ACC socket (ip=192.168.5.252, port=4433). 
           ACC connection failure, retrying (ip=192.168.5.252, port=4433).       
             SSL-connect:     'IO::Socket::INET configuration    
             failederror:00000000:lib(0):func(0):reason(0)' 

The ACC is pingable from ASG 1.
I have no Authentication.

Can anybody help me?

Thanks

Frank


This thread was automatically locked due to age.
  • Hi feo,

    have you set the ACC to accept connection through any interface? what about your packet filter rules between ASG 1 and ASG5 - are the required ports allowed from the remote network to the internal? - 
    another suggestion is to have a look at your packet filter log - if anything is dropped

    i'm running a my ACC behind the ASG, but direct connections for costumer ASG's are allowed from the internet

    GrEEtz
  • Hi

    The connection between ASG and ACC should not be influenced by what networks
    are in between (i.e. it should not matter, if there are vpn tunnels in
    between).

    You say that you can ping the ACC from the ASG. Please make sure that this
    works both ways. As 'honk' said before, please check, if the allowed networks
    are set correctly, and that there are no interfering packetfilter rules.

    From the Agent log:
    The Agent states, that it is connected:

       > We are now connected (ip=192.168.5.252, port=4433). 

    This means that the agent has successfully opened a socket to the ACC. It
    seems as if there is no traffic in the other direction (i.e. from ACC to the
    ASG), since the ACC should then send a login packet. Anyway, this line shows
    that a connection is possible in general, but the ACC possibly does not
    answer, because it rejects the connection.

    hth, cheers
    robert
  • Hello,

    the problem was the security setting - I had to add the "VPN (SSL) Pool" to allowed networks.

    Thanks 

    Feo
  • Hello,

    I have the same problem.
    I have connected several ASG's to my acc working fine.
    But i added an extra one and that one won't connect.
    I got the error: [1] ACC SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'.
    I added the device to the group allowed hosts.
    What is going wrong.
  • Hello

     i try to setup a new acc v3,but i am unable to let other asg unit's to connect to my new acc. only the one in the same lan as the acc can connect.
    By allowed networks i put any, so that will not be the problem.
    when i look in the livelog of an asg i see the following:
     
    2012:01:08-14:09:32 fw device-agent[10301]: [1] Connecting to ACC socket (ip=192.168.xx.198, port=4433).
    2012:01:08-14:09:37 fw device-agent[10301]: [1] ACC connection failure, retrying (ip=192.168.xx.198, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:01:08-14:09:43 fw device-agent[10301]: [1] ACC connection failure, retrying (ip=192.168.xx.198, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:01:08-14:09:44 fw device-agent[10301]: [1] Connection failed (ip=192.168.xx.198, port=4433).
    2012:01:08-14:09:44 fw device-agent[10301]: Not reporting inotify: no role
    2012:01:08-14:09:44 fw device-agent[10301]: timer2 -> module 1 not executing: denied by role
    2012:01:08-14:09:44 fw device-agent[10301]: timer2 -> module 2 not executing: denied by role
    2012:01:08-14:09:44 fw device-agent[10301]: timer2 -> module 3 not executing: denied by role
    2012:01:08-14:09:44 fw device-agent[10301]: timer2 -> module 4 not executing: denied by role
    2012:01:08-14:09:44 fw device-agent[10301]: timer2 -> module 5 not executing: denied by role
    2012:01:08-14:09:44 fw device-agent[10301]: timer2 -> module 6 not executing: denied by role
    2012:01:08-14:09:44 fw device-agent[10301]: timer2 -> module 7 not executing: denied by role
    2012:01:08-14:09:49 fw device-agent[10301]: timer2 -> module 1 not executing: denied by role
    2012:01:08-14:09:49 fw device-agent[10301]: timer2 -> module 2 not executing: denied by role
    2012:01:08-14:09:49 fw device-agent[10301]: timer2 -> module 3 not executing: denied by role
    2012:01:08-14:09:49 fw device-agent[10301]: timer2 -> module 4 not executing: denied by role
    2012:01:08-14:09:49 fw device-agent[10301]: timer2 -> module 5 not executing: denied by role
    2012:01:08-14:09:49 fw device-agent[10301]: timer2 -> module 6 not executing: denied by role
    2012:01:08-14:09:49 fw device-agent[10301]: timer2 -> module 7 not executing: denied by role

    What is going wrong?
  • Hi PieterH,

    do you have an ASG in front of your ACC?
    Please see here.

    Regards, Hakan
  • I'm still unable to connect ASG's over ssl-vpn to the ACC.
    I still got the errors:

    2012:05:19-22:59:10 fw device-agent[9796]: DEBUG -> 1
    2012:05:19-22:59:10 fw device-agent[9796]: INFO -> 2
    2012:05:19-22:59:10 fw device-agent[9796]: WARN -> 3
    2012:05:19-22:59:10 fw device-agent[9796]: ERROR -> 6
    2012:05:19-22:59:10 fw device-agent[9796]: CRIT -> 8
    2012:05:19-22:59:10 fw device-agent[9796]: Current Level is: 3
    2012:05:19-22:59:10 fw device-agent[9796]: WARN messages are displayed
    2012:05:19-22:59:10 fw device-agent[9796]: ERROR messages are displayed
    2012:05:19-22:59:10 fw device-agent[9796]: CRIT messages are displayed
    2012:05:19-22:59:11 fw device-agent[9796]: Init cache.
    2012:05:19-22:59:31 fw device-agent[9796]: Initializing roles
    2012:05:19-22:59:31 fw device-agent[9796]: entering main loop for /usr/sbin/acc-agent.plx...
    2012:05:19-22:59:31 fw device-agent[9796]: [1] Connecting to ACC socket (ip=192.168.81.199, port=4433).
    2012:05:19-22:59:36 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-22:59:42 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-22:59:43 fw device-agent[9796]: [1] Connection failed (ip=192.168.81.199, port=4433).
    2012:05:19-22:59:43 fw device-agent[9796]: (ec) Connection to remote ACC established.
    2012:05:19-22:59:43 fw device-agent[9796]: Init iWatcher dropping file 0 '/etc/raid/status'.
    2012:05:19-22:59:47 fw device-agent[9796]: Not reporting inotify: no role
    2012:05:19-22:59:48 fw device-agent[9796]: timer2 -> module 1 not executing: denied by role
    2012:05:19-22:59:48 fw device-agent[9796]: timer2 -> module 2 not executing: denied by role
    2012:05:19-22:59:48 fw device-agent[9796]: timer2 -> module 3 not executing: denied by role
    2012:05:19-22:59:48 fw device-agent[9796]: timer2 -> module 4 not executing: denied by role
    2012:05:19-22:59:48 fw device-agent[9796]: timer2 -> module 5 not executing: denied by role
    2012:05:19-22:59:48 fw device-agent[9796]: timer2 -> module 6 not executing: denied by role
    2012:05:19-22:59:48 fw device-agent[9796]: timer2 -> module 7 not executing: denied by role
    2012:05:19-22:59:48 fw device-agent[9796]: 1 is not connected. Trying to connect
    2012:05:19-22:59:48 fw device-agent[9796]: [1] Connecting to ACC socket (ip=192.168.81.199, port=4433).
    2012:05:19-22:59:53 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-22:59:59 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-23:00:00 fw device-agent[9796]: [1] Connection failed (ip=192.168.81.199, port=4433).
    2012:05:19-23:00:00 fw device-agent[9796]: Not reporting inotify: no role
    2012:05:19-23:00:00 fw device-agent[9796]: timer2 -> module 1 not executing: denied by role
    2012:05:19-23:00:00 fw device-agent[9796]: timer2 -> module 2 not executing: denied by role
    2012:05:19-23:00:00 fw device-agent[9796]: timer2 -> module 3 not executing: denied by role
    2012:05:19-23:00:00 fw device-agent[9796]: timer2 -> module 4 not executing: denied by role
    2012:05:19-23:00:00 fw device-agent[9796]: timer2 -> module 5 not executing: denied by role
    2012:05:19-23:00:00 fw device-agent[9796]: timer2 -> module 6 not executing: denied by role
    2012:05:19-23:00:00 fw device-agent[9796]: timer2 -> module 7 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: timer2 -> module 1 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: timer2 -> module 2 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: timer2 -> module 3 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: timer2 -> module 4 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: timer2 -> module 5 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: timer2 -> module 6 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: timer2 -> module 7 not executing: denied by role
    2012:05:19-23:00:05 fw device-agent[9796]: 1 is not connected. Trying to connect
    2012:05:19-23:00:05 fw device-agent[9796]: [1] Connecting to ACC socket (ip=192.168.81.199, port=4433).
    2012:05:19-23:00:10 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-23:00:16 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-23:00:17 fw device-agent[9796]: [1] Connection failed (ip=192.168.81.199, port=4433).
    2012:05:19-23:00:17 fw device-agent[9796]: Not reporting inotify: no role
    2012:05:19-23:00:17 fw device-agent[9796]: timer2 -> module 1 not executing: denied by role
    2012:05:19-23:00:17 fw device-agent[9796]: timer2 -> module 2 not executing: denied by role
    2012:05:19-23:00:17 fw device-agent[9796]: timer2 -> module 3 not executing: denied by role
    2012:05:19-23:00:17 fw device-agent[9796]: timer2 -> module 4 not executing: denied by role
    2012:05:19-23:00:17 fw device-agent[9796]: timer2 -> module 5 not executing: denied by role
    2012:05:19-23:00:17 fw device-agent[9796]: timer2 -> module 6 not executing: denied by role
    2012:05:19-23:00:17 fw device-agent[9796]: timer2 -> module 7 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: timer2 -> module 1 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: timer2 -> module 2 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: timer2 -> module 3 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: timer2 -> module 4 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: timer2 -> module 5 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: timer2 -> module 6 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: timer2 -> module 7 not executing: denied by role
    2012:05:19-23:00:22 fw device-agent[9796]: 1 is not connected. Trying to connect
    2012:05:19-23:00:22 fw device-agent[9796]: [1] Connecting to ACC socket (ip=192.168.81.199, port=4433).
    2012:05:19-23:00:27 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-23:00:33 fw device-agent[9796]: [1] ACC connection failure, retrying (ip=192.168.81.199, port=4433). SSL-connect: 'IO::Socket::INET configuration failederror:00000000:lib(0):func(0):reason(0)'
    2012:05:19-23:00:34 fw device-agent[9796]: [1] Connection failed (ip=192.168.81.199, port=4433).
    2012:05:19-23:00:34 fw device-agent[9796]: Not reporting inotify: no role
    2012:05:19-23:00:34 fw device-agent[9796]: timer2 -> module 1 not executing: denied by role
    2012:05:19-23:00:34 fw device-agent[9796]: timer2 -> module 2 not executing: denied by role
    2012:05:19-23:00:34 fw device-agent[9796]: timer2 -> module 3 not executing: denied by role
    2012:05:19-23:00:34 fw device-agent[9796]: timer2 -> module 4 not executing: denied by role
    2012:05:19-23:00:34 fw device-agent[9796]: timer2 -> module 5 not executing: denied by role
    2012:05:19-23:00:34 fw device-agent[9796]: timer2 -> module 6 not executing: denied by role
    2012:05:19-23:00:34 fw device-agent[9796]: timer2 -> module 7 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: timer2 -> module 1 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: timer2 -> module 2 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: timer2 -> module 3 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: timer2 -> module 4 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: timer2 -> module 5 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: timer2 -> module 6 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: timer2 -> module 7 not executing: denied by role
    2012:05:19-23:00:39 fw device-agent[9796]: 1 is not connected. Trying to connect
    2012:05:19-23:00:40 fw device-agent[9796]: [1] Connecting to ACC socket (ip=192.168.81.199, port=4433). 

    When I use ipsec-vpn no problem to connect to the ACC.

    I put the ssl-vpn pool to the allowed networks.
  • Did anyone ever find a resolution on this?

    I looked at the linked article (found it on Google - links seem to be broken here now) and there is the suggestion about changing the VPN ip address(es)?  I've tried adding the VPN subnet to my ACC allowed networks but no dice.

    Thanks,
    Andy
  • I just fixed this problem.
    i just changed the client / server "role" for the ssl-vpn from one of the utm's to the other. And now i'm able to connect the acc over the vpn. Maybe one of the issues is that the utm is behind a nat-router.