This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG connection to ACC = frustration

I am a bit flustered and feeling like a real noob right now because I cannot get my external ASG units to communicate with my ACC (which is behind an ASG).

For the longest time I have had an ACC v2 running with internal and external ASG units connected, my setup looks like this;

ASG2 v7.5 -> ~internet (DynDNS)~ -> ASG1 v8.3 -> ACC v2
ASG3 v8.3 ->
ASGx vx ->

ASG2/3 configured to get ASG1 IP address via DynDNS
ASG1 has a DNAT rule to forward 4433 to ACC unit

I had been going along blissfully on ACC v2 not knowing about ACC v3 until a few months ago.  So I upgraded my ACC to v3 but I was never able to get the external ASG units to communicate to it.  Since I was not too worried about the new v3 features, I just reverted back to v2 and all was good again.

Now that UTM v9 is officially out I have been slowly replacing old external Astaro ASG hardware (ASG2, ASG3, ASGx) with new (non-Astaro/Sophos) hardware and installing UTM v9 on them.  This has all been going along great.

At the same time I decided to upgrade my ASG1 to UTM v9 and as well upgrade my ACC to v3.  Now I am not able to get the external ASGx units to communicate with my ACC once again.

So after many hours of beating on the dead horse and reading here in the forums, I am at a complete loss of what I am either doing wrong or not understanding what setting I am missing and as a result feeling like a complete noob.

Keep in mind that my ACC is sitting behind my ASG1 and the two of them are able to communicate, so yes ASG1 shows up in ACC.

So I am asking for some help in understanding what steps are needed to get the external ASGx units to communicate with my ACC.

I have seen in some threads about ACC-SSL and I see in ASG1 there is an ACC-SSO-Admin.  So I have enabled SSL VPN on ASG1 and added the ACC-SSO-Admin user.  But still no connections.  I have even added an Any-Any-Any rule to all ASG units just to be sure there were no blocked ports.

I am at my wits end, please help...


This thread was automatically locked due to age.
Parents
  • Yup, under Gateway Manager, have set all settings I can think of, including on the Device Security tab added Any and VPN Pool (SSL) to Allowed Networks.  I have also checked the Required Authentication option and added the Shared Secret password that I have set on all the ASGx units.
  • Should work... probably missing something simple.  Set logging to enabled on your NAT / Firewall rules on the ASG 1 box, and watch the live log when a remote ASG (that is failing to connect) tries to connect -- do you see the 4433 packets?  if not, check your firewall rules.  If so... check the ACC Device Agent log on the remote ASG, it will indicate what is going on.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Also, what platform are you running ACC V3 on?  If it's VMware, make sure you don't have any vShield stuff set to block the needed traffic (I've seen it done).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Also, what platform are you running ACC V3 on?  If it's VMware, make sure you don't have any vShield stuff set to block the needed traffic (I've seen it done).


    My ACC is running on its own individual hardware; mini-itx Atom-D525 system.
Reply Children
No Data