Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 5186 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 320 Freezes every day

Marshall
Luckily it's not in production just yet.  I have an ASG 320 V7 which I put in line for testing last week.  It seems to be running fine throughout the day when testing.  But every morning, when I come in to work, it's not responsive.  So every morning I have to reboot it.  I can't ping any of the interfaces, and can't ssh into the box.  The only fix is a reboot.  Yesterday, I updated all the way to 7.009 and BIG surprise it was froze this morning. [:O]  I'm not seeing anything in any of the logs.  But if any of you guys could give me some ideas on which logfiles to look at and specific things to look for I would greatly appreciate it.

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Sounds like a hardware problem.
    I'd start with checking the fans.

    Barry
  • 0 in reply to BarryG
    How would I do that?  I'm pretty new to the Astaro world.  Most of my previous experience has been with old Symantec / Axxent raptor firewalls (Server/Unix based versus appliance).

    I'll go ahead and bring the firewall back to me office today so I can keep an eye on it as well.

    Keep the ideas and info coming guys!  Thanks!
  • 0 in reply to BrucekConvergent
    I just checked out all the executive reports over last week.  And I have a LOT of failed Console Logins.  Does that mean people trying to log into the ssh console?  or GUI?  One day there was 55 attempts on another day there were several hundred...

    Any ideas input on this would be very helpful.  I'm starting to suspect that due to these failed attempts I am being locked out of the GUI/Console.

    [:O]
  • 0 in reply to Marshall
    Somebody's trying to hack into your Astaro... you really should change the defaults on the networks that one can access the shell (and Webadmin, for that matter) to a more limited set.. the default is "any"... I'd restrict that to internal networks, etc.  If you need access from an external host, enter it's IP alone in the list.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    I'm not sure I understand how someone would be trying to get in though.  I've only got a few specific Internal IP Addresses that are allowed to control the box (through ssh and webadmin).

    Can anyone tell me what the following entries mean in a V7.09 Daily Executive Report?

    Console Logins:   
    Successful: # 
    Failed: #

    Is that referring to ssh attempts or webadmin attempts or something else?

    Thanks for all the help so far guys!
  • 0 in reply to Marshall
    SSH logins for sure, and I think also local console logins, and Serial logins.  If you have the setting set as you say you do, verify they are working by attempting an SSH connection from outside the network to your Astaro, to make sure somethings not wrong with your configuration.  If you can't connect, then someone must have compromised an internal PC, or you have someone inside the network that's attempting to break into it.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Someone is/was definitely trying to beat up the firewall.  I found a lot of entries like this in the packet filter log:

    2007:09:16-21:11:04 (none) sshd[27581]: Failed password for root from 220.128.206.131 port 57133 ssh2

    First I found that's an APNIC IP Range.  And I'm used to getting attempts from them on some of my past firewalls.  So it usually isn't a big surprise.  However this time this person seems to be pretty intent on trying to get in.

    My problem and why I can't understand this is that ssh is NOT set up for external access.  And there are no rules that might be allowing this to happen.  I ran a scan against my external interface and it isn't showing ssh as open.  However it does show the following as open:
    443 - I have the User Portal enabled for external users
    465 - I have no idea what this is
    587 - I have no idea what this is either
  • 0 in reply to Marshall
    Okay so I've just run back through my initial config of the 320.

    I did not have any of the flood protection enabled.  They are now enabled.

    I also didn't have the Anti Portscan enabled.  It is now.

    I'm still concerned however about those SSH2 attempts.  I've tried hitting my external interface with ssh and don't get anything...  Any thoughts on this would be great!

    Thanks again!
  • 0 in reply to Marshall
    You don't have any SNAT or DNAT rules configured that deal with the SSH port, do you?  Other than that, I'd start a case w/ Astaro on that one... definitely wierd.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Thanks for all the info.  I'm going to go ahead and log a ticket with Astaro support and get their input as well.

    Nope no *NAT rules for SSH.
  • 0 in reply to Marshall
    Just my 2p,

    We have 2 ASG320 that are about 18months old and we have 350 users behind them and an 8mb pipe (currently - going to 30mb shortly) we use all the features pretty much plus we host our own e-commerce servers.

    The boxes used to be in HA mode and recently after going to V7 were struggling to keep up, in fact they weren't.

    However we have now moved to Active / Active clustering and now no more performance issues.

    We still have others like the proxy authentication etc but support are very efficient ... cheers Andreas [:)]


    I must rememeber to ask if these 320's can handle more ram!
  • 0 in reply to Godsbrother
    Alright guys,

    In trying to get this thing into testing mode (and soon into prod) I over looked setting up the flood and Anti Portscan protection.  I have enabled them and will be putting the 320 back in line and see if this helps.  I'll give updates and let you all know how it's going.

    Keep your fingers crossed for me[:D] 

    Much thanks again!
Reply
  • 0 in reply to Godsbrother
    Alright guys,

    In trying to get this thing into testing mode (and soon into prod) I over looked setting up the flood and Anti Portscan protection.  I have enabled them and will be putting the 320 back in line and see if this helps.  I'll give updates and let you all know how it's going.

    Keep your fingers crossed for me[:D] 

    Much thanks again!
Children
  • 0 in reply to Marshall
    So I enabled Anti Dos and Flood detection and put the 320 back in line yesterday afternoon.  All was well and I was able to connect and the firewall seemed to be fine.  Until...

    This morning I tried to log in to the Management portal and it wouldn't respond.  I power cycled the firewall and was able to get in for a while...  Now it is not responding again.  However, I AM able to log in to the User Portal.  I am also NOT getting the log in errors or attempts in the executive report now.

    I've already contacted support.  But wanted to see if any of you guys have any ideas.

    Thanks in advance!
Cookie Information Banner