Up2Date prefetch failed

Hi Peter,
print the commands, start up a console as root. Run those commands and that should fix your problem. Your issue was quite big a few versions ago, but for most people it has been resolved.

How did you get to v7.104, from a v7.100 and upgrades or from an older v7 version. If older I would recommend you do a fresh install with the v7.100 ISO and then the upgrades.

Ian M

i installed a fresh image at 7.103...and i got the update for 7.104 with no problem..
but now i get these errors all the time....and as i said...i have never startet or typed anything in the console...


is there some other way to resolve this issue...a downloadable bugfix or something??

peter

i installed a fresh image at 7.103...and i got the update for 7.104 with no problem..
but now i get these errors all the time....and as i said...i have never startet or typed anything in the console...


is there some other way to resolve this issue...a downloadable bugfix or something??

peter

Seems I'm having the same exact problem.  I installed 7.103 and updated to 7.104 and getting this error:

Up2Date prefetch failed: All 4 Authentication Servers failed

I tried running "audld.plx --level d --nosys" as suggested in another post, but that returns successful.  The only time I see the above error is in email alerts.

Any ideas?

-Eric

The ASG will try to contact the server in regular intervals, most of the time there is no update available but the ASG does have to ask to find out. If this is no permanent error (i.e., when running manually it works, and the automatic runs don't fail all of the time) this is not a problem. It just indicates that either the connection to the up2date servers is flaky (maybe your own network, maybe your ISP, maybe our ISP, maybe the routing in between),  or maybe just that all servers are currently busy at the time of your request.  Since the ASG retries automatically, no harm is done.

Cheers,
 andreas

Ever since upgrading our 22+ Astaro's, all of them get the Up2Date prefetch failed. Now we have a hub and spoke config where all traffic(any) is sent to our main 425 through an IPSEC tunnel. Prior to the update, Astaro support had us configure a static route to the update servers, and it was working. After upgrading from 7.101 to 7.104, none of our units have received updates. I've tried:

1. static routes to all update servers through the default route with all services open to them on the remote firewalls.

2. Tried removing the static routes out to DG, and SNAT external IP as internal IP, to send traffic through the tunnel, out the 425. I've check all packet filters, and can't find drops. Routing seems normal, still see all types of updates in the up2date log:
sub="up2date" name="Authentication successful"
"No up2date packages available for installation"

3. I installed ACC on my LAN at the 425(HUB) Internal LAN, and still cannot get any updates.

I've spent quite a bit of time configuring and checking the obvious. Packet filters, ports that need to be open, routes, SNAT/DNAT for source and destinations, bypassing proxy...

Anyone have similiar issues? What is the reference to the commands above in this thread? "I saw that there was some linux commands i could run...but im not very good at linux."

I have had a spate of these over the weekend, I too am on 7.104, but this is the first time I have had the messages in the 2 weeks I have been on 7.104. Maybe there was a problem with there up2date severs this weekend, can anyone else  confirm this?

Yes, I can confirm it... I setup a new customer UTM yesterday, and it took about 12 hours to go get the updates the first time... started a case with Astaro, turns out they're updating their up2date servers in preparation for the 7.200 rollout, and the authentication servers apparently are acting a little slow... when I checked the customer's unit this morning it had finally gone out and gotten the updates and installed them.

Forgot to add:  They expect everything to return to normal later today.

I wish the up2date servers being temporarily down was my problem. We haven't been able to receive updates since upgrading from 7.101 to 7.104. I believe it's related to our configuration, which is passing all traffic through remote tunnels(spokes), out our 425(Hub). This was working with static routes in place out the default gateway from each remote prior to the update. 

I would have a better understanding if I could find the communication sequence, and port numbers used by the Astaros. I've opened 4433, 8080, 80, 443, 33000-34000(up2date group). What I'm seeing is our ACC requesting SYN with up2date servers over 443, but no response back. If it was a dropped or accepted packet I'd see it in the packet filter log correct?

Any tips or links for learning how to use tcpdump on these units to capture whats going on, I would appreciate it. I just can't seem to glean from the logs what is wrong here.

Thanks for the input guys.

Sounds like you aren't set up to directly contact the up2date servers... are you trying to use ACC as an up2date cache?  Try disabling that option in the affected astaro, it'll probably up2date on it's own.  If there's a firewall in between the affected Astaro and the Internet, only ports 80 and 443 are required for up2date traffic.  Not so sure about ACC traffic, we don't use the central cache, as it would flood our link with all our customers accessing it, we just let the devices get their own updates.

All of our Astaros(20+) were updating fine until 7.104. We updated from 7.101 to 7.104, then weren't able to receive updates for weeks. That is why we installed the ACC server. We hoped that since the ACC server was residing on the Local LAN behind the 425(Hub), we wouldn't have packet filtering or routing issues through our 425 where all traffic enters and exits, for all Astaros. 

Originally we had been receiving updates using static route to one of the update servers. The need for the static route was because all traffic is sent through the tunnel to the Central Hub Astaro for central management and reporting purposes. I've tried adding all the update servers as static routes, allowing all services without luck, prior to installing the ACC server and using it for up2date cache.

Thanks for the assistance.

Then you've really got me... we have at least that many customers that we monitor, and all have been pretty receiving update with no issues (with the occasional "burp" like we experienced last night)...

One thing.. are these astaros directly connected to the internet? If so, why forward their internet bound to the central site first?  If not... then there must be a NAT, Packet Filter, or IPS issue of some sort in play.

Then you've really got me... we have at least that many customers that we monitor, and all have been pretty receiving update with no issues (with the occasional "burp" like we experienced last night)...

One thing.. are these astaros directly connected to the internet? If so, why forward their internet bound to the central site first?  If not... then there must be a NAT, Packet Filter, or IPS issue of some sort in play.

"One thing.. are these astaros directly connected to the internet? If so, why forward their internet bound to the central site first? If not... then there must be a NAT, Packet Filter, or IPS issue of some sort in play."

They have Internet, either FIOS, Cable or DSL. The IPSEC tunnels are configured for remote traffic set to ANY. This sends all traffic through the tunnel to the HUB 425 Astaro, which ahs our main servers behind it's Eth0 LAN interface. I believe your right 100% It's either NAT, PF, routing or IPS. Our reseller has scoured the logs and opened what I found was blocked. 

What surprised me was the up2date was working with a static route from each remote site to one of the up2date servers. After 7.104, this ceased to function. Even with the tunnel traffic sent to any, why wouldn't static routes to all update servers out the default gateway, with all ports open, allow the updates?


This configuration was put in place by our reseller. I believe the main goal of forwarding all internet traffic to the central site was a central traffic cop, where all filtering, Antivirus scanning, and reporting is managed. All 20 or so remote astaros are configured to send all traffic over the IPSEC tunnel, using Any as the remote network, with auto packet filter set. I can see advantages to it, but the disadvantages are revealing themselves lately.

Other than the recent up2date failure after the 7.104 upgrade, this configuration was working nicely. This is assuming my DSL secondary link failover issue isn't related... That's another thread:
http://astaro.org/showthread.php?t=21749

I have a feeling that if I was able to verbally communicate with an experienced Astaro support professional, this would be resolved quickly. This is assuming my problems are all configuration related issues. Most of my correspondence has via email. It's been very slow progress. Thank you for your help [:)]

Your reseller should be able to get results... while I've not had this particular issue, when a customer of mine has had a an issue that needed immediate attention I was able to get all the help I needed from Astaro... maybe get your reseller moving in that direction..

Our reseller has been making a good effort to resolve the issue. Unfortunately the issues remain unresolved at the moment. I appreciate the input very much Bruce. Thanks.

same problems here on 7.191
seems like up2date messes with the ips.
if i copy /etc/up2date/servers.sorted from an another astaro it works for a wile.
but after a few hours same problem again and old serverlist back there.

greets
florian


----------------------
EDIT:
Seems like i found the problem.
I use an Astraro Command Center.
If i use that as Up2Date Cache then auth fails.
Without updates run as normal.

Somehow all of our sites which used to update with the static route, updated yesterday. It's working fine now, and we didn't make any changes. Also now all our sites that we configured for an ACC server are updated too!. The only sites that didn't update were the ones we had disabled the static route to 1 update server on. Something had to change on the configuration of the backend up2date servers. Whatever it was, it's fantastic!

We didn't change any configuration, no up2date server was touched. I'd rather think that something "in between" was changed to make things work again. Maybe a transparent proxy in between, used by the ISP? I can remember debugging one customer where an upstream proxy which they did not even know about made up2date impossible, maybe something like this.

Cheers,
 andreas

I confirmed with our Data Center that there is no transparent proxy. We are straight out to the internet. No configuration changes on our end, and nothing changed on the Up2date servers, but all of a sudden, 20+ astaro units are all receiving updates as of yesterday. Something had to change. How often are IPS patterns updated? Were they updated yesterday for the first time in a month or so? Ever since that update, we are receiving updates. Thanks for the help [:)]

If you're only using IPS, that would explain why you didn't get up2date packages for a couple of weeks as there just have been none. This should not produce any error messages though; if there are no new packages available, you'll just receive nothing new.

Cheers,
 andreas

hi all,
as in the title, this is the hardest up2date as I remember(ASL1.***x),
be quite and patient and try to do like me ;
download the package from the FTP site and try to reinstall it in manual mode and not in 
automatic.
I try in this way twice and after a very long reboot(5 minutes) ASG starts regulary in a normal way.
I hope this should be helpfull.

The miracle of all my astaro's updating on 5/19 seems to be due to the proxy crashing on my 425. I found an email sent from the 425 on 5/19 stating "http proxy not running - restarted" I've placed the up2date IP's in the transparent mode skiplist, along with the Interal IP of the remote astaros, but it still appears to be blocked. I seems simple fix now that I know it's the http proxy on the 425, but since the transparent mode skiplist doesn't seem to allow the traffic, I'm at a loss on what to configure to allow the up2date traffic to bypass the http proxy.