Up2Date Failing

Skydiver, do you have the same "Dry run is enabled" message as Redactor?

Cheers - Bob

Bob,

I get the same dry run errors that you are getting.  Removing the settings get updates from ACC doesn't fix it, manually applying the updates doesn't fix it, nothing I have tried is fixing it.

So, yes, he is.

Ok, so my little brain got whirring and I realized that 7.508 had been released twice and that the first version was borked.  We had to go through and change the version back to 7.507 and reboot and then the ASG would download the new updated 7.508.  Well, it turns out that that process also updates all the patterns at the same time.  So, on a lark, I went back and changed my version to 7.507, rebooted and then made it apply updates.  After it had finished, lo and behold, I was at the correct pattern version.  I *JUST* did this, so I have no idea if now it will continue to get pattern updates correctly, but it at least got me up to the current version.

*fingers crossed*

-Bob

When my ASG recently updated to 7.508, they also updated pattens but they did not continue to apply new patterns.

Curiously my ASG 220 is getting all the updates and patterns.  My ACC runs behind my ASG 220 with DNAT openings and rules to allow all my ACC inbound traffic  though.  I am running my ACC up2date cache on port 8080 so I have reassigned the web filtering on my ASG 220 to port 3228.  All my ASG 120's are ipsec vpn'ed to my ASG.  I was considering changing the ACC definition to for each of the external ASG's to the internal address of my ACC but I am tiered of shooting into the dark here.

I emailed my support contact as well as Bill Prout and Alan Towes this weekend and i was promised that someone would be contacting me today.  I will report back their findings.  I want to know where in the chain if events it is failing.

I got my first update!

I'm not exactly sure what did it, but among other things I found out that some time ago I had turned off Anti-virus on the Web Security page.

This is what I did.  I figured that if etc/version is how the firmware version is controlled then it goes to reason that there is a place somewhere around there that controls the pattern updates as well.  So I rummaged around and found /etc/up2date/up2date.conf.  In there I noticed that my Avira and Clam were both set to 0 (my first clue that my Anti-virus was turned off).  I set them both to 1 and the ASG rapidly went out searching for updates (which it then downloaded).  After the updates had installed I went back and checked up2date.conf and it had reset Avira and Clam to 0 (my second clue).  So I figured that those two services had to be off and went into Web Security/Antivirus and turned them both on.  I still had updates set to manual at that point because even though on manual it said my patterns were out of date, when I turned it on automatic it said that everything was up-to-date.  So I waited until another pattern update was available and tried downloading it, and it downloaded like a champ.  I still see that dry run notice every few hours, but it doesn't seem to be affecting the updater now (if it ever did).  I'm going to put the pattern updater on automatic and hopefully the next pattern will come down on it's own.

Hope this helps.

It's been a couple days now and I'm receiving updates automatically without any problems. Skydiver, you might want to double-check to make sure that you have anti-virus running.  That is what solved my problem. Though I would think that there would be more than AV updates in 2 1/2 months. 

Good luck.

So here is what Astaro told me.  Because we are not running Web security, Mail or Mail Security at the restaurant sites (all web traffic is routed through the home office ASG 220 via VPN) we are not getting pattern updates.  I AM running IPS at these sites and I am positive that there have been IPS signature updates in the past few months.

I have a new ASG that I am preparing for deployment and as an exercise I did the following:
- I restored an existing site's backup to this box
- Without connection to the Internet, I disabled the ACC and enable up2dates for patterns but not for firmware.  Out of the box the ASG was configured with 7.507 and pattern 13078 (my current patterns on my ASG220 are 20830).
- I went through and configured all the changes from my restoration site to match what I need for my new location
- I cleaned up all ACC created definitions
- I connected to the Internet
- I ran the ASG overnight with pattern updates set to auto update every 15 minutes and the firmware updates set to manual

Results:
I didn't get ANY updates.  When I set the pattern updates to manual and check for new patterns, the latest available pattern version say 0.

When I check for update of firmware is doesn't find anything.

I am still convinced there is a bug.  I am going to manually download and update to 7.508 and see what happens and I will report back.

According to logs on a unit running 7.507, since 8 August, the only IPS update occured on 13 October.

Cheers - Bob

It still doesn't explain why a new out of the box ASG, not configured to use an ACC is not updating patterns at all to at least 10/18/2010 versions as well as the fact that I have 9 ASG's with differing pattern versions.  Best I can tell the patterns on these ASG's last updated when they received and install 7.508.  Here is what I have running currently:
4 @ 20663
1 @ 20673
4 @ 20677
Can anyone tell me when each of the patterns were released?

The more I research this, I think that the issue is that after the event a few months ago where an IPS update broke a lot of users, Astaro changed their testing procedures for releasing updates to the IPS engine.  This is a very, very good thing but my suspicion is that in the process, whatever logic process that determines whether an ASG needs to download pattern updates got broken and is not taking into consideration an ASG that is not running Web or Mail security with A/V and is ONLY running IPS.  Redactor's experience points to this.

For us IPS at our sites is a critical piece for PCI compliance.  We run centralized Web & Mail scanning on our ASG220 at the center of the hub/spoke network so we don't run this at the sites since all their controlled networks run through home office.

I will continue to report back my findings to this thread.

Skydiver, I believe you are right, you should at least see an update pattern that reflects a recent IPS update (there have been updates happening to the ruleset).

I have a client that has a number of ASG units that are running only IPS (Network Security only Subscription, no Web or Email subs, nothing that uses AV) and they are all currently on pattern 20711 (one is on 20712, but there are reasons that it could be different) -- these are all 7.508 units, have been up and running for over a year.

I did note that the one Version 8.003 box out there that is running IPS only is currently at pattern 20794, but I chalk that up to the IPS engine being newer, so it probably uses patterns that the 7.x installations can't for that purpose.