Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Urgent, Strange but quick question

We're having a VERY strange situation on a remote office the last weeks.

One ASG220 HA setup disappeared for us, and no people on site.
After approx a week !!!, It re-appeared again....for 2 hours, and then gone again.

During the time it was up/reachable, I could surf into webadmin, and uptime, etc was NOT pointing to any issues. It had been up for approx 2 months since last update.
So, from there, we tried talking to the ISP who keep stating that the connection IS up and they can't see any problems.

And, now, here's the intresting/funny part;
According to the ISP (Today), they can see the Mac-Address OK with trafic going in and out. Mac-address "00-17-c5-68-7c-f9"

That serie; 00-17-c5,,etc,, is SonicWall ???

We are 100% sure that WE do not have a SonicWall, so,
either it would be the Astaro using some kind of faked mac-address which sounds very unlikely ??,,, or else, someone in the same building has hi-jacked the connection to the internet somewere else in the building but outside the office.

That sounds unlikely to though since it would require that "someone" to know ipaddress, mask, gate, etc to be able to bypass our Astaro and put in their SonicWall instead...


So,, (sorry for long message) the question really is;
Is it in ANY way possible for a ASG220/HA to be seen as a SonicWall box 
with that mac-address ??


This thread was automatically locked due to age.
  • It is possible to fake a mac address on an interface if you have root access to the box, but it is more likely that your ASG has been taken offline and another gateway/firewall has been installed.

    Is the internet connection only used by you or is it a shared service used by multiple offices ? if it is your connection and you are sure that the mac address is not coming from your ASG then I would ask the ISP to block the mac address and then investigate further. If you are using a shared internet connection then the building IT may have put another office on your VLAN or IP range.
  • It may also be time to do a physical visit to that office to see what's going on.  Without doing this, you'd only be guessing at the root cause.
  • Thanks both...

    Well, the timing is bad. Vacation time and the office we're talking about is closed and no ones there, and haven't been there for more than a week. So, we know for sure that any changes has NOT been at the office.

    My guess is that it's something with either the ISP and their setup/vlan or whatever.
    Other option would be as suggested above, something simply connected their stuff instead of our Astaro's. BUT, this then would have to be somewere in the same building but NOT inside our office were the ASG's are.

    Also, for someone to be able to disconnect the Astaro's and then use their own SonicWall instead would require them to somehow find out both the IP, mask, gate,etc to have any use of the line since it's a static IP........

    Probably true, a onsite visit is required....approx 700km's away up north......
  • well some additional strangeness.......

    Today, late afternoon, we again had access OK to the ASG's.
    I was in checking everything, and everything looked OK. Uptime fine,etc,,etc
    So,, I decided to update them from 7.504 to 7.505 since no ones there...

    But,, nope,, gone again, dl ok, started install, looked ok, then,,,,no ASG's reachable...

    This IS really getting more strange by the min.....

    Worth noting;
    We have 7 other offices with the same setup, 2xASG220 /HA and we have NOT hade this issues.
  • Next time you get connectivity, try to download some log info for offline viewing.  Definately get the configuration daemon log.  Another one, good for narrowing down connectivity issues, is the up2date messages.  If you have up2date set to run every 15 minutes like many people, it gives you a quick and dirty view of connectivity loss over time.  An executive report can help with this as well.  See if there's a pattern.  
     
    At an office of an employer of mine we had a bank of computers that would shut down every night.  Management took it upon themselves to have an expensive electrician come in who began rooting around for shorts.  I looked in the system logs and saw that the computers were being shut down at about the same time each night...the janitorial person was unplugging pdu's to plug in her vaccuum.
  • My though also,, checking the logs,
    I actually just had time to look at service_monitor.log.
    When not working, it states;
    plugin_trace: Can't resolve l.root-servers.net, using static IP address

    When it's working again, it states;
    plugin_trace: [83.219.211.201] HOP 4 194.68.128.187 pingable
    etc,etc,,
  • So, it remains running during these times which is good. 
     
    What's the WAN connection? T-1 to a DMARC (smart jack) to an ISP router to you?
     
    BTW, as an aside and something you can work on while figuring this issue out, since you have multiple Astaro boxes, you NEED Astaro Command Center.  Centralized reporting, monitoring, and access.  It can go on any old PC that's laying around and did I mention that it's FREE.  http://www.astaro.com/landingpages/en-worldwide-free-acc.
  • Are you using DHCP on any of these WAN interfaces? I've seen situation where cable modem service providers that get their DHCP reservation tables scrambled for customers who are supposed to have "static" (technically, it's DHCP with a reservation that should never change) IPs ... their IPs change unexpectedly.
  • Also.... just to see, I looked at a couple of different ASG220 Rev.2 and Rev.3 boxes... all had MAC addresses that started out as 00:1a:8c  ...  so not likely for that range to be any different.