Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 0 subscribers
  • Views 2577 views
  • Users 0 members are here
Options
Suggested

[8.285][INFO][NONE] Comments on V8.3 beta so far

Vels
Now that we are a little way into the beta period I am beginning to worry about what will be implemented in the final 8.3.

Here is my comments so far.

It seems there is a general bug ( call it what you want - in my world its a bug ) about interface bridge with VLAN's. It appears this will not work with http proxy and with ASG as RED device.
For a very long time it has not been possible to bridge a interface that contains VLAN's - you have to recreate the interface and bridge before assigning the VLAN's to the interface.
The option to create more than one bridge will cripple the use of ASG as RED device in larger networks with more than one segment. Especially if the remote site like mine run 20 VLAN's and my primary site run 25 VLANs - still growing fast. We are using IPSec Site2Site to connect all these segments, but it would be nifty if RED could be used here with high bandwidth and ability to control this many segments. 
The original RED device is brilliant for small scale branch or home office - but I assume the idea of making the ASG able to act RED is to support more bandwidth and more network segments..

Also the documentation in general needs a big boost. Many places not all features are documented and other areas are documented slim to none.

I agree this is the most stabile beta long seen, but my biggest wish it that Astaro will refine some of the core things insted of comming up with new stuff.
Fix the VLAN stuff, Fix the country blocking so this can be defined pr. service or host, fix the documentation  - and so on.

Looking forward to final release, keep up the good work.
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.285
    Type: INFO
    State: NONE
    Reporter: vels
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Also the documentation in general needs a big boost. Many places not all features are documented and other areas are documented slim to none.

    The documentation usually comes with GA. Is there something obvious that you see missing in documentation that was functional before 8.3?

    I agree this is the most stabile beta long seen, but my biggest wish it that Astaro will refine some of the core things insted of comming up with new stuff.
    Fix the VLAN stuff, Fix the country blocking so this can be defined pr. service or host, fix the documentation  - and so on.

    I think that is the main reason that 8.3 got scaled back. They want to improve the core. As far as country blocking... when it was introduced in 8.1 some of us asked for more control. But country block was added because of a feature request and they added what was asked in the request. To get it refined, it will take another feature request. I agree with you though, some of these things can be refined without feature requests.

    Regards
    Bill
  • 0
    Hi,

    thanks for the comments. We are really taking the time to stablize the product with 8.3, and i wanted to make one point there.

    Documentation as always is never final until GA, remember you are using something which isnt yet released to the public, its an early look with things still to be done.

    Lastly, things like "fix country blocking so this can be defined per serivce etc..." is contradicting. Country blocking isnt broken, it works great. You are asking for "more" there, more granularity, more ability, and basically looking for "Features". features are not just new things being added, they are more capabilities, angles, and options on existing things. They still take development and testing, and we are always looking to improve what we have; most releases are a balance of adding new things and bolstering existing stuff.
  • 0
    I hope Angelo comes back to comment...

    Poul, I don't think the RED is faster/more-secure/better than an IPsec VPN using AES-128-PFS, so I wouldn't recommend it in an environment with many different subnets on each side.

    I agree with you that the question about VLANs on bridges is an important one that needs be addressed.  I was thinking about creating a thread about it, so I'm glad to see that you took action!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob is correct, RED doesn't have "advantages" per se over a normal Site-Site VPN using AES (or even SSL).

    Customers ask for more choice in using our technology, sometimes in ways we didnt expect. In this case, it was possible, and we could add it within our timeframe, so it made the cut. It will get some polish and adjustments after release at some point, but hey, another type of VPN which might help in some use cases...
  • 0
    Thanks, Angelo - I know you meant "SSL using UDP" is as good as IPsec using AES. [;)]

    Cheers - Bob
    (Now, if we can just get Westphal to comment on the VLAN issue here...)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    @vels 

    You can use the Asg to Asg RED tunnel via Transfer Network and with OSPF. I tried it and it is running. 

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0 in reply to maygyver
    @vels 

    You can use the Asg to Asg RED tunnel via Transfer Network and with OSPF. I tried it and it is running. 

    Sven


    I agree, that was my first successfull implementation also because I basically did not have enough insight in the way RED works to manually replicate what the "normal" RED setup does.

    That being said, my reason to implement RED might not be full scale with 25+ subnets - but perhaps just connecting the client and/or server lan to allow netbios to work in order to for the users to use network discovery which is a great wish from them. My own personal reason was the ability to broadcast over VPN like DHCP - not for a 24/7 use, but to harden my infrastructure with redundant DHCP's etc on each large office. So if one DHCP server in one office fails, it will pull IP's from a server in a remote site. I figure this could be done by tuning the cost of the lines..

    Many ideas and speculations..

    About the country blocking ( never said it was broken ), I just mentioned it because not long ago I had to block a few countries from some websites, but at the same time mail communication to that country should be allowed. It was pretty time consuming going thru all the CIDR's for those countries and adding them to a network group and manually blocking them in PF. - But thats a nice to have configuration option to country blocking, your right about that.
    In basic you buy a security appliance to secure your network and control the flows. Thats the core and being able to define detailed is not a feature in my opinion. As Astaro doesn't really document manual configuration like Cisco IOS via CLI in contrast to ASDM, most of us are "stuck" with the webinterface which I love and really is the reason for buying Astaro. But it is also limitation to the system, and the reason I mention refined core functionality versus new "cream in the coffee" features like log management or endpoint security. How nice they ever are they boil down to "nice to have".

    However, I agree with all the other voices - bridging VLAN interfaces is a must.

    About the documentation, I am not just talking about the documentation in the beta. Ever since I started using Astaro ( V3 I think ), there have been gaps in the documentation or very slim documentation. That was fine back in the old days with almost only "core" functionality and a great webinterface, but today with more advanced features and ability to support really complex infrastructures it is ever more so important to really know what and how a configuration is made before you press Apply.

    I know the above sounds "negative" - please do not read it that way. I love the products and recommend them whenever I get a chance. The above is to be read more like a end user review and wishes to the product in general ( not feature suggestions ).

    Again .. keep up the good work, you guys makes it possible for me to manage the company network lefthanded while taking care of servers/services with the right.
  • 0
    Hi vels,
    we really appreciate your input concerning the documentation.
    Would you like to open a new thread in the Online Help and Documentation forum?
    Just name the online help topics or chapters you think should be improved and a few keywords concerning the missing content.
    I would like you to love our documentation like you love our products ... [;)]
    Thanks
    heja
  • 0
    Hi Heja,

    Sure - gotta run for weekend now, but will open such a thread soon as a general "documentation update" posting for everyone. It seems I am not the only one that feels that part comes short from time to time..

    Thank you for being positive about it..
Unfiltered HTML