CPU usage at 99% constanly

Another thing that bothers me is ftp-downloas stalling every few seconds, so I only get half the effective transfer rate I could have.
The transfer rate drops from my line max (T-DSL) down to zero (!) and then rises back up ...

I had tested this with a DL from the ISP, using FlashGet with 10 parallel connections.
With my old firewall (Mandrake SNF) on a much slower CPU I didn't have this issue!

It seems the problem is not ftp-related its the connection stalling.
Playing any 1st person shooter such as Q3 is virtually impossible ...
I cannot confirm this to be ASLs fault, unless turning back to my old configuration!

Anyone else having this problem with a PPPoE connection?

yes, i have 2 ASL 3.2 and have the same problem.  what bothers me more is the mdw deamon takes the system with it, what should be watched by the superdaemon script.  the other "Key" indicater is that the VPN keeps trying to rekey for an UNLIMITED amount of trys.. hmm.. i would think after 5 attempts, a message should be generated.  fortunately i noticed this before anyone was in the office.

231 ?        R    1019:04 ./mdw_deamon.pl

Jun 16 12:07:50 fred Pluto[14998]: "VPN_1" 217.xxx.xxx.xxx #232: starting keying attempt 88 of an unlimited number
Jun 16 12:07:50 fred Pluto[14998]: "VPN_1" 217.xxx.xxx.xxx #233: initiating Main Mode to replace #232
 
 [size="1"][ 16 June 2002, 06:54: Message edited by: Tmor ][/size]

just to elaberate a bit.. i have 5 ASL 3.2 that i am testing.  i seem to only experience this problem with the Dynamic IP ones that have VPN connections.

as for a cure, i dont have one either, but a reboot is a bit dramatic.  i was able to do a simple "kill -HUP" which restarted the network.

once again, this is a basic problem that should be caught by the ?watcher_daemon? and should be restarted automatically...

the PPPoE interface which was showing as DOWN in the Webadmin (even though i was connected through it) is back in an UP status and my VPN build itself again..

Could it be a problem with the way Dynamic IP and IPSec are working together?
 
 [size="1"][ 16 June 2002, 07:05: Message edited by: Tmor ][/size]

I don't use VPN and the logs don't show anything unusual, so I cannot say anything here.

Since the last reboot (about 24h ago) my CPU is at an average of 20%.
So far so good. But these stalls are annoying!!!

I also see alot of errors on eth0 (LAN) and eth1 (DSL) in the Network Reporting.
The kernel.log shows alot of drops which I cannot explain.

Can the connection speed/type of the NICs be set explicitly somewhere???

Even 20% is rather high.

Firewall should be running at 1-5% CPU usage.
If you are running at 20% and someone tries a DoS attack your CPU will get pegged.

Do you happen to have a rule that has a source/destination of one of the interfaces? It appears that is where the problem is.  According to Astaro this is a known BUG and a fix will be issued shortly.
 
 [size="1"][ 17 June 2002, 08:07: Message edited by: Tmor ][/size]

Simon: this is an old PPro200/1024 with 192MB serving a small home network with 2-3 active clients.
If 20% is a concern, I'm really astonished about ASLs ressource demands! Formerly I had SNF 7.2 running on a P5-133 with only 48MB w/o any problems! But I think I don't have been DoS'ed so far ...

Tmor: Yes, I have some NAT rules pointing to the external interface. What is the best workaround?

Yes, I've got a home firewall which is a dual CPU PPro 200 with 96MB of RAM.  CPU use is about 20% at idle.

Previous version to 3.X used to idle at 5% or under.

hmm.. hard to say without knowing your config, however you have to delete the rules pointing to the "eth_X" interfaces. as a work around i did the following:

Originally i had a rule that pointed to the Internal Interface, dropping packets from the external (which shouldnt happen anyway).  I simply deleted the interface rule and added a Network rule.  The External interface is a bit more tricky because (to the best of my knowledge) you cant "Bind" a rule to the ppp0 interface.

Hi all,

the high CPU load is a known issue (Known Issue list  will be immediatly updated).

Workaround:
Don't use the static definitions for local interface ip's and interface networks, which have the form:
_Interface__
_Network__

Daniel Stutz