V7.005 users

One of our engineers, in testing this on his home network, found the same problem...

Also, check this out (for those of you thinking about converting to Version 7 using a config from Version 6); if you have additional IPs defined on an Ethernet Interface on a Version 6 config, then import it using the wizard on Version 7.005 -- it brings the IPs over, but makes them non-deletable and non-editable... I've opened a ticket with Astaro on this.

One of our engineers, in testing this on his home network, found the same problem...

Also, check this out (for those of you thinking about converting to Version 7 using a config from Version 6); if you have additional IPs defined on an Ethernet Interface on a Version 6 config, then import it using the wizard on Version 7.005 -- it brings the IPs over, but makes them non-deletable and non-editable... I've opened a ticket with Astaro on this.

While this is true, it's only fair to mention that while the additional interfaces can neither be edited nor deleted, any NAT rules that you had setup in v6 still function.  I have over 20 such interfaces setup, and they still route traffic as advertised.

I have seen where everyone is complaining about this, but if anyone ever mentioned that they still work I must have missed it.

I setup those interfaces over a year ago and to date, I have never had the need to edit them.

Maybe I'm the exception to the "set it and forget it" rule?

RE: the non-editable additional IP Addresses issue; Robert, it is an issue if the system is placed on a different IP range at some point (change in ISPs, etc...) I like to make think about the future!  RedMan; I've found that they did fix the issue in Version 7.006... I don't know if up2dating to this version on your client that you've already upgraded will fix it; I only tested it by importing a V6 config after getting 7.006 installed.

Bruce - I imported the file before reading that it would lock the interfaces as they were, but even knowing that I would still import it today knowing that as opposed to having to restart from scratch.  I can only "ass-u-me" that Astaro will have this fixed long before I switch ISPs.

the only catch is the unknown; will the up2date fix the issue after the import? or does one have to re-import the V6 config and re-do all the things that the V6 import doesn't configure?  Do we still have the V6 config?  I guess you can see where I'm going with this... it's why we tested it out, and when we saw the problem, we pushed back any customer migrations.  I have not tested up2dating over the top of a configuration that is goofed up in this manner to see if it makes the interfaces editable and deletable;  I'd be interested to know if anyone has tried that yet.

I imported the v6 config into 7.005, which caused the interfaces to be non-editable.  I have since up2dated to 7.006 over the top of this, which did not fix anything.

Everyone has their own issues, but for me, the non-editing of these interfaces is not a problem.  Here at school, we are pretty stable when it comes to ISPs and our range of IP addresses.

My issues with it are the fact that I can no longer have groups assigned to other groups.  This is something I very much want.  I have 12 remote sites connecting back through this box, and every site has a "No Restrictions" group.  I want to be able to assign these 12 groups to a "Master Group" so I don't have to list them individually.

Your issue appears to be the ability to edit these interfaces, something I am not likely to have to do in the next year.

William appears to have a issue with the fact that Bittorrent appears to take down his firewall.  Running bittorrent here at the school is a "Bad Thing" and could land you in detention.  Again, a issues that doesn't affect me.

These are all valid issues, just not something that would cause me not to go to v7, and for sure it isn't enough of a issue to make me type the whole thing in from scratch.

In the 5 years I have been using the Astaro firewall, they have yet to leave me swinging in the breeze.  I have faith that these issues will be addressed, and am willing to wait on it.

The kids at our high school absolutely hate the word "Astaro".  This makes me beleive that it's doing it's job very well.  :-)

I don't doubt that Astaro will fix these issues; I was just stating for the benefit of others the reason why the problem with the migration could be a real issue for them now or in the future.

BTW, good to hear that the product is taking care of business at your school...

I imported the v6 config into 7.005, which caused the interfaces to be non-editable.  I have since up2dated to 7.006 over the top of this, which did not fix anything.

Everyone has their own issues, but for me, the non-editing of these interfaces is not a problem.  Here at school, we are pretty stable when it comes to ISPs and our range of IP addresses.

My issues with it are the fact that I can no longer have groups assigned to other groups.  This is something I very much want.  I have 12 remote sites connecting back through this box, and every site has a "No Restrictions" group.  I want to be able to assign these 12 groups to a "Master Group" so I don't have to list them individually.

Your issue appears to be the ability to edit these interfaces, something I am not likely to have to do in the next year.

William appears to have a issue with the fact that Bittorrent appears to take down his firewall.  Running bittorrent here at the school is a "Bad Thing" and could land you in detention.  Again, a issues that doesn't affect me.

These are all valid issues, just not something that would cause me not to go to v7, and for sure it isn't enough of a issue to make me type the whole thing in from scratch.

In the 5 years I have been using the Astaro firewall, they have yet to leave me swinging in the breeze.  I have faith that these issues will be addressed, and am willing to wait on it.

The kids at our high school absolutely hate the word "Astaro".  This makes me beleive that it's doing it's job very well.  :-)

A security product with a DOS vulnerability isn't just my issue..it's a widespread issue.  One relatively small burst of traffic(in terms of pps) but a sustained flow that the firewall drops(which is what it is supposed to do) that can cause your firewall to go offline is a bad thing.  It doesn't have to be a pipe clogging attack that can knock you offline simply one that make pfilter-reporte have to process more than it can handle..and i have demonstrated that threshold is very low.  It hasn't hit you..that's good.  However this is something that can be executed against the firewall both internally AND externally.  That's the bad part.

William,
how long did your torrent use go for before it had an affect on the ASG performance? One of my kids ran a torrent yesterday, the only spikes are on the network and ips graphs. I have torrent set to "alert".
It was only a short use of a torrent.

Ian M[:S]

I run torrents all the time and have yet to see this issue.....

I'm sorry that your Bittorrent appears to crash/DOS _your_ firewall.  After I made sure that my home system was setup to forward the incoming packets to the correct machine, I saw no problems with it.  As you can see from both ReD_Man and RFCat_vk, theirs appears to be working as well.

Any way, my intent was not to say that your issue was invalid, just that it seems to be the one you are most vocal about.  Hardly a day goes by where you don't mention it in one of your postings. This doesn't make it less valid.

My participation in this thread started because I felt it necessary to point out that the additional interfaces being non-editable was not an issue for me since they appear to work normally, and I did not feel that it was a reason not to import a v6 backup into the v7 system.

It would also appear that there are others out there who have managed to get Bittorrent running behind their firewall without taking down their systems.  So, this would also not be a reason to avoid v7.

I don't want to start a "whizzing contest", but perhaps only a incorrectly setup security device has a DOS vulnerability? I don't know.  

I can take my whole system down by turning on the SMTP and POP proxies.  What do I know about setting one up?

i wish it was an incorrect setup..but it's not..[:)]  if it was a misconfiguration i would say so.  I have been wrong before and admitted such.

i wish it was an incorrect setup..but it's not..[:)]  if it was a misconfiguration i would say so.  I have been wrong before and admitted such.