Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 3 subscribers
  • Views 9691 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Serious Issues with Both ASG220 and Astaro Support

tank
I have been having problems left and right with the pair of ASG220 we use in our production environment.  We have 2 because we need HA.  However without HA our site would go down probably once a week.  Note I do not use the HTTP Proxy and have it disabled.  For the most part the FW is used only for packet filtering and IPS.  VPN is used only by 2 people and used at most once a month.

At least once a week one of the ASG have to be rebooted either because some process is constantly failing or the machine flat out crashes. Up until yesterday the HA system worked and the slave took over.  However yesterday the Master crashed, the slave took over however when it took over it had an identity crysis and keep flip flopping back from Master to Slave crippling our system and required a power cycle to fix.  Note these devices reside in a data center 40 minutes away so power cycling is not a simple fix.

Yesterday when I went to submit yet another trouble ticket the trouble ticket system gave me a 404.  So I called and was sent to voicemail, have not heard back yet.

I have submitted multiple trouble tickets over the past year and not once has one been resolved.  I have used Astaro products since V2 and greatly enjoyed them, however V7 and the ASG220 is one of the worst products I have ever experienced.

To date I have had issues with constant ctsync service failing, smtp service failing, when the moons do not align right for the HA during start up I get double report emails (one from the slave),  I have never been able to rely on the dashboard statistics they seem to always get stuck.  And all of these problems have been reported at least once, most of them many many times.  I have given direct access to our Firewalls to the Astaro engineers on more than one occasion.  I think that actually did help solve one problem with pfilter taking down the machine.  But as you can see I still have many many more problems and support seems to be steadily getting worse with Astaro.  Support a year ago I thought was great, I could handle the issues when I knew Astaro was willing to help.  However getting left in the cold makes these problems very difficult to swallow.


This thread was automatically locked due to age.
Parents
  • 0
    These are the reasons i don't want to upgrade any of my ASG 220's yet to v7.

    Last time I called support on an ASG 120, I felt in the cold.

    And the HA experiences I have had with v5 , and v6 make me afraid to go to v7. I am tired of losing the slave machine in the HA cluster, and having to get it rebooted.

    Or the best is when slave and master lose their identities, and end up fighting over the master role, which kills all 60 site to site tunnels, and network traffic goes crazy because of mac address/ip address mismatches.

    Support used to be great to go to, and I have also been a long time user since v1.8, so I do have a baseline to go on here.
  • 0 in reply to ReD-MaN
    Hmmmm. Well... so far my HA experience at a client site on V7 was pretty good. V6 HA sucked because of what you've stated. However, V7's has been easy to set up, and when tested, failed over roughly in the same amount of time (missed two pings, so, a few seconds maybe) as the two PIX sitting next to them.  This one is working well, so we'll be moving others in that direction. 

    I have to ask, have either of you done a complete re-install of the software image from CD? I don't mean factory reset, I mean a complete re-install, the re-apply your configs.
  • 0 in reply to psaratoga
    I think Astaro should take these issues very seriously. I have an open case since August with PBR and I do not have a sollution yet.
    I have paid for platinum support and the support just plain sucks!
    The best thing is that the told me "It's not a bug, it's a feature" although they have confirmed last month it is a bug.

    Astaro if you read this, think about what your costumers want and if you care or not. Ma License expires next Julyand I am seriously checking other UTM sollutions.
  • 0 in reply to jenZ
    I spent last year fighting with Astaro's incompetent and unprofessional support about HA issues with ASG220.

    The datacenter we are using surely knows the quality of Astaro's products, since they had to reboot the devices with power switch approximately once a week for months.

    We upgraded to ASG320 last summer and the problems stopped, but now we're waiting for a RMA replacement unit because one of those ASG320 units just died. I really don't care what's the reason - I just want working firewalls.

    Just few minutes ago I tried to install configuration backup from v6 to our v7 120 and it seems that the configuration import isn't that reliable. It seems that editing old users or adding new ones will corrupt the user database and prevent anyone from logging in.

    So yeah, I won't recommend Astaro's products to anyone - on the contrary, I've warned people from buying them. If these current problems won't get solved either through support or new up2dates, I'm quite sure we'll either go back to using 100% open source solutions, or buy juniper/checkpoint.
  • 0 in reply to dissatisfied_businessuser
    Interesting.

    I've never used an Astaro appliance, and no HA failover since normally I never have an issue with Astaro.  (Uptimes of 100+ days, rebooting only for patches etc).
    I run ASL on a high end desktop PC though.

    I must admit, support is lacking.  Our local Aussie reseller aren't great for support and email support is with the USA, so normally I get out one query and reply a day since I'm asleep when they are awake.

    A pickup on support would be appreciated.  It's not like Astaro is that cheap anymore.
    The product to me seem's excellent.  On a PC.
  • 0 in reply to dissatisfied_businessuser
    We have a pair of ASG220's running HA Passive in a DATA centre Vrsion 7 Updtime is MONTHS !! so guess you had HArdware issues as the systems we have installed are OK.. OU ASG220 (in a data centre) has an uptime of 80+ days on Ver 7.011
    HA on Ver 6 was "tricky" on 7 it is simple.
    We upgraded a V6 to V7 system ASG220 again and all the appropriate configs came over as per docs ...

    There seems to be an issue with ASG425's and the sensory card in HA/HA active... ALL on V 7 ,,,
  • 0 in reply to RufusToofus
    We have a pair of ASG220's running HA Passive in a DATA centre Vrsion 7 Updtime is MONTHS !! so guess you had HArdware issues as the systems we have installed are OK.. OU ASG220 (in a data centre) has an uptime of 80+ days on Ver 7.011
    HA on Ver 6 was "tricky" on 7 it is simple.
    We upgraded a V6 to V7 system ASG220 again and all the appropriate configs came over as per docs ...

    There seems to be an issue with ASG425's and the sensory card in HA/HA active... ALL on V 7 ,,,


    What rev. hardware do you have?  I currently am using two ASG220 rev1.

    Roughly how much traffic do you process?  And how many rules?

    We have 25 rules, and process about 5,000 hits an hour.  Not really high volume here.
  • 0 in reply to tank
    It sounds to me (without knowing intimate details about the networks involved) as if the issues you all are having may be becuase the unit is undersized / underpowered... a 220 just isn't capable of handling large amounts of traffic (say, for a small datacenter, etc.), especially if you have other features turned on (http proxy, smtp proxy, etc.)... especially since one of you mentions upgrading to a 320 fixing the problem.

    I've run across this before, where people buy a 220 when they should be running something larger; I recently upgraded a data center (not my customer originally) that was trying to make a 220 cope with a 10MB pipe with all features enabled... they were upgraded to a 425a and the problems went away.

    I'm not saying this definitively always the answer, but I've seen this kind of issue quite a bit.
  • 0 in reply to psaratoga
    My License is about to expire.

     
     I too had tickets that went unsolved and I cannot believe that I have to leave a message knowing darn well I will never get a call back. It seems when they cannot figure it out they simply close the case. I still cannot change my POP3 password with prefetch turned on. They just closed the case with no explanation. I did get a PM on this site regarding my issue with a promise to look into my issue…..Well after I replied “thanks” I never heard back then I received an email my case was closes[:@]





    Rant Over



    Passwords cannot be changed with prefetch turned on. This is completely true. the reason being that astaro stores user name/pwds in a db file, and than uses it to access the pop3 server.  (it's called security-hello? ) 
    So basically, what you do is.. turn OFF prefetch, change your password/reauthorize to the pop3 server, enable  prefetch again. And I bet dollars to doughnuts a support engineer told you that to. 

     
    My rant over. !
  • 0 in reply to BrucekConvergent
    Crap, had a nice long reply worded up but then Firefox crashed. [:(] Here's the short(ish) version:

    1. Have you guys with open support tickets also posted in the forum? Would be informative to get more information on these cases.

    2. Bruce's note about sufficient hardware rings true - We have not had any reliability issues with Astaro that haven't been traced back to faulty hardware. Anecdotally, it does seem that we've had more hardware issues with our firewalls than other servers, perhaps Astaro pushes the hardware more? Our busiest Astaro install is a HA install running v6, it protects a group of servers and web servers handling millions of hits a day and gigabytes of traffic on a 10Mbps pipe without issue, but we do not use IPS here. We do use IPS for our office-type Astaro deployments and use the smtp/http proxies and a bit of anti-virus for smtp.

    3. On one hand, it is refreshing to see some new enthusiasm from Astaro with this latest v7.1 beta and a very high level of activity from them on the forum to go with it. On the other, I think it would serve their best interests to also make sure that any existing support requests get taken care of satisfactorily.

    4. We have had 3 issues with Astaro support where we weren't satisfied with their response. Once was after upgrading a system from v5 to v6, we found the RAID controller was no longer supported (I think it was a DAC960 which used the megaraid driver). Astaro basically said you're SOL, even though we know that a driver update should fixed it (it was a well known issue at the time with that particular card).

    The other is that we have issues with VPN reliability when there are multiple VPNs between the same endpoints. If the connection goes down, sometimes one or more of the VPNs will go down and get stuck in a "trapped" state. Only a manualy stop/start of the VPN fixes this.

    The third is that http range requests are not supported - this breaks our Fedora/CentOS system updates.
    Supposedly v7 may (or should?) fix the last two, but we have not deployed v7 in production anywhere given all the issues we have seen reported with v7.

    Maybe in 2008 we'll think about upgrading some of our systems to v7, but then again, if it ain't broke...
  • 0 in reply to drees
    The hardware requirements (other than memory) seem to be less in Version 7 -- that has been my observation so far.  I will also say that 7.011 does seem to be very stable in terms of the VPN issues that drees mentions above (they did fix that... they changed to a different IPSEC gateway engine in Version 7) -- 

    7.100 (I'm one of the brave beta testers) has promise, particularly from the much improved AD integration and http proxy... drees, you ought to check it out (if you haven't already).

    All that said, if you are either building your own Astaro gateway, or buying an Astaro appliance, make sure you get one that has enough ram (this is most important, frankly), processor, and hard drive performance to handle the job.

    Oh, and I trust 7.011 enough that I've migrated almost all of my customers over to it. The ones that remain are ones that I just haven't had time to migrate yet.  No serious issues thus far with 7.011, at least with my clients.
  • 0 in reply to BrucekConvergent
    Bruce, I am suprised you were able to convert your customers who use the http proxy over. I am dying to get 7.1 as I have 2 customers who want to back to 6.x due to the proxy. and a few others that I still have not converted.
Reply Children
No Data