Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 3 subscribers
  • Views 9698 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Serious Issues with Both ASG220 and Astaro Support

tank
I have been having problems left and right with the pair of ASG220 we use in our production environment.  We have 2 because we need HA.  However without HA our site would go down probably once a week.  Note I do not use the HTTP Proxy and have it disabled.  For the most part the FW is used only for packet filtering and IPS.  VPN is used only by 2 people and used at most once a month.

At least once a week one of the ASG have to be rebooted either because some process is constantly failing or the machine flat out crashes. Up until yesterday the HA system worked and the slave took over.  However yesterday the Master crashed, the slave took over however when it took over it had an identity crysis and keep flip flopping back from Master to Slave crippling our system and required a power cycle to fix.  Note these devices reside in a data center 40 minutes away so power cycling is not a simple fix.

Yesterday when I went to submit yet another trouble ticket the trouble ticket system gave me a 404.  So I called and was sent to voicemail, have not heard back yet.

I have submitted multiple trouble tickets over the past year and not once has one been resolved.  I have used Astaro products since V2 and greatly enjoyed them, however V7 and the ASG220 is one of the worst products I have ever experienced.

To date I have had issues with constant ctsync service failing, smtp service failing, when the moons do not align right for the HA during start up I get double report emails (one from the slave),  I have never been able to rely on the dashboard statistics they seem to always get stuck.  And all of these problems have been reported at least once, most of them many many times.  I have given direct access to our Firewalls to the Astaro engineers on more than one occasion.  I think that actually did help solve one problem with pfilter taking down the machine.  But as you can see I still have many many more problems and support seems to be steadily getting worse with Astaro.  Support a year ago I thought was great, I could handle the issues when I knew Astaro was willing to help.  However getting left in the cold makes these problems very difficult to swallow.


This thread was automatically locked due to age.
Parents
  • 0
    These are the reasons i don't want to upgrade any of my ASG 220's yet to v7.

    Last time I called support on an ASG 120, I felt in the cold.

    And the HA experiences I have had with v5 , and v6 make me afraid to go to v7. I am tired of losing the slave machine in the HA cluster, and having to get it rebooted.

    Or the best is when slave and master lose their identities, and end up fighting over the master role, which kills all 60 site to site tunnels, and network traffic goes crazy because of mac address/ip address mismatches.

    Support used to be great to go to, and I have also been a long time user since v1.8, so I do have a baseline to go on here.
  • 0 in reply to ReD-MaN
    Hmmmm. Well... so far my HA experience at a client site on V7 was pretty good. V6 HA sucked because of what you've stated. However, V7's has been easy to set up, and when tested, failed over roughly in the same amount of time (missed two pings, so, a few seconds maybe) as the two PIX sitting next to them.  This one is working well, so we'll be moving others in that direction. 

    I have to ask, have either of you done a complete re-install of the software image from CD? I don't mean factory reset, I mean a complete re-install, the re-apply your configs.
  • 0 in reply to psaratoga
    My License is about to expire.

     
     I too had tickets that went unsolved and I cannot believe that I have to leave a message knowing darn well I will never get a call back. It seems when they cannot figure it out they simply close the case. I still cannot change my POP3 password with prefetch turned on. They just closed the case with no explanation. I did get a PM on this site regarding my issue with a promise to look into my issue…..Well after I replied “thanks” I never heard back then I received an email my case was closes[:@]





    Rant Over



    Passwords cannot be changed with prefetch turned on. This is completely true. the reason being that astaro stores user name/pwds in a db file, and than uses it to access the pop3 server.  (it's called security-hello? ) 
    So basically, what you do is.. turn OFF prefetch, change your password/reauthorize to the pop3 server, enable  prefetch again. And I bet dollars to doughnuts a support engineer told you that to. 

     
    My rant over. !
  • 0 in reply to BrucekConvergent
    Crap, had a nice long reply worded up but then Firefox crashed. [:(] Here's the short(ish) version:

    1. Have you guys with open support tickets also posted in the forum? Would be informative to get more information on these cases.

    2. Bruce's note about sufficient hardware rings true - We have not had any reliability issues with Astaro that haven't been traced back to faulty hardware. Anecdotally, it does seem that we've had more hardware issues with our firewalls than other servers, perhaps Astaro pushes the hardware more? Our busiest Astaro install is a HA install running v6, it protects a group of servers and web servers handling millions of hits a day and gigabytes of traffic on a 10Mbps pipe without issue, but we do not use IPS here. We do use IPS for our office-type Astaro deployments and use the smtp/http proxies and a bit of anti-virus for smtp.

    3. On one hand, it is refreshing to see some new enthusiasm from Astaro with this latest v7.1 beta and a very high level of activity from them on the forum to go with it. On the other, I think it would serve their best interests to also make sure that any existing support requests get taken care of satisfactorily.

    4. We have had 3 issues with Astaro support where we weren't satisfied with their response. Once was after upgrading a system from v5 to v6, we found the RAID controller was no longer supported (I think it was a DAC960 which used the megaraid driver). Astaro basically said you're SOL, even though we know that a driver update should fixed it (it was a well known issue at the time with that particular card).

    The other is that we have issues with VPN reliability when there are multiple VPNs between the same endpoints. If the connection goes down, sometimes one or more of the VPNs will go down and get stuck in a "trapped" state. Only a manualy stop/start of the VPN fixes this.

    The third is that http range requests are not supported - this breaks our Fedora/CentOS system updates.
    Supposedly v7 may (or should?) fix the last two, but we have not deployed v7 in production anywhere given all the issues we have seen reported with v7.

    Maybe in 2008 we'll think about upgrading some of our systems to v7, but then again, if it ain't broke...
  • 0 in reply to drees
    The hardware requirements (other than memory) seem to be less in Version 7 -- that has been my observation so far.  I will also say that 7.011 does seem to be very stable in terms of the VPN issues that drees mentions above (they did fix that... they changed to a different IPSEC gateway engine in Version 7) -- 

    7.100 (I'm one of the brave beta testers) has promise, particularly from the much improved AD integration and http proxy... drees, you ought to check it out (if you haven't already).

    All that said, if you are either building your own Astaro gateway, or buying an Astaro appliance, make sure you get one that has enough ram (this is most important, frankly), processor, and hard drive performance to handle the job.

    Oh, and I trust 7.011 enough that I've migrated almost all of my customers over to it. The ones that remain are ones that I just haven't had time to migrate yet.  No serious issues thus far with 7.011, at least with my clients.
  • 0 in reply to BrucekConvergent
    Bruce, I am suprised you were able to convert your customers who use the http proxy over. I am dying to get 7.1 as I have 2 customers who want to back to 6.x due to the proxy. and a few others that I still have not converted.
  • 0 in reply to BrucekConvergent
    7.100 (I'm one of the brave beta testers) has promise, particularly from the much improved AD integration and http proxy... drees, you ought to check it out (if you haven't already).

    Thanks for the feedback Bruce. I do need to check it out, but recently other priorities have surfaced and since v6 is 98% reliable right now (only issue is the occasionaly VPN restart mentioned earlier) there's not much motivation to upgrade yet or do beta testing. Maybe when 7.100 is out and stable we'll look into upgrading again, but I have a feeling we won't be upgrading until either we need to reinstall for some reason or we run into a situation where v7 fixes a critical issue that can't be fixed in v6.
  • 0 in reply to drees
    I would love to migrate my boxes to v7. BUT, since it doesn't bring over the ipsec configurations, that is holding me back until I have a free 2 weeks or so per location. 

    I have over 60 tunnels on each cluster, which will take a lot of time to re-create.
  • 0 in reply to ReD-MaN
    Oh yeah.. I know an ASG220 can be low powered, but for example here is an office of mine with under 75 users. Running ipsec tunnels, IPS, and basic smtp proxy. No http, or virus scanning. Yet look at these stats:

    top - 19:26:36 up 6 days,  7:12,  1 user,  load average: 3.13, 3.26, 3.20
    Tasks:  82 total,   3 running,  77 sleeping,   0 stopped,   2 zombie
    Cpu(s): 64.1% us, 30.6% sy,  0.3% ni,  0.0% id,  0.0% wa,  0.7% hi,  4.3% si
    Mem:    515432k total,   411732k used,   103700k free,    31844k buffers
    Swap:  1048816k total,   359068k used,   689748k free,    92476k cached

      PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    18700 root      25   0 64676  55m 2076 R 45.2 11.1   2893:45 confd
    18722 root      18   0 65640  45m 1632 S 21.6  9.1 754:30.15 mdw_daemon.pl
    19281 root      15   0 95788  24m  472 S  3.3  4.9 174:39.01 snort_inline
    19883 root      16   0 99520  31m 2072 S  2.3  6.3  83:55.67 dev-agent.plx
     1323 root      15   0  2648 1112  392 S  1.7  0.2  25:12.84 syslog-ng
     2926 root      15   0  6208 1956 1488 S  1.0  0.4  32:29.48 alicd
     3052 root      15   0  1832  752  408 S  0.7  0.1  24:09.16 lcd4linux
    18690 root      15   0 21644 7268 1276 S  0.7  1.4  26:55.92 v4watcher
     4515 root      16   0  1948 1044  816 R  0.7  0.2   0:00.07 top
     3335 root      34  19  3528  880  712 S  0.3  0.2   1:24.71 chk_lbeat.pl
    19753 root      15   0  4328 2372  568 S  0.3  0.5   1:03.75 named
        1 root      15   0   588   68   44 S  0.0  0.0   0:15.08 init
        2 root      34  19     0    0    0 S  0.0  0.0   0:00.36 ksoftirqd/0
        3 root       5 -10     0    0    0 S  0.0  0.0   0:00.02 events/0
        4 root       6 -10     0    0    0 S  0.0  0.0   0:00.07 khelper
       16 root       5 -10     0    0    0 S  0.0  0.0   1:27.67 kblockd/0
       24 root      15   0     0    0    0 S  0.0  0.0   0:00.00 khubd
  • 0 in reply to ReD-MaN
    In your case, the machine is completely CPU bound.

    The confd process and mdw_daemon.pl processes are the top 2 having using huge amounts of CPU time, not only just currently but also historically.

    Since those are configuration processes, it sounds like there is an inefficient loop somewhere in there and you have a configuration which has an abnormally large number of items it.

    Is this one of the firewalls that has 60 VPN connections on it?
  • 0 in reply to drees
    drees, yup. It is actually 59 tunnels right now, with around 30 unique remote hosts.

    Funny thing is, I have almost the same config,minus ip addresses on a pair of ASG 220 running v5 still (yes I know I need to upgrade them!), and here is top from them:

    top - 22:32:42 up 14 days,  5:01,  1 user,  load average: 1.79, 1.81, 1.74
    Tasks:  98 total,   5 running,  90 sleeping,   0 stopped,   3 zombie
    Cpu(s):  27.2% user,   7.3% system,  12.0% nice,  53.5% idle
    Mem:    514540k total,   444472k used,    70068k free,   107864k buffers
    Swap:  1048816k total,   104064k used,   944752k free,   173940k cached

      PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
     1573 root      18   0  2952 2924  116 R 26.6  0.6 358:17.62 nacctd
    21113 root      15   0 46960  29m  13m R  4.0  5.8 329:36.80 snort_inline
      581 root      15   0  1800 1584 1364 S  1.0  0.3  70:45.99 alicd
      786 root      35  19   600  496  412 S  0.3  0.1   6:33.00 chk_lbeat.sh
    12509 root      15   0   960  960  720 R  0.3  0.2   0:00.12 top
        1 root      15   0    84   68   44 S  0.0  0.0   0:09.87 init
        2 root      15   0     0    0    0 S  0.0  0.0   0:00.00 keventd
        3 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd_CPU0
        4 root      15   0     0    0    0 S  0.0  0.0   0:10.99 kswapd
        5 root      15   0     0    0    0 S  0.0  0.0   0:00.00 bdflush
        6 root      15   0     0    0    0 S  0.0  0.0   0:00.23 kupdated
        7 root      15   0     0    0    0 S  0.0  0.0   0:02.25 kinoded
       17 root      15   0     0    0    0 S  0.0  0.0   0:15.76 kjournald
       55 root      18   0     0    0    0 S  0.0  0.0   0:00.00 kjournald
       56 root      15   0     0    0    0 S  0.0  0.0   0:12.36 kjournald
       57 root      15   0     0    0    0 S  0.0  0.0   0:00.00 kjournald
       58 root      15   0     0    0    0 S  0.0  0.0   0:01.15 kjournald
  • 0 in reply to ReD-MaN
    The underpowered hardware idea rings true.

    We run Astaro on desktop PC's, most of which are far superior in terms of CPU and RAM than most of the appliances.  Probably why our ASL's seem to just "work".
Reply Children
  • 0 in reply to Simon Shaw
    The underpowered hardware idea rings true.

    We run Astaro on desktop PC's, most of which are far superior in terms of CPU and RAM than most of the appliances.  Probably why our ASL's seem to just "work".

    Could be, but given that Astaro chose the hardware shipping on the ASGs, you'd think that they'd try a bit more to eke more out of them given their limited CPU/ram/disk power.
  • 0 in reply to drees
    To be honest, the only reason I'd ever buy an appliance is the licensing is a bit cheaper than "DIY" with a desktop box.
    I've never tried it on an Intel CPU either, all my ASL's are AMD CPU.
  • 0 in reply to Simon Shaw
    As for underpowered hardware if that is the case then they should reduce the specs of the ASG220.

    Our site is connected to a 3mb/s burstable connection and we rarely peak that connection.  In fact our avg. throughput is just under 1mb/s, with about 3000 concurrent connections.  We do not use http proxy and only use the SMTP proxy for a small amount of incoming email which is mostly just bounced email.  VPN is used only by me and one other admin and is used only when we are out of the office.
  • 0 in reply to tank
    Oh still have not received word back from Astaro.  I even called Astaro sales because they actually answer the phone.  The support ticket system is still currently down and has been down since last week.
  • 0 in reply to tank
    Oh still have not received word back from Astaro.  I even called Astaro sales because they actually answer the phone.  The support ticket system is still currently down and has been down since last week.




    The support ticket system does not appear to be down at all, and was only down for one morning as far as I can tell. Perhaps you should try entering a ticket again?
  • 0 in reply to hobycat
    The support ticket system does not appear to be down at all, and was only down for one morning as far as I can tell. Perhaps you should try entering a ticket again?


    I did try several times.

    I finally got some support attention and hopefully will have some fixes put into place.  Also Astaro confirmed that the support ticket system was not working properly, the landing page moved so if you used the old landing page that is coded into the Astaro UI.  If I go directly to my.astaro.com I get a 404.
  • 0 in reply to tank
    I did try several times.

    I finally got some support attention and hopefully will have some fixes put into place.  Also Astaro confirmed that the support ticket system was not working properly, the landing page moved so if you used the old landing page that is coded into the Astaro UI.  If I go directly to my.astaro.com I get a 404.



    Hmm wierd. I go to my,astaro.com all the time . but I have partner access so maybe why it was working for me.
  • 0 in reply to hobycat
    Hmm wierd. I go to my,astaro.com all the time . but I have partner access so maybe why it was working for me.


    I just got an email from Support saying that my.astaro.com is now fixed.