Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 3 subscribers
  • Views 9698 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Serious Issues with Both ASG220 and Astaro Support

tank
I have been having problems left and right with the pair of ASG220 we use in our production environment.  We have 2 because we need HA.  However without HA our site would go down probably once a week.  Note I do not use the HTTP Proxy and have it disabled.  For the most part the FW is used only for packet filtering and IPS.  VPN is used only by 2 people and used at most once a month.

At least once a week one of the ASG have to be rebooted either because some process is constantly failing or the machine flat out crashes. Up until yesterday the HA system worked and the slave took over.  However yesterday the Master crashed, the slave took over however when it took over it had an identity crysis and keep flip flopping back from Master to Slave crippling our system and required a power cycle to fix.  Note these devices reside in a data center 40 minutes away so power cycling is not a simple fix.

Yesterday when I went to submit yet another trouble ticket the trouble ticket system gave me a 404.  So I called and was sent to voicemail, have not heard back yet.

I have submitted multiple trouble tickets over the past year and not once has one been resolved.  I have used Astaro products since V2 and greatly enjoyed them, however V7 and the ASG220 is one of the worst products I have ever experienced.

To date I have had issues with constant ctsync service failing, smtp service failing, when the moons do not align right for the HA during start up I get double report emails (one from the slave),  I have never been able to rely on the dashboard statistics they seem to always get stuck.  And all of these problems have been reported at least once, most of them many many times.  I have given direct access to our Firewalls to the Astaro engineers on more than one occasion.  I think that actually did help solve one problem with pfilter taking down the machine.  But as you can see I still have many many more problems and support seems to be steadily getting worse with Astaro.  Support a year ago I thought was great, I could handle the issues when I knew Astaro was willing to help.  However getting left in the cold makes these problems very difficult to swallow.


This thread was automatically locked due to age.
Parents
  • 0
    These are the reasons i don't want to upgrade any of my ASG 220's yet to v7.

    Last time I called support on an ASG 120, I felt in the cold.

    And the HA experiences I have had with v5 , and v6 make me afraid to go to v7. I am tired of losing the slave machine in the HA cluster, and having to get it rebooted.

    Or the best is when slave and master lose their identities, and end up fighting over the master role, which kills all 60 site to site tunnels, and network traffic goes crazy because of mac address/ip address mismatches.

    Support used to be great to go to, and I have also been a long time user since v1.8, so I do have a baseline to go on here.
  • 0 in reply to ReD-MaN
    Hmmmm. Well... so far my HA experience at a client site on V7 was pretty good. V6 HA sucked because of what you've stated. However, V7's has been easy to set up, and when tested, failed over roughly in the same amount of time (missed two pings, so, a few seconds maybe) as the two PIX sitting next to them.  This one is working well, so we'll be moving others in that direction. 

    I have to ask, have either of you done a complete re-install of the software image from CD? I don't mean factory reset, I mean a complete re-install, the re-apply your configs.
  • 0 in reply to drees
    The hardware requirements (other than memory) seem to be less in Version 7 -- that has been my observation so far.  I will also say that 7.011 does seem to be very stable in terms of the VPN issues that drees mentions above (they did fix that... they changed to a different IPSEC gateway engine in Version 7) -- 

    7.100 (I'm one of the brave beta testers) has promise, particularly from the much improved AD integration and http proxy... drees, you ought to check it out (if you haven't already).

    All that said, if you are either building your own Astaro gateway, or buying an Astaro appliance, make sure you get one that has enough ram (this is most important, frankly), processor, and hard drive performance to handle the job.

    Oh, and I trust 7.011 enough that I've migrated almost all of my customers over to it. The ones that remain are ones that I just haven't had time to migrate yet.  No serious issues thus far with 7.011, at least with my clients.
  • 0 in reply to BrucekConvergent
    Bruce, I am suprised you were able to convert your customers who use the http proxy over. I am dying to get 7.1 as I have 2 customers who want to back to 6.x due to the proxy. and a few others that I still have not converted.
  • 0 in reply to BrucekConvergent
    7.100 (I'm one of the brave beta testers) has promise, particularly from the much improved AD integration and http proxy... drees, you ought to check it out (if you haven't already).

    Thanks for the feedback Bruce. I do need to check it out, but recently other priorities have surfaced and since v6 is 98% reliable right now (only issue is the occasionaly VPN restart mentioned earlier) there's not much motivation to upgrade yet or do beta testing. Maybe when 7.100 is out and stable we'll look into upgrading again, but I have a feeling we won't be upgrading until either we need to reinstall for some reason or we run into a situation where v7 fixes a critical issue that can't be fixed in v6.
  • 0 in reply to drees
    I would love to migrate my boxes to v7. BUT, since it doesn't bring over the ipsec configurations, that is holding me back until I have a free 2 weeks or so per location. 

    I have over 60 tunnels on each cluster, which will take a lot of time to re-create.
  • 0 in reply to ReD-MaN
    Oh yeah.. I know an ASG220 can be low powered, but for example here is an office of mine with under 75 users. Running ipsec tunnels, IPS, and basic smtp proxy. No http, or virus scanning. Yet look at these stats:

    top - 19:26:36 up 6 days,  7:12,  1 user,  load average: 3.13, 3.26, 3.20
    Tasks:  82 total,   3 running,  77 sleeping,   0 stopped,   2 zombie
    Cpu(s): 64.1% us, 30.6% sy,  0.3% ni,  0.0% id,  0.0% wa,  0.7% hi,  4.3% si
    Mem:    515432k total,   411732k used,   103700k free,    31844k buffers
    Swap:  1048816k total,   359068k used,   689748k free,    92476k cached

      PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    18700 root      25   0 64676  55m 2076 R 45.2 11.1   2893:45 confd
    18722 root      18   0 65640  45m 1632 S 21.6  9.1 754:30.15 mdw_daemon.pl
    19281 root      15   0 95788  24m  472 S  3.3  4.9 174:39.01 snort_inline
    19883 root      16   0 99520  31m 2072 S  2.3  6.3  83:55.67 dev-agent.plx
     1323 root      15   0  2648 1112  392 S  1.7  0.2  25:12.84 syslog-ng
     2926 root      15   0  6208 1956 1488 S  1.0  0.4  32:29.48 alicd
     3052 root      15   0  1832  752  408 S  0.7  0.1  24:09.16 lcd4linux
    18690 root      15   0 21644 7268 1276 S  0.7  1.4  26:55.92 v4watcher
     4515 root      16   0  1948 1044  816 R  0.7  0.2   0:00.07 top
     3335 root      34  19  3528  880  712 S  0.3  0.2   1:24.71 chk_lbeat.pl
    19753 root      15   0  4328 2372  568 S  0.3  0.5   1:03.75 named
        1 root      15   0   588   68   44 S  0.0  0.0   0:15.08 init
        2 root      34  19     0    0    0 S  0.0  0.0   0:00.36 ksoftirqd/0
        3 root       5 -10     0    0    0 S  0.0  0.0   0:00.02 events/0
        4 root       6 -10     0    0    0 S  0.0  0.0   0:00.07 khelper
       16 root       5 -10     0    0    0 S  0.0  0.0   1:27.67 kblockd/0
       24 root      15   0     0    0    0 S  0.0  0.0   0:00.00 khubd
  • 0 in reply to ReD-MaN
    In your case, the machine is completely CPU bound.

    The confd process and mdw_daemon.pl processes are the top 2 having using huge amounts of CPU time, not only just currently but also historically.

    Since those are configuration processes, it sounds like there is an inefficient loop somewhere in there and you have a configuration which has an abnormally large number of items it.

    Is this one of the firewalls that has 60 VPN connections on it?
  • 0 in reply to drees
    drees, yup. It is actually 59 tunnels right now, with around 30 unique remote hosts.

    Funny thing is, I have almost the same config,minus ip addresses on a pair of ASG 220 running v5 still (yes I know I need to upgrade them!), and here is top from them:

    top - 22:32:42 up 14 days,  5:01,  1 user,  load average: 1.79, 1.81, 1.74
    Tasks:  98 total,   5 running,  90 sleeping,   0 stopped,   3 zombie
    Cpu(s):  27.2% user,   7.3% system,  12.0% nice,  53.5% idle
    Mem:    514540k total,   444472k used,    70068k free,   107864k buffers
    Swap:  1048816k total,   104064k used,   944752k free,   173940k cached

      PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
     1573 root      18   0  2952 2924  116 R 26.6  0.6 358:17.62 nacctd
    21113 root      15   0 46960  29m  13m R  4.0  5.8 329:36.80 snort_inline
      581 root      15   0  1800 1584 1364 S  1.0  0.3  70:45.99 alicd
      786 root      35  19   600  496  412 S  0.3  0.1   6:33.00 chk_lbeat.sh
    12509 root      15   0   960  960  720 R  0.3  0.2   0:00.12 top
        1 root      15   0    84   68   44 S  0.0  0.0   0:09.87 init
        2 root      15   0     0    0    0 S  0.0  0.0   0:00.00 keventd
        3 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd_CPU0
        4 root      15   0     0    0    0 S  0.0  0.0   0:10.99 kswapd
        5 root      15   0     0    0    0 S  0.0  0.0   0:00.00 bdflush
        6 root      15   0     0    0    0 S  0.0  0.0   0:00.23 kupdated
        7 root      15   0     0    0    0 S  0.0  0.0   0:02.25 kinoded
       17 root      15   0     0    0    0 S  0.0  0.0   0:15.76 kjournald
       55 root      18   0     0    0    0 S  0.0  0.0   0:00.00 kjournald
       56 root      15   0     0    0    0 S  0.0  0.0   0:12.36 kjournald
       57 root      15   0     0    0    0 S  0.0  0.0   0:00.00 kjournald
       58 root      15   0     0    0    0 S  0.0  0.0   0:01.15 kjournald
  • 0 in reply to ReD-MaN
    The underpowered hardware idea rings true.

    We run Astaro on desktop PC's, most of which are far superior in terms of CPU and RAM than most of the appliances.  Probably why our ASL's seem to just "work".
  • 0 in reply to ReD-MaN
    drees, yup. It is actually 59 tunnels right now, with around 30 unique remote hosts.

    Do you have accounting turned on? If so, have you tried turning it off?

    Funny thing is, I have almost the same config,minus ip addresses on a pair of ASG 220 running v5 still (yes I know I need to upgrade them!), and here is top from them:

    top - 22:32:42 up 14 days,  5:01,  1 user,  load average: 1.79, 1.81, 1.74
    Tasks:  98 total,   5 running,  90 sleeping,   0 stopped,   3 zombie
    Cpu(s):  27.2% user,   7.3% system,  12.0% nice,  53.5% idle
    Mem:    514540k total,   444472k used,    70068k free,   107864k buffers
    Swap:  1048816k total,   104064k used,   944752k free,   173940k cached

      PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
     1573 root      18   0  2952 2924  116 R 26.6  0.6 358:17.62 nacctd
    21113 root      15   0 46960  29m  13m R  4.0  5.8 329:36.80 snort_inline
      581 root      15   0  1800 1584 1364 S  1.0  0.3  70:45.99 alicd

    The picture looks a lot better here on v5, but it is still overworked a bit, look at the load average, it's close to 2 and appears to stay that way looking at the 15min avg. What does the output from `vmstat 5` look like over a period of a minute or so on both machines?
  • 0 in reply to Simon Shaw
    The underpowered hardware idea rings true.

    We run Astaro on desktop PC's, most of which are far superior in terms of CPU and RAM than most of the appliances.  Probably why our ASL's seem to just "work".

    Could be, but given that Astaro chose the hardware shipping on the ASGs, you'd think that they'd try a bit more to eke more out of them given their limited CPU/ram/disk power.
Reply
  • 0 in reply to Simon Shaw
    The underpowered hardware idea rings true.

    We run Astaro on desktop PC's, most of which are far superior in terms of CPU and RAM than most of the appliances.  Probably why our ASL's seem to just "work".

    Could be, but given that Astaro chose the hardware shipping on the ASGs, you'd think that they'd try a bit more to eke more out of them given their limited CPU/ram/disk power.
Children
  • 0 in reply to drees
    To be honest, the only reason I'd ever buy an appliance is the licensing is a bit cheaper than "DIY" with a desktop box.
    I've never tried it on an Intel CPU either, all my ASL's are AMD CPU.
  • 0 in reply to Simon Shaw
    As for underpowered hardware if that is the case then they should reduce the specs of the ASG220.

    Our site is connected to a 3mb/s burstable connection and we rarely peak that connection.  In fact our avg. throughput is just under 1mb/s, with about 3000 concurrent connections.  We do not use http proxy and only use the SMTP proxy for a small amount of incoming email which is mostly just bounced email.  VPN is used only by me and one other admin and is used only when we are out of the office.
  • 0 in reply to tank
    Oh still have not received word back from Astaro.  I even called Astaro sales because they actually answer the phone.  The support ticket system is still currently down and has been down since last week.
  • 0 in reply to tank
    Oh still have not received word back from Astaro.  I even called Astaro sales because they actually answer the phone.  The support ticket system is still currently down and has been down since last week.




    The support ticket system does not appear to be down at all, and was only down for one morning as far as I can tell. Perhaps you should try entering a ticket again?
  • 0 in reply to hobycat
    The support ticket system does not appear to be down at all, and was only down for one morning as far as I can tell. Perhaps you should try entering a ticket again?


    I did try several times.

    I finally got some support attention and hopefully will have some fixes put into place.  Also Astaro confirmed that the support ticket system was not working properly, the landing page moved so if you used the old landing page that is coded into the Astaro UI.  If I go directly to my.astaro.com I get a 404.
  • 0 in reply to tank
    I did try several times.

    I finally got some support attention and hopefully will have some fixes put into place.  Also Astaro confirmed that the support ticket system was not working properly, the landing page moved so if you used the old landing page that is coded into the Astaro UI.  If I go directly to my.astaro.com I get a 404.



    Hmm wierd. I go to my,astaro.com all the time . but I have partner access so maybe why it was working for me.
  • 0 in reply to hobycat
    Hmm wierd. I go to my,astaro.com all the time . but I have partner access so maybe why it was working for me.


    I just got an email from Support saying that my.astaro.com is now fixed.