Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 3 subscribers
  • Views 9686 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Serious Issues with Both ASG220 and Astaro Support

tank
I have been having problems left and right with the pair of ASG220 we use in our production environment.  We have 2 because we need HA.  However without HA our site would go down probably once a week.  Note I do not use the HTTP Proxy and have it disabled.  For the most part the FW is used only for packet filtering and IPS.  VPN is used only by 2 people and used at most once a month.

At least once a week one of the ASG have to be rebooted either because some process is constantly failing or the machine flat out crashes. Up until yesterday the HA system worked and the slave took over.  However yesterday the Master crashed, the slave took over however when it took over it had an identity crysis and keep flip flopping back from Master to Slave crippling our system and required a power cycle to fix.  Note these devices reside in a data center 40 minutes away so power cycling is not a simple fix.

Yesterday when I went to submit yet another trouble ticket the trouble ticket system gave me a 404.  So I called and was sent to voicemail, have not heard back yet.

I have submitted multiple trouble tickets over the past year and not once has one been resolved.  I have used Astaro products since V2 and greatly enjoyed them, however V7 and the ASG220 is one of the worst products I have ever experienced.

To date I have had issues with constant ctsync service failing, smtp service failing, when the moons do not align right for the HA during start up I get double report emails (one from the slave),  I have never been able to rely on the dashboard statistics they seem to always get stuck.  And all of these problems have been reported at least once, most of them many many times.  I have given direct access to our Firewalls to the Astaro engineers on more than one occasion.  I think that actually did help solve one problem with pfilter taking down the machine.  But as you can see I still have many many more problems and support seems to be steadily getting worse with Astaro.  Support a year ago I thought was great, I could handle the issues when I knew Astaro was willing to help.  However getting left in the cold makes these problems very difficult to swallow.


This thread was automatically locked due to age.
Parents
  • 0
    These are the reasons i don't want to upgrade any of my ASG 220's yet to v7.

    Last time I called support on an ASG 120, I felt in the cold.

    And the HA experiences I have had with v5 , and v6 make me afraid to go to v7. I am tired of losing the slave machine in the HA cluster, and having to get it rebooted.

    Or the best is when slave and master lose their identities, and end up fighting over the master role, which kills all 60 site to site tunnels, and network traffic goes crazy because of mac address/ip address mismatches.

    Support used to be great to go to, and I have also been a long time user since v1.8, so I do have a baseline to go on here.
  • 0 in reply to ReD-MaN
    Hmmmm. Well... so far my HA experience at a client site on V7 was pretty good. V6 HA sucked because of what you've stated. However, V7's has been easy to set up, and when tested, failed over roughly in the same amount of time (missed two pings, so, a few seconds maybe) as the two PIX sitting next to them.  This one is working well, so we'll be moving others in that direction. 

    I have to ask, have either of you done a complete re-install of the software image from CD? I don't mean factory reset, I mean a complete re-install, the re-apply your configs.
  • 0 in reply to ReD-MaN
    The underpowered hardware idea rings true.

    We run Astaro on desktop PC's, most of which are far superior in terms of CPU and RAM than most of the appliances.  Probably why our ASL's seem to just "work".
  • 0 in reply to ReD-MaN
    drees, yup. It is actually 59 tunnels right now, with around 30 unique remote hosts.

    Do you have accounting turned on? If so, have you tried turning it off?

    Funny thing is, I have almost the same config,minus ip addresses on a pair of ASG 220 running v5 still (yes I know I need to upgrade them!), and here is top from them:

    top - 22:32:42 up 14 days,  5:01,  1 user,  load average: 1.79, 1.81, 1.74
    Tasks:  98 total,   5 running,  90 sleeping,   0 stopped,   3 zombie
    Cpu(s):  27.2% user,   7.3% system,  12.0% nice,  53.5% idle
    Mem:    514540k total,   444472k used,    70068k free,   107864k buffers
    Swap:  1048816k total,   104064k used,   944752k free,   173940k cached

      PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
     1573 root      18   0  2952 2924  116 R 26.6  0.6 358:17.62 nacctd
    21113 root      15   0 46960  29m  13m R  4.0  5.8 329:36.80 snort_inline
      581 root      15   0  1800 1584 1364 S  1.0  0.3  70:45.99 alicd

    The picture looks a lot better here on v5, but it is still overworked a bit, look at the load average, it's close to 2 and appears to stay that way looking at the 15min avg. What does the output from `vmstat 5` look like over a period of a minute or so on both machines?
  • 0 in reply to Simon Shaw
    The underpowered hardware idea rings true.

    We run Astaro on desktop PC's, most of which are far superior in terms of CPU and RAM than most of the appliances.  Probably why our ASL's seem to just "work".

    Could be, but given that Astaro chose the hardware shipping on the ASGs, you'd think that they'd try a bit more to eke more out of them given their limited CPU/ram/disk power.
  • 0 in reply to drees
    To be honest, the only reason I'd ever buy an appliance is the licensing is a bit cheaper than "DIY" with a desktop box.
    I've never tried it on an Intel CPU either, all my ASL's are AMD CPU.
  • 0 in reply to Simon Shaw
    As for underpowered hardware if that is the case then they should reduce the specs of the ASG220.

    Our site is connected to a 3mb/s burstable connection and we rarely peak that connection.  In fact our avg. throughput is just under 1mb/s, with about 3000 concurrent connections.  We do not use http proxy and only use the SMTP proxy for a small amount of incoming email which is mostly just bounced email.  VPN is used only by me and one other admin and is used only when we are out of the office.
  • 0 in reply to tank
    Oh still have not received word back from Astaro.  I even called Astaro sales because they actually answer the phone.  The support ticket system is still currently down and has been down since last week.
  • 0 in reply to tank
    Oh still have not received word back from Astaro.  I even called Astaro sales because they actually answer the phone.  The support ticket system is still currently down and has been down since last week.




    The support ticket system does not appear to be down at all, and was only down for one morning as far as I can tell. Perhaps you should try entering a ticket again?
  • 0 in reply to hobycat
    The support ticket system does not appear to be down at all, and was only down for one morning as far as I can tell. Perhaps you should try entering a ticket again?


    I did try several times.

    I finally got some support attention and hopefully will have some fixes put into place.  Also Astaro confirmed that the support ticket system was not working properly, the landing page moved so if you used the old landing page that is coded into the Astaro UI.  If I go directly to my.astaro.com I get a 404.
  • 0 in reply to tank
    I did try several times.

    I finally got some support attention and hopefully will have some fixes put into place.  Also Astaro confirmed that the support ticket system was not working properly, the landing page moved so if you used the old landing page that is coded into the Astaro UI.  If I go directly to my.astaro.com I get a 404.



    Hmm wierd. I go to my,astaro.com all the time . but I have partner access so maybe why it was working for me.
  • 0 in reply to hobycat
    Hmm wierd. I go to my,astaro.com all the time . but I have partner access so maybe why it was working for me.


    I just got an email from Support saying that my.astaro.com is now fixed.
Reply Children
No Data