Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 2387 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rant from an long time user

tank
Ok I have been using and recommending Astaro since v2.  However unless they turn things around I will no longer recommend it.  Extremely disappointed with support, the only way I can get someone to call me is if I yell at the guy on the sales team!

The current astaro I am dealing with and the only ones I have had major issues with is the ASG220s running v7.  These were purchased right about the time v7 was released and did not have the option to get v6.  From day one they have been a nightmare.  We purchased 2 to run in HA mode, I am going out to the datacenter about once a week to restart a firewall that has completely locked up.  Constantly getting emails of some service restarting because it failed, most of the time it is ctsync (HA service).  Have submitted numerous support tickets even opened up the machines for Astaro employees to have remote access.  We had to disable the SMTP proxy because it can not handle 50,000 emails a day, EVEN THOUGH Astaro says a 220 can process 300,000 emails a day.  Only services we have running is packet filtering, IPS, and VPN for use by a single user only (me for maintenance).  I disabled pretty much all packet filtering logs because of performance issues.  If you are thinking we must have a large amount of traffic well we do not, the highest we have seen for concurrent connections is ~2000 (Astaro says the box can handle 400,000).  Throughput peaks are around 2-3 Mbit/s, again Astaro says this box can handle up to 320 Mbits/s.

Our most recent failure was a fun one, for whatever reason one of the sqllite db got corrupted and the log system decided to report this event frantically filling the logs at a rate of 10 MegaBytes/min and pegging the CPU.  Before I could get to it to solve it since it started at 2am the system log reached 10GB.  Supports solution was to fail that machine to slave then factory reset the machine and add it back to the cluster.  Ok sure, well when I failed the machine over the new master spiked the CPU load to 100%.  I waited hoping it would settle down, it did not after an hour.  Checked the process that was causing this it was csync, what was it syncing to the slave was offline?  So I decided well lets proceed with the plan.  Of course the slave can not sync to the master because the master is apparently confused.  So I decided on to plan B.  I will factory reset BOTH machines.  Since the slave was already reset I took the backup config that I made before this and applied it.  Swapped the Slave with the Master to minimize downtime (we have HA because downtime is not accepted).  The reset the master to factory and added it to the cluster.  That has been running for about a day and I get an email saying Content Filter not running, restarting.  Why would i get that I have content filtering OFF?

Course now I am trying to get Astaro support on the phone to explain to me WHY the ASG220 can not handle our load reliably.  I suspect a large part of our issues stems from the fact that the hardware is way under spec'd.

Sorry for the long rant however, I am extremely disappointed and embarrassed frankly with Astaro.  I have been a long supporter of the products and these machines we are using because I highly recommended them when the Synmantic machines died.  Support USE to be good but now it is probably one of the worst companies I have to deal with for support.


This thread was automatically locked due to age.
  • 0
    Ok I am feeling a little bit better about support.  I received a call just a few minutes ago from support.  They decided that the best course of action would be to replace the ASG220s with the newer ASG220s.  Since the newer ones have better hardware in them hopefully they will run better.
  • 0 in reply to tank
    I am also a long time user/recommender, and I have dreaded dealing with support lately. It has gotten quite horrible compared to what it used to be.
  • 0 in reply to ReD-MaN
    Hi ReD-MaN, 

    May I ask how recently 'lately' is? I'd be happy to look into any cases you have entered, and see what may have happened.
  • 0 in reply to AlanT_01
    Well it was October, 2007. Had an appliance go down morning of the 22nd, no replacement even arrived until the 25th.. with Platinum support on it too....it was not fun explaining a 4 day outage to the customer.
  • 0 in reply to ReD-MaN
    I don't contact support very often, so was a bit unhappy when I did the other day.

    I emailed asking what traffic selector to use to shape traffic to the web proxy server. (To slow down web browsing).

    I got a response quickly, but no answer, simply referred me to an online manual.

    I responded I know how to use the product but was having issues getting this traffic selector setup and working.

    I got a vague response back that shaping incoming traffic wouldn't work very well, (which I understand) but still no response to what traffic selector to use.

    Getting frustrated as it seems I have to prod n poke to get an answer.
  • 0 in reply to Simon Shaw
    traffic selector how do you mean exactly?

    DSCP is the 'new' type of traffic selector - ie, meaning it allows traffic to be differentiated by class, and handled on a per hop basis, providing your internal servers and the routers along the way are dscp aware. 

    Tos is more in existence to provide backwards compability because not all networks/routers/isps are dscp compatibilty. 

    I think asking support which to use, on just perhaps the basis of your astaro in a stand alone setting maybe wasn't a very fair question-? 

    I don't know.. just pondering. - dscp or TOS choice depends on many things, not just the astaro, it's only one 'hop' on the way that can be managed. 

    you'd use whichever worked with everything else in your network-- would kind of be my answer. but.. I might be off a bit, ( I'm pulling out what dscp and tos do off the top of my head atm, and it's late[:)])


    also yep, I believe thats correct also- thats the astaro qos doesn't shape inbound traffic at all really, you need to use some other  type of application for that (none of which I can think of right now, sorry:/
  • 0
    I must admit that as another long term user of Astaro products, I was very disappointed with the 220's performance.  I've run Astaro at home since V2 and have been an advocate for a long time.  At my previous company I authorised the purchase of a number of 220's to be implemented around the work in each of our offices.  Not a high utilisation at all (similar to Tank's posting) but the boxes struggled.  The number of hardware failures and performance issues (causing outages) was amazing and the typical response was that we needed to factory reset the box and start again.

    The ASG software solution seems to work without issue as typically it goes onto an overspec'd box.  Hopefully the 'new' 220's are now suitably spec'd.

    Just my 2 cents [:)]
  • 0 in reply to darrenl
    First of all, wow, 50,000 emails a day.  If you search for my user name in the forum I think you will find very similar posts by me about this issue.  I don't know what your bandwidth is, but how many users are on your side?

    I remember one of the first times I had a firewall go down for me.  It wasn't because of an error, it was becuase of a virus on the inside.  Think to yourself, does 50,000 emails a day make sense for your business?  I work for a small business that has 30,000 customers and 55 employees, and we average about 4000 emails a day including the automated ones and spam.  Of course, I don't know anything about your business, but is it possible you have a comprimised machine on your network that is blasting out stuff?  For a day, don't allow outgoing connections for the users on your network.  Drop and don't log all outgoing traffic.

    I agree that astaro support sucks the big one recently.  I have just posted about the load on my box spiking for no apparent reason and then never letting go until about 12:20 the next morning.  Astaro's answer for me was that the box was too taxed, that it isn't capable of all the logging and daul scanning that I had enabled.  I have proved to them time and time again that I am not experiencing a load issue, I am experiencing a programming error.  They simply won't listen...  I am still tracing down the cause of my errors, but your issue screams to me that you have a malicious machine on your network.

    Other ideas, have you added the popular streaming websites like radio stations and youtube and such to not be virus scanned?  I still think that streaming content webrequests have something to do with my error...

    Other debugging ideas:
    Is it possible to cut your network in half?  By this I mean, put half the users on one astaro and one of the other.  Perhaps you will see one spike and one run smoothly.

    Is it possible to use one astaro for just your internet servers, and the other just for corporate browsing and web use?

    Edit: just so you know I have a single ASG 220 bought in June of 2006.
    I have logging enabled for most things.  
    I have email set to daul scan on incoming, and skip the astaro SMTP proxy for outgoing. 
    I have http proxy as trasparent, block many types of websites, and performance virus scanning on most sites.
    I have all DNS requests going out throught the astaro.
    It says it processes 5.7 - 8.2 GB of traffic a day.
  • 0 in reply to number2jcb
    logging enabled on most things.. packet filter etc? 

    and I'm thinking probably network accounting running also.? 
    esp with dual scan running.. 
    yeah, it'll kill a 220. :/ expecially when it comes night time and the reporting daemons take over everything to wrap up all that logging.

    they are pretty much correct on saying you are overtaxing the appliance. I have to agree with support on this one[:)]

    however I'll add an codicil..
    it shouldn't be overtaxing the system, but it is
    because of design flaws...which well support doesn't do the designing, thats their development teams, so .. support kinda can't jump in a 'fix' it for you when it's beyond their abilitiy to fix really.
  • 0 in reply to hobycat
    @Hobycat:
    Most packet filter rules have logging enabled.  Network Accounting is on.
    I have very few performance issues with my box.  My only serious concern is not related to overtaxing, but to a specific type of traffic with causes cffd to hit 100% and stay there for hours on end.  It is definitely a programming error.  Now a days, the CPU spikes when the reporting jobs run every half hour, but otherwise the load stays ok except when one thing (still trying to track it down) causes it to freak out.