Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 3 subscribers
  • Views 7909 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 7.504 freezing up

VelvetFog
I have been running ASG v6 for the longest time, around 5 years now, as my home firewall. But last week I decided to upgrade to v 7.5, as I came in possession of an HP EVO machine with 2.6 GHz P4 CPU, 1 GB RAM and a 40 GB hard drive, that I could install it on. My old Compaq Deskpro with the P3 CPU, that I had been running ASG v6.x on, had a motherboard that maxed out at 512 MB RAM, so that box had to be replaced.

I proceeded with caution. The HP EVO box worked fine as a Windows machine, so I knew the hardware worked, but I did a test install of ASG v7.504 and played with the new webadmin for a day, before I put it into service. I ended up just importing my license, and recreating the configuration from scratch, since I was a bit slow in finding where I could import the v6.315 backup.

As a test machine, with just its Internal interface connected to my LAN, the HP EVO with ASG 7.5 on it worked fine. But once I put it into service as a firewall, both the web proxy and the webadmin interface started freezing up on it. At first, I thought it was a RAM issue, so I swapped out the PC3200 DIMMs in it. That didn't fix it. Then I noticed all the  "200012 LAND Attack, sameip detected Protocol Anomaly" errors I was getting, all caused by my primary workstation. I googled it, and found this forum thread:

https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39227

Sure enough, I was running my Vuze bit torrent client on the workstation, with proper port forwarding set up through the ASG 7.5 firewall. I seed bit torrent steady at 20 KBytes/sec, and am also currently downloading several DVD sized torrents. I therefore followed the advice in the thread, and disabled firewall rule #200012. 

But the web proxy and webadmin interface on my ASG 7.5 box is still freezing up intermittently. When they do, other services such as the DNS proxy and the SMTP proxy are suffering as well. But data streaming, such as the bi-directional bit torrent traffic, and any YouTube video playbacks in progress, are not affected. The freeze-ups of the web services clear themselves after a few minutes, but then, after working properly for a few minutes, they freeze up again. This meant that web access in the house became a 3 minutes on and 3 minutes off affair, which was not acceptable to either me or the other members of the household. Between us, we moderate several web forums, and reliable Internet access is a must for us.

I had to give up on this issue for now. I did not succeed in debugging this unexpected problem with running v7.5 on my HP EVO hardware. I therefore ended up putting my old Deskpro machine with v6.315 on it back into service for now.

I really like the look and feel of v7.5, but I got stuck, not knowing enough to fix this freeze-up of the web services.

Does anyone here have any insight into this problem?


This thread was automatically locked due to age.
  • 0
    So license wise I am now OK then.  [:)]

    My plan is to keep playing with the new ASG box for a few days, and then put it in place as my router prior to my ISP sending an installer over to do the IPTV upgrade.

    My ISP, Telus, has very reliable services, once they are connected and  up and running, but they are bad for creating long outages when they switch you from one flavour of DSL service to another. When they moved me from ADSL to ADSL2, my connection was down for a couple of days. It is the standard big phone company problem, having groups of employees working in isolation from each other, with inadequate communication between groups. The right hand does not know what the left hand is doing.

    I do daily moderation or admin duties on several web sites, so I hate having Internet downtime.

    The one key thing I have not figured out yet on my new ASG 8.1 setup, is how to properly do Multicast Routing config between the WAN and Internal interfaces. That will be a crucial component of getting IPTV to work through the box.
  • 0 in reply to VelvetFog
    Just now, I installed the license on my v8.102. Then I rebooted the box.
    Now the Web Security and Mail Security items are fine, and not grayed out, so the license file must be OK.
    I wonder why it didn't work like that on v8.0?


    There is (STILL!) a bug in the licensing system; if you create or renew a license, it will not work properly for several hours.

    I can only guess that this is an issue with local time for people EAST of GMT... i.e. I think it will work once local time reaches the (GMT) time the license was issued.

    I'm GMT-8 and several times have had to wait til the next day to get licenses to work right.

    This has been going on for a LONG time (at least since early in 7.x) and NEEDS TO BE FIXED!

    Barry
  • 0
    I've definitely brought it up in the forums several times. (it's confusing to me whether home-users are supposed to open support cases; I don't recall it happening at work.)

    My reseller seems to have experienced it as well (based on comments from him).

    Barry
  • 0 in reply to BarryG
    Hi folks,
    that timing thing ended up affecting all licences and was supposed to have been fixed. 

    Ask the Ninja he should know?

    Ian
  • 0
    A very experienced, ex British Telecom, IPTV installer showed up at my house this morning, much to my surprise. He did the install exactly the way I wanted.

    I now have an ALU Cellpipe 7130 running as a plain VDSL2 modem, followed by a 5-port 100BaseT Linksys switch, with both a Telus D-Link IPTV router and my ASG router fed from the switch. I bit the bullet and put in my new ASG 8.1 router while we were at it.

    My router has a real external world IP address, which is what I needed. The cable TV lines in the house were used to connect the three set top boxes to the D-Link, which kept that traffic off my LAN.

    The installer took the time to replace the old demarcation interface box outside the house with the old style lightening protector in it. He also replaced the old punch down block on the electrical panel with the new tab lock down type.

    So now I have both Internet TV and a new ASG 8.1 router. [:)]

    But I still have some bit torrent traffic issues to sort out. It was nearly impossible to connect to the Astaro webadmin from the same workstation I am running my bit torrent client on, while I could connect just fine from my laptop.
    And since the changeover in equipment, my IRC client has been losing its connection to irc.swepipe.se in Stockholm at roughly 3 minute intervals  and then reconnecting again.
    I am not out of the woods yet.
  • 0 in reply to VelvetFog
    But I still have some bit torrent traffic issues to sort out. It was nearly impossible to connect to the Astaro webadmin from the same workstation I am running my bit torrent client on, while I could connect just fine from my laptop.
    And since the changeover in equipment, my IRC client has been losing its connection to irc.swepipe.se in Stockholm at roughly 3 minute intervals  and then reconnecting again.
    I am not out of the woods yet.


    Probably the portscan / flood protection... look in the IPS log.

    Barry
  • 0
    You are correct. I checked the log, and discovered what traffic was causing the problem.
    The router had dropped 197,000 packets from my primary workstation on the first day, and it was the IRC traffic and the bit torrent DHT (Distributed Hash Table) traffic that was being dropped.

    I created a bit torrent services group, and created an IDS exception for it. I also created an IDS exception for IRC.

    My bit torrent services group consists of 4 entries:

    BT-52525 in (TCP/UDP 1024:65535 ->52525)  BT-52525 out (TCP/UDP 52525 -> 1024:65535)

    ML-DHT in (UDP 1024:65535 ->52526)  I run the Mainline DHT plugin for Vuze on port 52526, to be able to access the uTorrent/Mainline DHT cloud, since the Vuze and uTorrent DHT implementations are  incompatible and therefore create separate clouds.

    ML-DHT out (UDP 52525 -> 1024:65536)

    It required separate entries for inbound and outbound, since the different participants in bit torrent swarms all send and receive on a single port of their own choice.

    I am slowly getting the hang of this.  [:)]

    One issue I noticed, when creating service definitions, is that if you define a service on a port to be just TCP, and later realize that it ought to be TCP/UDP, you can not edit that entry. The drop down box arrow is present on an edit, but the other options are no longer available, as they were when you initially created the service definition. So one then has to delete the definition and create a new one from scratch. That is something that ought to get fixed.