Severe System Performance Issues

As long as you have 256MB of RAM or more, I don't see how that could be the problem.

Try some traceroutes at good and bad times, and compare.

Barry

What is your configuration of the Astaro's DNS proxy?  Also, Under AV engines... do you have both engines active on HTTP?  Are you on 6.203?  Try to disable one of the AV engines for HTTP and see if your performance improves.

I'll try this but I'm curious why this would be the problem if the CPU is completely idle.  Is there a multi-tasking problem with the OS?  Would a dual-core cpu solve the issue?

I was wondering about the exact same problem: My box was a dual PIII 600MHz with 512MB RAM. I have no AV scanning, just the HTTP-, DNS- and SMTP Proxy for outgoing mails and some rules that allow NATed traffic. Surfing the net was SO slow i was wondering if there was a problem with the line.
I replaced the Board, CPU and MEM, now with an Athlon64 3500+ and 512MB RAM, the page is already loaded before I enter the address :-)
No, but you get the message, I am flying the net now.

CPU usage was never above 0.3 with the old hardware. The new box uses the same NICs.

I was wondering about the exact same problem: My box was a dual PIII 600MHz with 512MB RAM. I have no AV scanning, just the HTTP-, DNS- and SMTP Proxy for outgoing mails and some rules that allow NATed traffic. Surfing the net was SO slow i was wondering if there was a problem with the line.
I replaced the Board, CPU and MEM, now with an Athlon64 3500+ and 512MB RAM, the page is already loaded before I enter the address :-)
No, but you get the message, I am flying the net now.

CPU usage was never above 0.3 with the old hardware. The new box uses the same NICs.

I know of no problem... just on low memory boxes ( 

Hi!

Try to DL last iso astaro security (http://download.astaro.de/Astaro_Security_Linux/iso_image/i386/v6.0/asl-6.202-060509-1.iso) and reinstall with last backup from your firewall.

When i last install this iso my astaro is working ok [:)]

This is where my conclusions were bringing me.
The reported hardware usage is not accurate and does not represent important system bottlenecks.

does anyone have any insight as to what the bottlenecks may be?

Simply throwing hardware at the firewall issue doesn't seem reasonable.  How does one plan to implement a firewall for a fortune 500 client or an ISP?

Cheers

Regarding DNS:  actually I'll double check this before I continue...

I've tried two scenarios to get this working well:

Current config:
3 interfaces + external
1 interface has own dns server which uses astaro dns proxy as forwarder
other 2 nets have no dns servers and use astaro proxy directly

Previous config
The internal DNS server sent all dns traffic outbound without using the Astaro proxy.

Obviously you set the DNS proxy to "Listen" on those other interfaces (except the external, that would be bad)...also, the forwarders section of the Astaro DNS proxy should EITHER point to your ISP's DNS servers, OR your internal DNS server...but never both.  Also, for the clients that use your internal DNS server, make sure they only use that one address for their DNS server relying on the server to check the forwarders (also, turn off recursion to speed up dns-timeouts on invalid lookups).  The clients on the other networks with no dns server, should only point to the Astaro for their DNS obviously like you said.  

I always try and point all my clients to an internal DNS server, and let that server use the Astaro as its forwarder...then the Astaro has the ISP DNS servers for forwarders.  Also, turning off recursion on the internal DNS server so when the internal DNS server can't resolve a query,...and then the forwarder (Astaro using ISP DNS) can't resolve it either... it fails the lookup instead of hitting root DNS servers which can take forever to time-out.  The down side of this configuration is for clients using the HTTP proxy, can't resolve local (internal) domain names (ie. .local) but there are workarounds...

If you are talking about http proxy - try and clean out the http proxy cache.  The squid cache can get saturated which then impacts everything that is proxying through the http proxy.

if this is a DNS issue, try different DNS forwarders, such as 4.2.2.1, 4.2.2.2, 4.2.2.3, 4.2.2.4, 4.2.2.5, or 4.2.2.6.  These are known publicly accessible external DNS servers regardless of what ISP you are using.

Execute "free" on the commandline of the Astaro firewall and check the free memory.  It should look something like:

loginuser@!!!!!!!:/home/login > free
             total       used       free     shared    buffers     cached
Mem:        515332     382912     132420          0      54768     124820
-/+ buffers/cache:     203324     312008
Swap:      1052248          0    1052248

Keep in mind that Linux utilizes RAM for caching to speed up things - but at any moment can flush the Cache as necessary to free up RAM for programs.

So note that the actual free RAM in this system's case is "312008" as found on the "-/+ buffers/cache" line.

If you have ample free RAM and a low CPU load, your hardware is not the problem.