UTM 9 Up2Date from 8.305

This is very disappointing.  I have felt that that Astaro/Sophos would rather not have schools purchasing their product for a while now, this just adds to that feeling.  I have been waiting for Astaro to implement features specific to schools that we were told would be implemented by mid-summer in version 9.  Now school is in session and I am still waiting.  Competitors have had these features for years.  

Now that school is in session, I will have to deal with whatever issues arise from upgrading these critical components mid year, rather than during the summer when I have more time to deal with system failures.  I fully expect I will have to spend another weekend away from my family dealing with problems and forum-based support.  I have two ASG 320s and three ASG 220s, every ASG 220 has crashed less than a week after they were installed because they ran out of RAM (they only have a 1 GB of RAM).

After turning off every feature that made the ASG stand out among competitors I got them to run reliably.  Now, we are facing a significant upgrade and I fully expect these 220s will not be up to the task.  This missed deadline is just another example to me that I made a big mistake when I purchased Astaro UTM devices.  One of the reasons I went with Astaro was because our relationship with Sophos had been positive for many years.  When I communicated the problems I had been having the response was that no one else was having these problems and my last message received no response at all.  I'm actively researching alternatives to both Sophos and Astaro and telling everyone I know about the nightmare I have had with your appliances, and the total lack of support.

Pros:
Nice interface.
Great firewall and VPN configuration.
I really like the software.

Cons:
Under-powered hardware that can't run all features advertised and purchased.
Slow forum/email support that can take days for a response.
Slow to implement features important to schools.
Account representatives that don't bother to respond to customers.
Fails to meet deadlines.

I'm saddened to hear your reseller let you down.  I'm going to reach out to you and see if there's anything I can do to help....

@Joshua:

I have to agree with Bob that you were most likely undersized for your environment.  For example, with all features enabled, a 220 is rated for 70-75 users max.

70-75 users? With only 1GB or RAM? With all features enabled? NO WAY!
We have only 40 users and had to disable 'dual scan' (and a lot of other things) to keep the system running smoothly. Once RAM and SWAP are over 85%, performance is degrading.

The problem is the RAM. Only 1GB of RAM. What are we talking about? That's the amount of smartphones today. And now V9 is coming out, they say for a 220 'Not recommended'. One year old... If I look around wheter it is possible to upgrade RAM, I see a lot of links refering to Astaro. It seems like those days it was possible. Nowadays (Sophos, American, managment, marketing, warranty void & money) there is little or no info.

PS: My laptop is over 6 year old and still running smoothly: more RAM and SSD.

PPS: If someone starts legal actions, let me know.

70-75 users? With only 1GB or RAM? With all features enabled? NO WAY!
We have only 40 users and had to disable 'dual scan' (and a lot of other things) to keep the system running smoothly. Once RAM and SWAP are over 85%, performance is degrading.

The problem is the RAM. Only 1GB of RAM. What are we talking about? That's the amount of smartphones today. And now V9 is coming out, they say for a 220 'Not recommended'. One year old... If I look around wheter it is possible to upgrade RAM, I see a lot of links refering to Astaro. It seems like those days it was possible. Nowadays (Sophos, American, managment, marketing, warranty void & money) there is little or no info.

PS: My laptop is over 6 year old and still running smoothly: more RAM and SSD.

PPS: If someone starts legal actions, let me know.

Check your pm box..if you have please disregard this message.

Is there a Way to Upgrade The RAM ?

There is no way to upgrade the RAM without voiding your hardware warranty.  There's another thread about that here somewhere where the head of Support-Americas, AlanT commented as did AngeloC.

Cheers - Bob

The best way to go maybe software versions with a couple of caveats.

Hi Bob,

You are outstanding and your posts are my primary source of support for these devices.  I have a lot of respect for you (while I did not respond to you previously, your other posts have helped me time and time again).  I will look at those old posts but I imagine I had managed solve the problem by turning just about everything off and had moved on to other fires.  I do not think I get email updates so I will need to figure out how to activate that feature.  I apologize for not getting back to you.

Our re-seller for this product was a state-wide consortium of tech-ed folks with a volunteer that helps facilitate group purchases for better pricing.  I have used the support portal (where you enter keys and licenses) to log a support request but the assistance comes long after the crisis is resolved.  I did not mean to criticize the folks that volunteer in the forums at all, they are amazing.  I have received much more support through the volunteer forums than through official lines so I am extremely thankful for folks like you and many others.

I had worked extensively with an Astaro representative when working on the sizing of these devices.  Unfortunately, the ASG220s I had could not run on idle without using a significant amount of swap with all features active and I was told this is normal.  Many of the features slow the traffic down to a crawl even on my 320s but some (specifically snort) would be nice to have running.  Perhaps they could handle just snort but at this point I'm actually afraid to change anything, which is part of why I am concerned about this upgrade.  At one of our schools with the 220s installed, we only have 20 machines so there can only be 20 people on at one particular moment.  If an ASG220s can't support 20 computers on a network without it running out of RAM and SWAP, I think there is an issue.

I went through the process of checking my configuration through official lines of support and they determined that my configuration was fine but the ASG220 was insufficient for our needs partly because of the way we are using Active Directory for authentication.  This was long after I managed to get the devices running and shutdown several services.  When they run out of memory they crash the network interfaces and you can't access the browser interface.  You can access the terminal and pull up top to confirm that it is just completely out of RAM and SWAP.  From forum posts I was able to figure out how to reset the device and load a previous configuration from backup.

After I was able to determine that the devices were failing because they were running out of RAM.  I did some research and found that Astaro had upgraded ASG220s to 2GB of RAM shortly after our purchase.  When I spoke with Astaro support representatives and I explained my findings that the RAM was insufficient, I was told I was wrong and that others were not having any problems.  The 320s with 2GBs of RAM have worked perfectly but I turned off all the same features on those after I started having issues with the 220s.

I have tried the official channels and gave multiple opportunities for Astaro employees to help, but feel completely let down, frustrated and finally ignored.  At one point, I was told that I could purchase an upgrade to the new ASG220s at a reduced price but I had to run a test on our network to ensure they would really fix the problem.  This was perhaps a reasonable request from their perspective but I was far past "testing" things on our network.  All of our 220s had failed a week after implementation because they were running out of RAM and I had already jumped through months of customer support hoops to confirm my findings which they did.  To still be told by a sales representative that I am wrong and need to run more tests was really aggravating.  Not to mention that I can't get funding if it's not already budgeted annually.

This missed deadline probably would not have bothered me at all if I had not had such negative experiences in the past.  Unfortunately, the root of my problem is not solvable through forum support it involves three 1GB sticks of RAM for each of my 220s.  I don't want to void my warranty so getting the problem fixed will probably require full replacement of the devices and a few thousand dollars spent by a school district that has faced several massive budget cuts and reduction in force, including my IT staff cut in half.

I agree that the software is well designed so there must be some very skilled developers but hardware is a completely different story.  My ASG 220s were barely able to run v8 with no load and all non-essential (and some essential in my opinion) services shutdown.  I hope that I can get this new software upgrade up and running without being forced to take up the issue again with Sophos/Astaro.  If it comes to that it will probably need to involve my boss and he can be rather irascible in his dealings with vendors.  If it means a change in devices or a change in provider that means a lot of work that would have been easier for me to accomplish during the summer.

I'm disappointed it got to this point, I had high hopes for these appliances.  Maybe, my support experiences just hit at a bad time, I imagine a merger into another company can be a difficult process.  Almost every other vendor I have had problems with in the past, we have been able to work out something and move forward.  Some vendors got off to a terrible start but they put in some effort on their end and we have been loyal customers since.  At this point, my plan is just to suffer through our relationship with Sophos/Astaro until I have time to come up with a viable alternative.

I want to end by saying thank you again for all the support you and many others on the forum have provided.  I find it sadly ironic that the only one that has represented the company in a positive light to me isn't on the payroll.  Oh, and I think your avatar is great and somehow comforting to see!

I've long said 2 gigs is the minimum with 4 being the real world usage.  I've also long talked about how swap in Linux is not like swap in windows...[:)]. Have you totally written off astaro?  If can we talk about a software version install on a properly sized dell or HP server?

I've long said 2 gigs is the minimum with 4 being the real world usage.  I've also long talked about how swap in Linux is not like swap in windows...[:)]. Have you totally written off astaro?  If can we talk about a software version install on a properly sized dell or HP server?

Interesting, I have plenty of old decommissioned Dell servers kicking around with significantly more processor and memory capacity.  I only use two network interfaces on the 220s anyway.  This is an option I really haven't considered.

I do like the software (faster updates would be nice but the design is solid), I was just frustrated that I was stuck with such a ridiculous issue of insufficient RAM.  Please tell me a bit more about how this would work.  Would I be able to shift my current subscriptions and annual support.  How much would it cost to transition from three ASG 220s to three software-based setups.  What do I lose by going with just software rather than a full hardware/software setup?

I do not have any discretionary funds but this might give me something to budget and work towards that is more reasonable than the cost of full device replacement.

Software versions are priced by IP.  100-IP subscriptions are a bit more than those for the 220.  250-IP subscriptions are a bit more than those for a 320, and they cost about twice as much as 100-IP ones.

The only other significant difference is that there's no upgrade-in-place when going between major versions like V7.512-to-V8.000 or the upcoming 8.306-to-9.000.

Cheers - Bob
PS I just noticed your longer post above the previous one.  Thanks for the compliments!