Astaro Performance vs direct connection

I have a site in the Netherlands that is exhibiting very similar results. They just had fiber installed using pppoe and I had them connect it to a nic on the asg120. I currently have it set up using both wan links/multipath so I am not sure if that has something to do with it. On the isp supplied router..10mb down..On the asg I can't get better than 3mb down..bypassing the proxy completely. Do you think the speeds will improve when I have just one wan link?

the 120 isn't going to be able to keep up if you have either less than 5 users or nothing being used except the packet processing engine.

While for this you should probably have a support ticket opened and use our real channels

I'm working on that [[[:)]]] Sent a mail to our supplier, waiting for an answer. Good thing is that questions that probably will be asked by them have been answered in this thread [[[:)]]]

I will mention that in my experience 9/10 complaints are solved by troubleshooting the duplexing settings of the machine, such as if either the internal or external interfaces are "hard set", and if so might be falling back to 1/2 duplex? If they are set to auto-neg, make sure they are negotiating correctly, theres a lot of users out there I notice upon login that are living under 10mbit 1/2 duplex negotiation [[[:)]]]

They are currently running Auto-negotiate, and according to ethtool my WAN nic, using PPoE at the moment, is running 100 MB Half duplex and my internal network card is 100 Full. I would expect that to be enough, but I will check if I can play with these settings a bit.

Coming Friday I will change the WAN interface from PPoE to Standard Ethernet again and check the results. 

 again..what SPEED cpu? 

 looking at your motherboard it's very possible it's your motherboard. SIS chipsets tend to be flaky.  

I'll check the CPU speed coming Friday. I've also got a spare system to check if the SIS chips are the cause (and will report back here of course)

the 120 isn't going to be able to keep up if you have either less than 5 users or nothing being used except the packet processing engine.

Wow..should probably mention that to the resellers..a 5 person remote office is pretty darn small..guess I need to upgrade them to a 220...[:)]

the 120 isn't going to be able to keep up if you have either less than 5 users or nothing being used except the packet processing engine.

I have to disagree with this, as the 120 is designed to handle far more than 5 users. Of course, the main factors of load are going to be either the sheer amount of bandwidth, or the amount of "requests" due to many users and their activity, balanced against the features you have enabled. 

Just to illustrate this, attached are some screenshots of a 120 i was trying to "break" using a full DS3 45mbit connection. The first is a single user, with nat/PF only, consuming the full connection over SSL. As you can see from the ASG1 shot, which i took after 5-10 minutes of activity, the box isnt breaking a sweat, with less than 8% cpu and only 23% memory usage.

Then, I enabled IPS with every rule and pattern we currently have in 7.470, including all the extra warning patterns, and performed the same test. This time, the IPS engine took a bit of ram bumping it to 46%, and the processor was kept very busy handling the load, however the throughput was still good for the full line speed of 45 mbits/second) and after a decent period the load on the box wasnt more than about 3-4, which is fully sustainable.

To show web workload, i shut off the full use of the line (throughput), enabled the http and ftp proxies, and opened 43 different tabs in firefox with dual AV scanning, URL filtering, etc...reloading every 15 seconds. This sort of usage would mimic around 60-80 users based on click rates. Since the clamav engine takes a lot of resources, the load after 20 minutes was about 15 and climbing (though requests were still succeeding, and this scenario proved too much activity to really be sustainable.

Lastly, I disabled only the clamav engine and moved to single scan, and repated the same test, and this time the unit held perfectly steady and snappy at a load of around 4-5, with the cpu being most of the bottleneck. After another 15 minutes, i had put almost 20,000 requests through the proxy, using around 8-9 mbits/second sustained in doing so (very large sites like cnn, nbc etc... with lots of animations and flash), and the box holds fine.


Now this isnt real scientific testing like we do in our big testlab, this is me quickly firing up a 120 to see what it can do, and in summary the unit can EASILY filter at a bandwidth rate than most installed-customers use, and depending on features enabled and your configuration, can accomodate far more than 5 users. I wouldn't suggest a 120 for 75 users with all features enabled on a big internet line, but the ASG 110/120 easily meets its target base of the 10-75 users it is supposed to handle.

I just wanted to post some screenshots for those who don't have the line speed or the testing tools to do it themselves...

Just to illustrate this, attached are some screenshots of a 120 i was trying to "break" using a full DS3 45mbit connection. 

I am jealous.....I only have a 15mb fiber connection at my desk for testing..obviously I am working at the wrong company...[:)]

Thank you for the screenshots and testing..I was uneasy about some remote locations having too many users but the devices never seemed to perform badly and usually stay up for a min of 6 months at a time...

Not a problem, happy to help and put your mind at ease. Cheers.

Wow..should probably mention that to the resellers..a 5 person remote office is pretty darn small..guess I need to upgrade them to a 220...[:)]

I have tested a 1xx and the cpu in that is very weak.  If you do anything more than 2 users with some of the bells on or have more than 5 users doing nothing but nat it's falls down..quickly.

I have to disagree with this, as the 120 is designed to handle far more than 5 users. Of course, the main factors of load are going to be either the sheer amount of bandwidth, or the amount of "requests" due to many users and their activity, balanced against the features you have enabled. 

Just to illustrate this, attached are some screenshots of a 120 i was trying to "break" using a full DS3 45mbit connection. The first is a single user, with nat/PF only, consuming the full connection over SSL. As you can see from the ASG1 shot, which i took after 5-10 minutes of activity, the box isnt breaking a sweat, with less than 8% cpu and only 23% memory usage.

Then, I enabled IPS with every rule and pattern we currently have in 7.470, including all the extra warning patterns, and performed the same test. This time, the IPS engine took a bit of ram bumping it to 46%, and the processor was kept very busy handling the load, however the throughput was still good for the full line speed of 45 mbits/second) and after a decent period the load on the box wasnt more than about 3-4, which is fully sustainable.

To show web workload, i shut off the full use of the line (throughput), enabled the http and ftp proxies, and opened 43 different tabs in firefox with dual AV scanning, URL filtering, etc...reloading every 15 seconds. This sort of usage would mimic around 60-80 users based on click rates. Since the clamav engine takes a lot of resources, the load after 20 minutes was about 15 and climbing (though requests were still succeeding, and this scenario proved too much activity to really be sustainable.

Lastly, I disabled only the clamav engine and moved to single scan, and repated the same test, and this time the unit held perfectly steady and snappy at a load of around 4-5, with the cpu being most of the bottleneck. After another 15 minutes, i had put almost 20,000 requests through the proxy, using around 8-9 mbits/second sustained in doing so (very large sites like cnn, nbc etc... with lots of animations and flash), and the box holds fine.


Now this isnt real scientific testing like we do in our big testlab, this is me quickly firing up a 120 to see what it can do, and in summary the unit can EASILY filter at a bandwidth rate than most installed-customers use, and depending on features enabled and your configuration, can accomodate far more than 5 users. I wouldn't suggest a 120 for 75 users with all features enabled on a big internet line, but the ASG 110/120 easily meets its target base of the 10-75 users it is supposed to handle.

I just wanted to post some screenshots for those who don't have the line speed or the testing tools to do it themselves...

in my test here at my house with 3 users i can destroy a 1xx in seconds under normal usage.  Most of my clients could easily hammer one of those as well. I have asked around here in my area about similar products..they just don't hold up if you have any kind of traffic.  If you have low-volume traffic it'll work..for a bit..the instant you put a wsus server behind it with 2 or more users it's done.  Stick with the 2xx systems as a bottom end.

in my test here at my house with 3 users i can destroy a 1xx in seconds under normal usage.  Most of my clients could easily hammer one of those as well. I have asked around here in my area about similar products..they just don't hold up if you have any kind of traffic.  If you have low-volume traffic it'll work..for a bit..the instant you put a wsus server behind it with 2 or more users it's done.  Stick with the 2xx systems as a bottom end.

You must have them misconfigured....that's like an eight foot wookiee on endor...just doesn't make sense..