Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 580 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro gateway kept timing out

smsfadmin
I have been running an ASG220 for about 10 months now. It is currently running version 6.304 (and I have no plan to upgrade to 7 due to the amounts of problems/bugs being reported).

I am making use of the following services:
HTTP proxy
SMTP proxy
IDS/IPS
Packet filtering (obviously)

My biggest problem with this device is that it kept timing out whenever I try to edit an IPS rule or when I edit the spam quarantine. In addition, I also have a lot of dropped PPTP as well as L2TP VPN connections.

Astaro techs said it might be because the box is overloaded. CPU usage is less than 1 for almost 95% of the time. The other 5% is are when it spikes up to 4-10. I noticed that, whenever I edit an IPS rule or muck around with the quarantine, CPU usage shoots up to at least 6, which Astaro techs says might be the problem. However, I have two arguments here:

1) I understand CPU usage should spike when a large list (such as IPS rules or spam quarantine) is being loaded, but I was using the filter feature to list and edit 1 rule. Also, it did not timeout when the rules are being listed. It timed out right after I made the change to drop/allow or disable/enable the rule.
2) Whatever may happen in regards to listing and editing rules, traffic between the various interfaces should NEVER timeout, unless it was a misconfiguration (packet filter rule to block traffic, IPS rule to drop traffic, etc.).
3) The Astaro techs say that spikes in CPU usage is normal but they shouldn't cause timeouts. Well, almost every single time I have a spike above 4, I experience a timeout on the firewall's interfaces, and I can replicate this pretty easily by just editing an IPS rule, sometimes just listing the rule (using the filter tool) is enough to cause the timeout.

The primary reason we bought the ASG 220 was to have it filter traffic between its 8 interfaces. However, I can't depend on it being the middle man between my various networks if it times out so easily and so frequently. Depending on the application, communication between entire subnets can be severely interrupted when the ASG times out like this.

Is anybody having the same problem?


This thread was automatically locked due to age.
  • 0
    How many emails are in the quarantine?

    The IDS management in 6.x did always seem quite slow to me, but I never had any timeouts, even on a PIII.

    Barry
  • 0 in reply to BarryG
    Yep, on a 220, you want to have the limit on the Proxy Content Manager set to 450 or less emails... any more can cause issues.
  • 0
    After a couple of days of troubleshooting with Astaro technicians, we have arrived at the conclusion that the time out is caused by the IDS/IPS daemon. Whenever a change is made, the daemon restarts, and since it is tied into packet filtering fuction, the Astaro times out. This behavior was replicated on my ASG220 running 6.304, Astaro's demo ASG220 running 3.604 and my config from a backup file I sent them, as well as their demo ASG320 running version 7. With little traffic flowing through these demo boxes, they dropped only a few packets while my ASG220 drops an average of 7 ping packets.

    For most people, this is fine, but for us, it is not. We are in the process of using the Astaro to separate our wireless network from the main one. With the amount of hosts on this network, a timeout of 3-5 seconds could cause havoc.