7.1 http proxy timeout issue

I'm working with astaro support but i wanted to see if anyone is getting random but often errors from astaro about connection resets or timeouts with  the proxy turned on?

I'm also having the same problem. There's no point in stating URLs because this behavior is random. Content filter says: error="Connection to server timed out".
Also this seems to slow down the proxy to all users.

500 users, eDirectory SSO, content filtering, 1 profile, 2 filter assignments and two filter actions configured...

After moving to 7.1, using the proxy is actually impossible.
Timing 10 - 30 seconds to web page to download and very often we are getting the "This page cannot be found" messages.
Also the Webadmin behavior is very slow.
Eventually I had to stop using the HTTP Proxy in order to let my users the possibility to use the Internet. 
Downloading, Skype and the other services seems to work fine.
This problem getting much worse when a big number of users are using the Internet. 

500 Users.
[:@]

Specifically regarding Mozilla downloads (Firefox).  Their downloads seem to work on a round robin of servers.  If you kick off a download, and it's slow, stop it and kick it off again until you get to a local server that gives you decent performance for the download.  Each time you start it, you'll probably be on a different server.  Some of them are simply very slow, and some quite fast.

Yep that's what happened, eganders. I initially blocked ftp-mozilla.netscape.com thinking there was a problem downloading the update from their site, and the clients switched to another site which I left running over night hoping it would sort itself out. 

Nope, no love. I had to block the download.mozilla.org domain to it couldn't find another mirror.

Hi all ,
is not a mozilla-servers problem but is the new HTTP-Proxy that have a lot of problems.
There are same missconfigurations among the net-conf  and  the net-filter files due the kernel can't 
dialog with them.
We must wait the next update and take the Proxy stopped at this moment ---and NOT any-any-any in the packet filter rules. in this way you can do everything without the firewall---.

The problem seems to be the HTTP and DNS proxies (haven't tried the generic); I was getting dropped packets on both http and dns ports. 

Note: I didn't set a filter for any-any-any. The source is the external IP address, externalIP-any-any. Granted the services should really be just http(s) and dns though.

Hi,


Can you please login to your ASG, and provide the output of the 'top' command when there are a lot of users are using the proxy? What do you have configured regarding caching/virus scanning in the HTTP Proxy?

Cheers,

Sven.

Top here is 

Note: I didn't set a filter for any-any-any. The source is the external IP address, externalIP-any-any. Granted the services should really be just http(s) and dns though.

My packets were also showing the external IP as the source until support found something in my snat/dnat rules.  After they made the change, the packets started showing with the actual source IP of the originating computer.  Still dropping them like mad, but at least now they had the right IP showing up.

I wish I could tell you exactly what they did, but I just don't know what that was.

My packets were also showing the external IP as the source until support found something in my snat/dnat rules.  After they made the change, the packets started showing with the actual source IP of the originating computer.  Still dropping them like mad, but at least now they had the right IP showing up.

I wish I could tell you exactly what they did, but I just don't know what that was.

Hmm, I was contemplating recreating my NAT rules. Now you've said this I might do it and see what happens.

For those with issues with the http proxy, you should read this post from Gert and see if that fixes your problem.

For those with issues with the http proxy, you should read this post from Gert and see if that fixes your problem.

Did this fix your issue drees?

For those with issues with the http proxy, you should read this post from Gert and see if that fixes your problem.

I can't go to a site cdw.com with the proxy on at all.  content filter on or off it does not mater.  I am getting random timeouts as well.

For those with issues with the http proxy, you should read this post from Gert and see if that fixes your problem.

I can't go to a site cdw.com with the proxy on at all.  content filter on or off it does not mater.  I am getting random timeouts as well.

Hi jwwstpete,

as mentioned in other postings, as a workaround for bad performance caused by dropped HTTP proxy packets (have a look in your packetfilter log) you can create the following packetfilter rule:
External Address, Any, Any, Allow

If you have multiple external address, look at the source ip in the packetfilter log.

We found the cause and will release an official fix in the next update.

Thank you for the report.

Regarding your problems with OSPF: you are actually the first customer reporting an OSPF related issue ever. Please contact me via email (dstutz(at)astaro.com). 

Kind Regards,
Daniel

Have a look at this thread. There's a packet filter bug that could be related to http proxy performance.
http://www.astaro.org/showthread.php?t=20460&page=3

more surprises: 

1.My Clients start getting the following error message:
"While trying to retrieve the URL: http://******/my_drives.php 
Error message: Broken pipe".

2. I have started getting once a day the flowing message from the FireWall:
    "Root partition is filling up - please check. Current usage: 88%"

3. Most of my clients have Kaspersky AV install on them. last two days, some of them has malfunction and cause error message which I think have that have some thing to do with Astaro.
[:@]

Regarding the Kaspersky AV and ASG 7.100...

I had to disable the Web-Anti-Virus component to get any HTTPS Site over the Proxy... have a look here

"3. Most of my clients have Kaspersky AV install on them. last two days, some of them has malfunction and cause error message which I think have that have some thing to do with Astaro."

At least in this case Astaro is not to blame.
Kaspersky published update which Ff#$*&^** alot of my work stations.
It Seems I can kiss this weekend goodbye...

First, a disclaimer.  I'm far from being any kind of expert on this stuff as I've only been using ASG for about a month now.  I am a home user with two desktops, a laptop, an HTPC, and an Xbox 360 running through the gateway.

At any rate, I was also having problems with web browsing.  Some of the issues I was experiencing were timeouts/connection errors, and pages taking forever to load.

About half an hour ago I turned off Accounting (under the Network section) and all of a sudden my browsing doesn't feel like I'm on a 56k modem anymore.  I realise that this turns off network reporting, which may be problematic for some.  Not sure if this impacts security in any other way.

I'll be testing this further and will report back if things remain 'improved'.


-A

We have found that most of these issues are related to the virus scanning system. We currently use the proxy on 7.101 w/ AD int. with multiple profiles and the system works much better than previous versions. When we have encountered theses issues they have been rectified by making an eception for virus scanning for the domain and all is well.

Hope this helps.

Mike Kiehl
Astaro Partner

The question is:
If I can't use the virus scanning, can't use the Cache, can't use the content filter can't use the reporting system and my Internet moves like cripple snail while using the HTTP Proxy, why using Astaro at all?
Right now, after several month with Ver 7. **, All I hear is that my salvation is just matter of days/weeks/months…
Well, these days are long gone.
Having 800 unsatisfied and angry users to think of, make me wonder how long time I'll be able to continue with Astaro...

Hi Guys, 

please come down a bit. 
In 7.100 he have seen that the improved performance of the http proxy caused random error in a specific packetfitler module that handles process based outbound control. 
This error sometimes dropped packets as it was not able to determine the process sending it, and therefore better dropping it. 
This was the reason that sometimes you got a "could not connect to server" message.

In 7.101, this and a few other things are fixed. 

If there are still experiancing issues with 7.101, please tell us here, as so far none is known. 

thx Gert

Hi Gert and thanks for jumping in.

My Astaro works with Reporting, Cache and Content Filter disabled for more than a week.
Today I hade to stop the HTTP Proxy all together because angry users start calling me and said that it is impossible for them to use the internet.
Since it's not a one time incident, I hope you can understand why it’s hard for me to stay calm.
I had a lot of expectation from 7.1   And so far - at least for me - It's even worse.
It's not "sometimes you got a "could not connect to server" message" it's a lot of time, and even if we don’t get this messages, it’s taking some time nearly a minute for a page to come up.
Hope you can relate to my situation.
And yes, I have called support.

Thanks Goldy.

Hi Guys, 

please come down a bit. 
In 7.100 he have seen that the improved performance of the http proxy caused random error in a specific packetfitler module that handles process based outbound control. 
This error sometimes dropped packets as it was not able to determine the process sending it, and therefore better dropping it. 
This was the reason that sometimes you got a "could not connect to server" message.

In 7.101, this and a few other things are fixed. 

If there are still experiancing issues with 7.101, please tell us here, as so far none is known. 

thx Gert

cdw.com works on my newly installed 7.101 machine but my upgraded 7.101 doesn't work.  I'm not getting random timeouts on the fresh install but am getting random timeouts with the upgraded one.  I'm going to reformat the upgraded one and see if that fixes(just have not had the time).