7.1 http proxy timeout issue

I'm working with astaro support but i wanted to see if anyone is getting random but often errors from astaro about connection resets or timeouts with  the proxy turned on?

I'm also having the same problem. There's no point in stating URLs because this behavior is random. Content filter says: error="Connection to server timed out".
Also this seems to slow down the proxy to all users.

500 users, eDirectory SSO, content filtering, 1 profile, 2 filter assignments and two filter actions configured...

After moving to 7.1, using the proxy is actually impossible.
Timing 10 - 30 seconds to web page to download and very often we are getting the "This page cannot be found" messages.
Also the Webadmin behavior is very slow.
Eventually I had to stop using the HTTP Proxy in order to let my users the possibility to use the Internet. 
Downloading, Skype and the other services seems to work fine.
This problem getting much worse when a big number of users are using the Internet. 

500 Users.
[:@]

Hi jwwstpete,

as mentioned in other postings, as a workaround for bad performance caused by dropped HTTP proxy packets (have a look in your packetfilter log) you can create the following packetfilter rule:
External Address, Any, Any, Allow

If you have multiple external address, look at the source ip in the packetfilter log.

We found the cause and will release an official fix in the next update.

Thank you for the report.

Regarding your problems with OSPF: you are actually the first customer reporting an OSPF related issue ever. Please contact me via email (dstutz(at)astaro.com). 

Kind Regards,
Daniel

Have a look at this thread. There's a packet filter bug that could be related to http proxy performance.
http://www.astaro.org/showthread.php?t=20460&page=3

more surprises: 

1.My Clients start getting the following error message:
"While trying to retrieve the URL: http://******/my_drives.php 
Error message: Broken pipe".

2. I have started getting once a day the flowing message from the FireWall:
    "Root partition is filling up - please check. Current usage: 88%"

3. Most of my clients have Kaspersky AV install on them. last two days, some of them has malfunction and cause error message which I think have that have some thing to do with Astaro.
[:@]

Regarding the Kaspersky AV and ASG 7.100...

I had to disable the Web-Anti-Virus component to get any HTTPS Site over the Proxy... have a look here

"3. Most of my clients have Kaspersky AV install on them. last two days, some of them has malfunction and cause error message which I think have that have some thing to do with Astaro."

At least in this case Astaro is not to blame.
Kaspersky published update which Ff#$*&^** alot of my work stations.
It Seems I can kiss this weekend goodbye...

First, a disclaimer.  I'm far from being any kind of expert on this stuff as I've only been using ASG for about a month now.  I am a home user with two desktops, a laptop, an HTPC, and an Xbox 360 running through the gateway.

At any rate, I was also having problems with web browsing.  Some of the issues I was experiencing were timeouts/connection errors, and pages taking forever to load.

About half an hour ago I turned off Accounting (under the Network section) and all of a sudden my browsing doesn't feel like I'm on a 56k modem anymore.  I realise that this turns off network reporting, which may be problematic for some.  Not sure if this impacts security in any other way.

I'll be testing this further and will report back if things remain 'improved'.


-A

We have found that most of these issues are related to the virus scanning system. We currently use the proxy on 7.101 w/ AD int. with multiple profiles and the system works much better than previous versions. When we have encountered theses issues they have been rectified by making an eception for virus scanning for the domain and all is well.

Hope this helps.

Mike Kiehl
Astaro Partner

The question is:
If I can't use the virus scanning, can't use the Cache, can't use the content filter can't use the reporting system and my Internet moves like cripple snail while using the HTTP Proxy, why using Astaro at all?
Right now, after several month with Ver 7. **, All I hear is that my salvation is just matter of days/weeks/months…
Well, these days are long gone.
Having 800 unsatisfied and angry users to think of, make me wonder how long time I'll be able to continue with Astaro...

Hi Guys, 

please come down a bit. 
In 7.100 he have seen that the improved performance of the http proxy caused random error in a specific packetfitler module that handles process based outbound control. 
This error sometimes dropped packets as it was not able to determine the process sending it, and therefore better dropping it. 
This was the reason that sometimes you got a "could not connect to server" message.

In 7.101, this and a few other things are fixed. 

If there are still experiancing issues with 7.101, please tell us here, as so far none is known. 

thx Gert

Hi Gert and thanks for jumping in.

My Astaro works with Reporting, Cache and Content Filter disabled for more than a week.
Today I hade to stop the HTTP Proxy all together because angry users start calling me and said that it is impossible for them to use the internet.
Since it's not a one time incident, I hope you can understand why it’s hard for me to stay calm.
I had a lot of expectation from 7.1   And so far - at least for me - It's even worse.
It's not "sometimes you got a "could not connect to server" message" it's a lot of time, and even if we don’t get this messages, it’s taking some time nearly a minute for a page to come up.
Hope you can relate to my situation.
And yes, I have called support.

Thanks Goldy.

Hi Guys, 

please come down a bit. 
In 7.100 he have seen that the improved performance of the http proxy caused random error in a specific packetfitler module that handles process based outbound control. 
This error sometimes dropped packets as it was not able to determine the process sending it, and therefore better dropping it. 
This was the reason that sometimes you got a "could not connect to server" message.

In 7.101, this and a few other things are fixed. 

If there are still experiancing issues with 7.101, please tell us here, as so far none is known. 

thx Gert

cdw.com works on my newly installed 7.101 machine but my upgraded 7.101 doesn't work.  I'm not getting random timeouts on the fresh install but am getting random timeouts with the upgraded one.  I'm going to reformat the upgraded one and see if that fixes(just have not had the time).

Hi Guys, 

please come down a bit. 
In 7.100 he have seen that the improved performance of the http proxy caused random error in a specific packetfitler module that handles process based outbound control. 
This error sometimes dropped packets as it was not able to determine the process sending it, and therefore better dropping it. 
This was the reason that sometimes you got a "could not connect to server" message.

In 7.101, this and a few other things are fixed. 

If there are still experiancing issues with 7.101, please tell us here, as so far none is known. 

thx Gert

cdw.com works on my newly installed 7.101 machine but my upgraded 7.101 doesn't work.  I'm not getting random timeouts on the fresh install but am getting random timeouts with the upgraded one.  I'm going to reformat the upgraded one and see if that fixes(just have not had the time).

Hi guys,
The http proxy in standard seems to stop working. The ASG continues all other functions, just no web browsing. Dis-able and re-enable http proxy and access is available again.

The internet service has been up and down all day. We have jsu had a huge amount of rain for us and expect there is water a cable down the street. Not sure if this has any affect/cause but it is additional info.

Another issue with v7.101 is random re-starts, not all appear to be logged, but I do get e-mails advising a restart.

Mine is an upgraded system, I would like to rebuild it, but the archive files are required for another investigation.

Ian M

Hi,

Another issue with v7.101 is random re-starts, not all appear to be logged, but I do get e-mails advising a restart.

is it possible to get a login to your installation? I'd like to monitor the proxy to get an idea why it is restarting and what's causing this.  If you give us permission, please send the login to sschnelle@astaro.com

Cheers,

Sven.

okay, I thought sometimes this will come up in that discussion. Yes I have the restarts as well

https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43577

Hi,

okay, I thought sometimes this will come up in that discussion. Yes I have the restarts as well

https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43577

But if i understand you right, you have contentfilter (not httproxy) restarts? The loglines posted in the thread above from the httpproxy are pretty normal.

Cheers,

Sven.

Hi Sven

correct. So you tell me that this is normal that it restarts every hour? Did you change the notification threshold then? Never had these messages up to 7.100

If so, I will disable the notifications of the contentfilter. Because this is quite annoying

Regs

With 'normal messages' i meant messages like this:

httpproxy[11327]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs01.astaro.com' access time: 10ms"
httpproxy[11327]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs05.astaro.com' access time: 11ms"
httpproxy[11327]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_check_servers" file="scr_scanner.c" line="758" message="server 'cffs04.astaro.com' access time: 12ms"

The contentfilter restarts shouldn't happen of course. (I must admit that the name 'content filter' is a bit generic: It means the smtp/pop3 part of the ASG, and not the HTTP Proxy). If you send me alogin i'll try to get an idea why it restarts so often.

Cheers,

Sven.

Hi Sven

I continue in the other thread, I guess you're right I might have a different problem. I posted the SMTP Proxylog there as advised by a colleague of you.

my problem is within cffd.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/43577

Cheers
streetfox

well reformatting hte server at my house did nothing.  it refuses to go to cdw.com

[FONT=monospace]2007:12:22-09:38:17 (none) httpproxy[9553]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x8092d18" function="tunnel_response" file="tunnel.c" line="225" message="write: Broken pipe" [/FONT]
[FONT=monospace]2007:12:22-09:38:17 (none) httpproxy[9553]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="block" method="GET" srcip="192.168.255.248" user="" statuscode="502" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="0" time="121 ms" request="0x8092d18" url="www.cdw.com/.../FONT]
[FONT=monospace]2007:12:22-09:38:17 (none) httpproxy[9553]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.255.248" user="" statuscode="200" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="894" time="114 ms" request="0x80a9c70" url="www.cdw.com/favicon.ico" error=""

[/FONT]2007:12:22-09:44:26 (none) httpproxy[9553]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="block" method="GET" srcip="192.168.255.248" user="" statuscode="502" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="2229" time="29347 ms" request="0x8092d18" url="www.cdw.com/" error="Connection reset by peer"


it works fine if the proxy is off

I just changed isp's yesterday and decided to try cdw today and low and behold it worked. I can't see why that would effect the proxy. Maybe if the provider has an inline proxy on there and it does not work well with astaro. Granted it is transparent to the end user but I have known for a few years they were using it and it never caused issues.

Just my 2 cents on the issue

Sven,
in regard to your request I have e-mailed the details.

Ian M