7.1 http proxy timeout issue

I'm working with astaro support but i wanted to see if anyone is getting random but often errors from astaro about connection resets or timeouts with  the proxy turned on?

I'm also having the same problem. There's no point in stating URLs because this behavior is random. Content filter says: error="Connection to server timed out".
Also this seems to slow down the proxy to all users.

500 users, eDirectory SSO, content filtering, 1 profile, 2 filter assignments and two filter actions configured...

After moving to 7.1, using the proxy is actually impossible.
Timing 10 - 30 seconds to web page to download and very often we are getting the "This page cannot be found" messages.
Also the Webadmin behavior is very slow.
Eventually I had to stop using the HTTP Proxy in order to let my users the possibility to use the Internet. 
Downloading, Skype and the other services seems to work fine.
This problem getting much worse when a big number of users are using the Internet. 

500 Users.
[:@]

Sven,
in regard to your request I have e-mailed the details.

Ian M

I just changed isp's yesterday and decided to try cdw today and low and behold it worked. I can't see why that would effect the proxy. Maybe if the provider has an inline proxy on there and it does not work well with astaro. Granted it is transparent to the end user but I have known for a few years they were using it and it never caused issues.

Just my 2 cents on the issue

VZ doesn't use invisible proxies form what i have ever seen both on my connection and searches on the inet.  Of course if it is a vz issue that would be interesting.  However the fact that this issue did not start until after 7.1 still points back to the astaro.  If i put in my ipcop hard disk it works fine without issues.

VZ doesn't use invisible proxies form what i have ever seen both on my connection and searches on the inet.  Of course if it is a vz issue that would be interesting.  However the fact that this issue did not start until after 7.1 still points back to the astaro.  If i put in my ipcop hard disk it works fine without issues.

I wasn't trying to say it was the isp as the issue. I was just trying to shed some light on the situation. I also know it was working prior. It also worked fine through the old provider when I skipped the proxy.

I wasn't trying to say it was the isp as the issue. I was just trying to shed some light on the situation. I also know it was working prior. It also worked fine through the old provider when I skipped the proxy.

nods understood..[:)]  Have not heard back from astaro on this issue yet though.

[/FONT]2007:12:22-09:44:26 (none) httpproxy[9553]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="block" method="GET" srcip="192.168.255.248" user="" statuscode="502" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="2229" time="29347 ms" request="0x8092d18" url="http://www.cdw.com/" error="Connection reset by peer"


it works fine if the proxy is off

Same as here: -> http://www.vmguru.com/files/Appendix%20C%20-%20What's%20New%20and%20Different%20in%20Vi3-5.pdf

2007:12:24-12:53:58 (none) httpproxy[6858]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="block" method="GET" srcip="172.16.70.12" user="" statuscode="502" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="11201" time="623 ms" request="0xada55700" url="http://www.vmguru.com/files/Appendix%20C%20-%20What's%20New%20and%20Different%20in%20Vi3-5.pdf" error="Connection reset by peer"

2007:12:30-20:13:48 (none) httpproxy[3223]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="block" method="GET" srcip="192.168.255.152" user="" statuscode="502" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="2229" time="29472 ms" request="0x8243f98" url="www.cdw.com/.../ IT Information"

for some reason astaro is blocking this site on my box and will not allow it through no matter what.  I have whitelisted it everywhere you can to no avail.  to get to cdw.com i have to turn off hte proxy.

I had my other Astaro installation finally hit this bug as well.  Turns out turning off the http anti-virus scanner fixed the issue there.

I had my other Astaro(50 user) installation finally hit this bug as well. Turns out turning off the http anti-virus scanner partially fixed it.  I then had to add a full exception(authentication is unchecked but everything else is checked) for netdetective.net for it to function.  If i did not do both steps the site would fail to load with a blocked get method error exactly as the error i posted earlier does.

I just heard back from support.  They think it is an http proxy profile issue..thing is the only profile i am using is the one created internally by the act of turning on the http proxy.  I have sent them my configs..we'll see what they come up with.

no futher response from astaro on this issue.  I will be having to switch bck to my ipcop hard drive is there is no resolution soon as i am getting ready to put in some orders to cdw which is impossible to do right now.

yes i know i could turn off the proxy then i have to remove content filtering and with my daughter being online that is simply NOT an option right now.  I can have content filtering AND full access to other non-blocklisted sites with my ipcop solution.  Come on Astaro let's get this fixed as i have two machines with two different configurations on two different isps hitting this issue.

no futher response from astaro on this issue.  I will be having to switch bck to my ipcop hard drive is there is no resolution soon as i am getting ready to put in some orders to cdw which is impossible to do right now.

yes i know i could turn off the proxy then i have to remove content filtering and with my daughter being online that is simply NOT an option right now.  I can have content filtering AND full access to other non-blocklisted sites with my ipcop solution.  Come on Astaro let's get this fixed as i have two machines with two different configurations on two different isps hitting this issue.

hi 
same issue here proxy time out I have tried everything mentioned in this thread (I have turn off the spam, antivirus, even network accounting ) it has been improved partially but the problem still exist?




astaro 220 v7.101

Hi,

I have the same problem:-) The Astaro box fails a up2date prefetch and then the html proxy fails - no web browsing is possible without rebooting the ASG box.

Astaro v7.101

We have had this same issue since moving to ASG7. When I opened a ticket last July, I was told suck it up until 7.1 comes in "late October".


2008:01:08-20:09:15 198.19.250.4 httpproxy[17969]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="block" method="GET" srcip="10.x.x.x" user="" statuscode="502" cached="0" profile="profile_0" filteraction="action_REF_DefaultHTTPCFFAction" size="24047156" time="37239 ms" request="0xafce5ed8" url="download2.vmware.com/.../esx-3.5.0-64607.iso

Above is the last log entry I see when a download fails. I've tcpdump'd traffic and sniffed the public nic when troubleshooting, and all a see is the packets stop. No RST flags, no DF, nothing out of the ordinary that I can tell.

We run 6 ASG525's in a cluster (one's dead currently). Any insight would be wonderful. Thanks

Gert,

    Having the same issue with timeouts in 7.101 as the previous posters. Oddly enough my bandwidth skyrockets when the timeouts start to happen to often. Looking into this issue with support and the ISP. Has anybody seen inbound bandwidth peg up completely with the inbound address's coming from AKAMI's network?

The Akamai traffic is usually some software updater, such as the Adobe Acrobat updater.

Barry

no i am not having that issue.  The sites simply fial no matter what the network utilization is.

The Akamai traffic is usually some software updater, such as the Adobe Acrobat updater.

Barry

 The timeouts are pretty random. But this AKAMAI issue is something else, I did notice that most of the offending address' are on that net. Doing further research shows AKAMAI provides bandwidth and services for many of the common internet services and companies we all use. I think my client is getting DOS attacks..

Regards,

If you're right, I'm sure Akamai would be interested in some packet captures, or even the packetfilter logs.

However, this could be something else.

Can you post some entries from the packetfilter log here?

If you are saying that this traffic is coming into your internal servers, you might need to look at their logs.

Barry

Barry,

  The ASG220 is dropping the packets as it should. My servers are not affected, but my bandwidth gets consumed when the event happens. I am filing an abuse form with Akamai today. More when I know...

If they're all RSTs or SYNACKs on source ports 80 or 443, they could be 'normal' http traffic.

Barry