Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 15253 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow Latency through WEB Proxy

kloana
Hi,

i'm running Astaro Security Gateway since a few of years,... Now i installed a new maschine with ASG V7.507. When i run a test via speedtest.net i got latency via the WEB Proxy (standard also transparent mode) of approximatly 250ms. When i run the same test, with proxy disabled, i got latency of appr. 45ms.

The AntiVirus and the URL-Filtering is in proxy-mode disabled.

Hardware: Pentium 4 2,4GHz, 2GB RAM, 40GB IDE Harddisk
Dashboard Utilisation: CPU ~ 5-10%, RAM ~ 35-40%

Maybe you have some advice for me to fix the problem, because, without webproxy, i loose the ability to filter virusus and URL's.

Thanks in advance,
regards
Herbert


This thread was automatically locked due to age.
Parents
  • 0
    kloana...only the site name is routed through the servers..why it's done this way..astaro only knows.  We have been complaining about the extra latency and performance issues it brings for a while now.  Passwords are NOT routed only the name of the site you are requesting is re-routed..i'm sorry if i made it seem otherwise.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    kloana...only the site name is routed through the servers..why it's done this way..astaro only knows.  We have been complaining about the extra latency and performance issues it brings for a while now.  Passwords are NOT routed only the name of the site you are requesting is re-routed..i'm sorry if i made it seem otherwise.


    I also can't believe this.  What if the astaro servers can't be reached?

    ... would make more sense to have lists of site names locally cached on the asg and update these lists frequently from astaro (white or/and blacklists) as other UTM systems behave like this.

    (Antivirus solutions also don't ask their vendor each time for signatures when a file is scanned - this is slightly different, I know, but only slightly)
Reply
  • 0 in reply to William Warren
    kloana...only the site name is routed through the servers..why it's done this way..astaro only knows.  We have been complaining about the extra latency and performance issues it brings for a while now.  Passwords are NOT routed only the name of the site you are requesting is re-routed..i'm sorry if i made it seem otherwise.


    I also can't believe this.  What if the astaro servers can't be reached?

    ... would make more sense to have lists of site names locally cached on the asg and update these lists frequently from astaro (white or/and blacklists) as other UTM systems behave like this.

    (Antivirus solutions also don't ask their vendor each time for signatures when a file is scanned - this is slightly different, I know, but only slightly)
Children
  • 0 in reply to minti
    Hi,

    if this is correct, the slow performance, not depends on the product design, or product itselfs. It depends on the SW design and the astaro servers. OK, in this case appr. 20 to 30ms in ideal are added to each request. Let's say a side has many embedded flashes from diffrent sites. In this case every embedded flash-link will be checked against astaros servers, because it's also a normal request for the proxy.

    What do we have in the end of this the same or slower performance. The performance win by proxy (local caching) will be destroyed by this design! Sorry, but i think this is a big problem, which should be redesigned!!!!

    But if this is correct, why are ftp-sites like netgear/kaspersky via proxy sooooo slow? There is only one request to astaros servers! I think there are 2 problems, and not only this one with the design.

    regards
    Herbert
  • 0 in reply to kloana
    Hi,
    What do we have in the end of this the same or slower performance. The performance win by proxy (local caching) will be destroyed by this design! 
    regards
    Herbert


    Yeah, I agree. The only proxy feature that I want to use is the local caching...but, whats the point if my overall speeds are reduced by 30%+?
  • 0 in reply to jollos
    Hi guys,
    you really aren't using your brains.

    Why don't put the whole internet in bypass url checking? You still get the cache.

    There is another way, but I can't find it at the moment and that is disable url checking.

    Ian M
  • 0 in reply to minti
    I also can't believe this.  What if the astaro servers can't be reached?

    ... would make more sense to have lists of site names locally cached on the asg and update these lists frequently from astaro (white or/and blacklists) as other UTM systems behave like this.

    (Antivirus solutions also don't ask their vendor each time for signatures when a file is scanned - this is slightly different, I know, but only slightly)

    if you can't reach the servers you don't surf...i've had to turn off the http proxy a couple of times due to network issues that render astaro's servers unreachable.  99% of all other utm's that Astaro competes against do this too so don't think you can run right to another vendor and get away from it.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to RFCat_vk_01
    Hi guys,
    you really aren't using your brains.

    Why don't put the whole internet in bypass url checking? You still get the cache.

    There is another way, but I can't find it at the moment and that is disable url checking.

    Ian M


    I've not found a way to do that.  If the http proxy is on url filtering is on..the only way to get around it is to except the entire internet.  I've posted about this in the past.  If astaro's servers(or the network in between) has an issue the only way around it is to disable the http proxy completely.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Your passwords are safe, only thing that is matched is the url. My closest astaro server has around 70 ms rtt. If I go to speedtest. net etc and run the test via proxy by disabling caching and av scanning, it adds another 50ms or so on top of that so a site with 30ms rtt without proxy will end up with around 30+70+50=150ms rtt. 

    That is not too bad for regular websurfing but is slow specially if you have higher latency to begin with. It also takes away the instant snappy page loads that most people on low latency networks are used to.

    In the meantime, use opera or chrome and it will bring some of the low latency feeling back.
  • 0 in reply to Billybob
    Hi,

    thanks for your answers. The outcome of this discussion is: 

    http-proxy and urlfiltering = slow (due the design via astaros server) and local caching feature

    http-proxy without urlfiltering = normal speed, only local caching, urlfiltering won't work

    I want to have caching and urlfiltering with normal latency. This is not possible with astaros ASG. It's up to me if i can agree on this or if i choose another vendor, which fits my need!

    I think urlfiltering is enabled in most companys. These companys can agree on this design? The administrator of the firewall has always to reconfigure the appliance, when the astaros servers are down. 

    Maybe astaro can think about an option to turn of the online checking and use local black and white lists. With this option everyone can use the best method for his network. And i don't think this should be a big task to enable this in software. Do you know where i can open a feature request for this?

    Ok thanks,
    regards
    Herbert
  • 0 in reply to William Warren
     99% of all other utm's that Astaro competes against do this too so don't think you can run right to another vendor and get away from it.


    fortinet  -  works pretty fine with the local cache  (but has also challenges).  But it is not the subject here to name other vendors. Each solution and vendor has its place where it fits.