8.202 experiences

Have to agree with you William.

I've been testing 8.202 on my ESXi rig at home and with WebProxy & IPS enabled, 2GB is the comfortable minimum for 10 users or less. Still have to run tests at the office but that'll have to wait till I can get some hardware that can handle 8.202.

I'm wondering how so it'll be till we end up with v5 120's? The v3 family will handle 8.103 but at nowhere near the advertised capabilities. Even with the v4 using the Atom platform, I'm wondering how well they'll perform when 8.3 is released.

well the atom in question is a n330 series and so far it is handling 10 users just fine...however it is only doing basic nat, web proxy filtering and anti-malware(to me spyware is malware) and application control.  I think if i threw any kind of mail load onto it it would fall over.

I have gone from using a 1GB old p4 machine for v8.0x to using 2.5GB ram with 2vcpus on esxi for 8.2x. Granted the local content filter is using about 400 mb but with swappiness at 20 and no IPS running, I use almost 2GB ram and will probably swap if I enable IPS.

On the question of stability, 8.202 has been rock solid. This should have been the 8.2GA instead of 8.20-8.201 fiasco which left a bad impression in most people's mind. I had argued for a delayed release of 8.20 during the RC cycle but thats water under the bridge.

Too much stuff is going on in the UTM world and for astaro to stay competitive, they will have to add new stuff at sometimes frightening pace but they will have to rethink the version schema. Too many new features are introduced from v8.0 to 8.2 and more are coming in 8.3. I believe major rewrites of subsystems like the one in 8.2 with L7 categorization should be saved for major releases like v9 for example. It makes it easier for the end user to understand that something huge has changed under the hood that might need different hardware etc.

I never realized before but too many people are looking at webadmin and when they see new update available with urgency high/medium they assume its a security update and install it without thinking or knowing the consequences of such actions.

All in all, 8.2x has some nice features and I am glad that we have the option of running the software on the hardware of our liking so that the developers don't have to hold back because of the limitations of hardware. They will have to do something about the hardware appliances. Running 8.2x on 1GB ram with underpowered processor in production will not bring astaro many friends.

Regards
Bill.

plus this machine only has to deal with a 3 megabit dsl line...if it was a much fatter pipe then im sure it would be panting..[:)]

more are coming in 8.3

The roadmap has changed a little bit.  If you take a look at the approved list at Astaro Gateway Feature Requests, many of the bigger changes slated for inclusion in 8.3, have now been moved to 9.  The 8.3 beta will be starting a bit sooner now, but the changes won't be nearly as massive as 8.2 was.

All in all, 8.2x has some nice features and I am glad that we have the option of running the software on the hardware of our liking so that the developers don't have to hold back because of the limitations of hardware. They will have to do something about the hardware appliances. Running 8.2x on 1GB ram with underpowered processor in production will not bring astaro many friends.

Seconded on the hardware Bill. There's no way I'm going to even attempt to run 8.2x or later on my ASG120(v3)'s in production in our 25 PC offices(50 IP's), which is a bit of a bummer as we have two years left before license renewal.  On 8.103 they handle basic firewalling, VPN's, and can stretch to handle the web proxy but that's it. IPS was turned off after I swamped the poor little box one day trying to dump a 4GB file through the 6Mbps tunnel between offices. The master went offline(overloaded), the slave went offline(overloaded), the office went offline(here comes my boss). Ever seen a 120 jump off it's perch in a rack and beg for mercy?[:D]

We'll still be using Astaro barring any drastic changes in the company or the product but I'm seriously considering migrating to software licenses as it's cheaper then a 220 and I have the power of IBM x3650's at my disposal.

to share something from the other side of the coin. Today i was on-site at a customer, ASG 220 Rev4, 2 x 12 mbit lines. Using Web Sec, IPS (5000 patterns or so) balancing rules for multipath, application control (3 rules) and wireless with 6 AP30's.

178 protected IP's over 3 networks, ram usage was 522 Megabytes, system load was .3 average over the hour. Not using any local CFF db

Zero complaints performance issues. Just a small portscan detection problem we solved. Runs like a charm

One thing to watch for, webadmin is currently using a lot of ram (80+mb) per session, and there is a dashboard leak which can grow it to 300+MB. watch your not leaving the dash open for long periods if you are ram sensitive until that gets fixed.

As always, depending on your config, bandwidth, and other factors, experiences vary. i would be interested in the loads of some of these boxes that are "slow" in your experience.

they certainly dont need 3gb of ram to be effective though.

to share something from the other side of the coin. Today i was on-site at a customer, ASG 220 Rev4, 2 x 12 mbit lines. Using Web Sec, IPS (5000 patterns or so) balancing rules for multipath, application control (3 rules) and wireless with 6 AP30's.

178 protected IP's over 3 networks, ram usage was 522 Megabytes, system load was .3 average over the hour. Not using any local CFF db

Zero complaints performance issues. Just a small portscan detection problem we solved. Runs like a charm

One thing to watch for, webadmin is currently using a lot of ram (80+mb) per session, and there is a dashboard leak which can grow it to 300+MB. watch your not leaving the dash open for long periods if you are ram sensitive until that gets fixed.

As always, depending on your config, bandwidth, and other factors, experiences vary. i would be interested in the loads of some of these boxes that are "slow" in your experience.

they certainly dont need 3gb of ram to be effective though.

Loads are typicaly below 1.  The ibm rarely goes above .5.

178 protected IP's over 3 networks, ram usage was 522 Megabytes, system load was .3 average over the hour. Not using any local CFF db

Hi Angelo, thanks for your input. Astaro needs to publish some of those tuning parameters for us common folks because I can't make my astaro box run with anything below 1GB without major swapping. I don't mind swapping but I come from old school and it irks me when I see swap usage so I throw memory at it. The cpu load is fairly low on my system but I don't have actively used 178 IP's protected either[:D]

Screenshot 1 and 2: Here are my screenshots for my esxi system with websecurity, local CFF in memory, mail, application security, WAF. As you can see I have around 500mb free and 800 mb cached. So I am using about 1.2GB (2.5GB total memory- 1.3GB free and cached) which is around 45% as shown in the dashboard screenshot.

Screenshot 3 and 4: Reconfigured the system with websecurity (no CFF), application control, and IPS (disabled smtp and WAF) and if I subtract the free memory and cached memory from the total system memory, I am using almost 1GB ram without swapping. The dashboard shows 30% usage which would be around 850mb [:S] under these conditions.

Keep in mind, that this is with the stable system without any daily reports or user generated reports. The memory usage will vary when such tools are utilized. So the bottleneck mostly would be ram for low end systems, however http proxy and IPS take up quite a bit of processor if pushed with heavier loads of fast internet pipes and reporting including the rrd tool are cpu intensive.

Regards
Bill.

to share something from the other side of the coin. Today i was on-site at a customer, ASG 220 Rev4, 2 x 12 mbit lines. Using Web Sec, IPS (5000 patterns or so) balancing rules for multipath, application control (3 rules) and wireless with 6 AP30's.

178 protected IP's over 3 networks, ram usage was 522 Megabytes, system load was .3 average over the hour. Not using any local CFF db

Zero complaints performance issues. Just a small portscan detection problem we solved. Runs like a charm

One thing to watch for, webadmin is currently using a lot of ram (80+mb) per session, and there is a dashboard leak which can grow it to 300+MB. watch your not leaving the dash open for long periods if you are ram sensitive until that gets fixed.

As always, depending on your config, bandwidth, and other factors, experiences vary. i would be interested in the loads of some of these boxes that are "slow" in your experience.

they certainly dont need 3gb of ram to be effective though.

ALL of the boxes swap now with 2 gigs being the minimum and all boxes using swappiness = 0.  One wrinkle could be I have archives being kept for 6-12 months depending on the options given to me in webadmin.  

I'll further elaborate on my configurations:
ibm: 25 users.  The ibm is on a 16 megabit cable connection.  http, smtp, ips, anti-spam and malware, openvpn, user portal for above as well as basic features all on.  

The dell is on a 12 megabit connection with 5 users and same features usage as the ibm.

The atom is on a 3 megabit dsl connection with 10 users.  It is only doing http anti-crud... and no ips or e-mail filtering.  using openvpn for vpn services.

It is not dns, or bandwidth or hardware.  ALL installations I have out there slowed down in terms of http proxy performance.  As i said the days of Astaro being a lightweight product are gone.