Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 47 replies
  • Subscribers 1 subscriber
  • Views 28808 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Timeout while reading response from Server"

UweT
Hi there,

Astaro's web filter is getting a pain in the neck. It causes more and more frustration.

Right now we have a class of students in a room who have to do an exam/a test online using www.coa2.co.uk (Java based).

Some students want to finish the test, some others want to access the website and the Astaro comes up with a client error window in the browser: "Timeout while reading response from Server".

Reviewing the web filter log I even see different URLs having that problem: 


2012:02:03-11:23:18 disgwac httpproxy[6111]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="172.16.2.42" dstip="194.168.43.38" user="" statuscode="502" cached="0" profile="REF_KbKfywLeRp (School)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xa3a1330" url="www.coa2.co.uk/.../" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache,fileextension" error="Timeout while reading response from Server"

2012:02:03-11:23:18 disgwac httpproxy[6111]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.17.9.11" dstip="67.195.187.57" user="" statuscode="502" cached="0" profile="REF_mLsJvVcVuk (WLAN-CommunityRoom)" filteraction="REF_iKcUWRpPYS (CommunityRoom_Action)" size="5293" request="0x6d301a30" url="prod1.rest-notify.msg.yahoo.com/.../uta_siebert

2012:02:03-11:24:51 disgwac httpproxy[6111]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.2.129" dstip="94.100.179.72" user="asachechelashvili" statuscode="502" cached="0" profile="REF_KbKfywLeRp (School)" filteraction="REF_jufcKIaXDn (Students_Action)" size="4835" request="0x8432d1a8" url="jim12.mail.ru/connect


These are just 3 examples of many lines repeating in similar form.

The website above I had/have already excluded from everything: AV Scanning, URL ContentFiltering... but it doesn't help.

Do you have any suggestions?

Sincerely,
Uwe


This thread was automatically locked due to age.
  • 0
    When you look at the DNS hosts in the list of 'Network Definitions', are they resolved?  If not, you'll need to review your configuration in 'Network Services >> DNS'.  Refer to DNS Best Practice.

    Cheers - Bob
  • 0 in reply to William Warren
    Model: ASG320
    Subscriptions: Base Functionality, Net Security, Web Security

    Currently my CPU is pegging out at 100% but the average is 39%, 2 gig mem, around 40% utilization.  Local CFF (disk, not mem).  Roughly 400 users total.

    Both DNS Hosts are resolved  (Prod1 - 67.195.187.57, Prod2 - 216.155.195.253)
  • 0
    I still think the issue is name resolution, but a comment on your 100%.  Depending on how much your users are using the web and how you have IPS configured, 400 users could be too much.  You might want to go through IPS and unclick the things you don't need on the 'Attack Patterns' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    IPS is not even enabled.

    top shows 'HTTPProx' consuming the most cycles by far - currently at 32% (total CPU is hovering around 35-38%. fwiw)
  • 0
    you need faster hardware...you can try tuning your ips or something but i bet faster hardware is going to help more.
  • 0
    I can certainly look in to faster hardware.  How will that address the problem I am having with regards to two URLS (and ONLY two) being blocked?  It appears to be software related.
  • 0
    William is all about FAST! - and I can't say I blame him!  For every client, at every renewal, I (and, I'm sure William and other resellers) try to evaluate whether the client will spend less and be safer with Astaro appliances or their own hardware with Astaro software.

    You'll need to convince me that the issue isn't how you have configured name resolution...

    Cheers - Bob
  • 0
    if it's only two urls then it may not be hardware..may....  first what are the dns servers for the astaro itself?  Also are you running AD?  if so how is dns setup for AD?  I ahve other ideas but this is primary first.
  • 0 in reply to William Warren
    I've configured the ASG with two DNS servers on our network. We are running AD though I'm not sure how to answer your last question relating to how it is set up for AD.  

    For what it's worth here is a little background.  We had been running on v7 because we were on the an old AWG box and that is the last supported rev on the AWG.  Since it is reaching EOL, Astaro replaced it with this ASG box running v8.  Prior to the "upgrade", the AWG CPU never hit 100% and we had no issues with these URLs.  Even today, when I switch back to the old AWG, it works fine.  (We are holding on to the AWG until we get the kinks worked out on the ASG)  So I guess that's why I am thinking the problem is not related to DNS, though I'm not opposed to looking at that aspect.
  • 0 in reply to trubble
    I've configured the ASG with two DNS servers on our network. We are running AD though I'm not sure how to answer your last question relating to how it is set up for AD.  

    For what it's worth here is a little background.  We had been running on v7 because we were on the an old AWG box and that is the last supported rev on the AWG.  Since it is reaching EOL, Astaro replaced it with this ASG box running v8.  Prior to the "upgrade", the AWG CPU never hit 100% and we had no issues with these URLs.  Even today, when I switch back to the old AWG, it works fine.  (We are holding on to the AWG until we get the kinks worked out on the ASG)  So I guess that's why I am thinking the problem is not related to DNS, though I'm not opposed to looking at that aspect.


    ok..right now the astaro is bouncing back to AD for dns..this is not optimal and can(and sometimes does) cause weird issues.  here's my suggestion:
    network services-dns
    forwarders
    (if you have a static ip bput the primary and secondary dns servers your isp gave you here)  if you ahve a dynamic ip simply put a checkmark next to use forwarders assigned by isp.  This is also the best thing to do for anti-spam performance and effectiveness(if used)...click apply

    request routing tab
    click new request routing button
    domain(put your AD domain in here..if it is the same as your external domain..there's the srource of your resolution problems) in my case it is ecc.local..target servers are your AD servers
    click save

    give the asg 5 minutes to get things resolved.  See if that fixes it.