Slow ASG-220 Sophos Ltd Firewalls

Hi, this being a user forum you won't get any answers here to hardware changes/upgrades from Sophos staff here.

Try taking the issue up with your reseller/support.

How much ram does your ASG220 have, what other features do you have enabled?
How long have you had the UTM?
Did it perform well with previous versions of UTM software?
What caused this issue to come to your attention?

Ian

Hi michaelxy,

Have you ever seen this chart (in scrshot), if not you shoud talk to your reseller (as RFCat_vk adviced)...[;)]

300 max is recommended only for NAT/Firewall functions, not for Web filtering and other things...actually it is sized for max. 40 full UTM users.

I've implemented few 220s as a consultant and it is always a little risky if you can't provide demo unit and/or organize full production 30-day trial before putting it in full production.

Its  a performance problem based on the slow celeron CPU in a "300 User" Firewall and the bad programmed Software.

How much ram does your ASG220 have, what other features do you have enabled?

Its not a problem with the memory. Features: Firewalling, 1 ipsec tunnel, IDS off, Webfilterung with virus scan with only 1 Enginge because with 2 Engines the ASG220 will collapse at worse, ssl-virus-scan AND SSH [:O]

How long have you had the UTM?

Long enough. [:S]

Did it perform well with previous versions of UTM software?

The problems began with 9.2

What caused this issue to come to your attention?

Please read my first post.

How can I find out, why the ****ing httpproxy will run at 100% und 100 Users cant use the Internet?

Hi vilic,

thanks for the chart ! No I dont know this chart. But we are here only ~60 active users. I am the new admin here and our resellers sold us this slow celeron firewall - before I was here. Anyway - the httpproxy should never run constantly at 100% and make it unable access the internet. This is a software-bug. Also the advice: "please shut of the second antivirus-engine, if you have performance problems."

The UTM Subscriptions are quite expensive and we get a very bad performance for a lot of money - also a undersized Firewall from our reseller.

I dont understand why Sophos uses such a slow Celeron CPU.

Michaelxy, 

To make things a little more complicated Sophos UTM user is not 1:1 relationship with physical person.

Standard user is - 1x
Advanced user is - 1,5x
Power user is -2x

So, if all of you 60 guys and girls are power users, no wonder that UTM 220 is saturated.[:)]

michaelxy, sorry, but the sizing from your reseller is wrong!
Just have a look in the sizing guide, it is important to analyse your infrastructur and check your requirements.

First sentence in the old Sizing Guides:

This document provides a rough guideline for choosing the right Sophos UTM appliance for
different scenarios. As performance may vary based on user characteristics, application
usage, security configurations and other factors, we cannot guarantee specific performance
results. Please consult an engineer certified by Sophos (or Astaro) for accurate sizing.... 

Here is the new Guide:
New Sophos UTM Sizing Guideline for 9.2 and SG series hardware

So please, make this correctly and don't look just at the table and count the user.

Nice greetings

Hi michaelxy,

I understand you are frustrated but taking it out on the community forum isn't the best place to do so, especially using profanity. If your reseller/IT Consultant/whomever sold the previous IT person an undersized firewall, you need to take it up with them. If they won't take your calls, have one of the folks who has clout in the company, Owner/General Manager/CEO, take it up with them. If they still won't, contact Sophos and ask to have another reseller contact you and speak with them.

Any good reseller will care about their reputation. If they sold you the wrong product, they'll have a vested interest in making it right. A good reseller will also keep records in case, and trust me I've seen this happen before, they advised your previous IT person to go with a 3xx or 4xx series model and the advice was declined.

Its a performance problem based on the slow celeron CPU in a "300 User" Firewall and the bad programmed Software.

Who told you this was a 300 person router/firewall? Marketing literature has never been a reliable source of real world performance, everything is based on controlled conditions with unnecessary subsystems turned off. That's why that chart RFCat showed you exists. This is also why Astaro/Sophos sells through partners; they can help size the units correctly where an online retailer will just spout the marketing material.

Its not a problem with the memory. Features: Firewalling, 1 ipsec tunnel, IDS off, Webfilterung with virus scan with only 1 Enginge because with 2 Engines the ASG220 will collapse at worse, ssl-virus-scan AND SSH

How much memory utilization are you seeing? How much is installed? Show us screen caps from the admin console if possible.

Did it perform well with previous versions of UTM software?
The problems began with 9.2

What version of 9.2 are you running? Helps us help you.

BTW, A bug does not constitute bad programmed software. If we counted software quality based on bugs discovered, Windows would be a horrible piece of garbage that should be relegated to the trashbin and the developers shot. [:D] Bugs happen, and assuming this problem you are seeing is in fact a bug or a misconfig somewhere, not just undersized hardware, your reseller can get Sophos to look directly at the box.

Try to contact sophos directly, if your reseller showing no reaction to your concern.
Maybe they would convert your hw-license into a software-/vm-lic so you can use your own (vmware or native) hardware.

Admin rant:

Try to contact sophos directly, if your reseller showing no reaction to your concern.
Maybe they would convert your hw-license into a software-/vm-lic so you can use your own (vmware or native) hardware.

That's a good one! We are trying to contact Sophos since February, when the first problems came up. It is absolutely impossible to reach someone at administrative level. After two months of fiddling around with first level support they finally believed our diagnosis (HDD defect) and escalated the matter to "Global Escalation Support". This engineer was able to see the defect. The RMA again completely had to be done by us (not premium support). Thanks god we have HA - if not after only six months the whole system would have died. Additionally they told us that HA is not possible with our own hardware and "Full Guard" is not available.

Currently we suffer from massive problems after each bigger pattern, URL-Filter or AV update. The unpacker starts and the queue rises until it can't be handled anymore by the ridiculously under-powered Celeron with 2 GB RAM. After that you can't even restart the UTM anymore - SSHd is down - HTTPd is down - hell, PING doesn't work - and even after hours Postgre isn't able to sync the HA system successfully. If we do a node switch or restart then, the Postgre must be rebuild (which we shouldn't do - "root" required).

Since RAM, SWAP and CPU go over the top each time this happens, the next HDD is set for RIP (if it's not damaged already) - and there is not even an SNMP trap for HDD defects! You have to dig through the Kernel logs for hours to find possible signs of defective sectors.

The escalation support engineer told us, that there is a bug filed because of the unpacking problem without mentioning how long it will take to solve it.

It's just because of this great forum, where mainly volunteers try to help the best they can, that we capt this... I don't know how to call this piece of ancient hardware bought 10-2013.

In the mean time we have tried for months, every time for hours, to call Sophos Karlsruhe - after 30 minutes (expensive German service-number) the answering system tells you that you can "leave a message". Premium support with PIN to talk to the answering machine, anyone?

Than we tried to tell them three times at executive level that we would PAY for an upgrade to the newer SG series. Nothing - no reaction. Only the reseller pointed us towards the trade-in program: we get 500 Euro back for each UTM 220 - bought for more than 1300. With already one RMA'ed. And possibly got a REFURBISHED, even OLDER one (Premium Support?)!

And I repeat - this software problem is at 100% on Sophos side - not ours. We have disabled each and every service we didn't badly need. IPS is nearly switched off. mailproxy/gateway isn't used at all, all potential slow regex have been turned off...

Different products from different vendors had different problems. But this one tops it all. By far.

And just to mention: we have 27 Users. Not 40.

It's raining sh** onto us admins. And there's nothing we can do. Maybe I'm going to try to virtualize a PFSense or an IPCop. Can't get worse anymore.

Ok, in this case I would move my utm to a personal lic (all features) within an virtual environment just to, like we would say in german "um die Kuh vom Eis zu kriegen", keep things running.

After the lic expires (how many month/years?) you can go ahead with a new piece of appliance.