High CPU load when SSL_VPN clients connect

Howdy all...

I'm new to Astaro and so far I'm loving it! However I'm having a bit of an issue with SSL-VPN connections. When a connection is made the Astaro box comes to a halt, CPU and ram memory usage go to max bringing all services to a halt, including the webadmin etc. Hell even browsing the internet at that point on a computer not connected via the VPN client is very slow. 

Using Astaro for the following:

Web proxy
Email proxy
DHCP

Webadmin
End user portal

Hardware:

Duel 1000 mhz
1 gig ram
3 Nics

resetup the ssl vpn server to use 128 bit AES instead of 256 bit.  Modern encryption is very cpu intensive and your cpu's probably aren't up to snuff on handling that kind of encryption load.  Also how many vpn users are you using?  more than say 10 and you'll be nailing your cpus to the floor.

This is for home use. Up to three people maybe connecting however when only one or two connect it peaks at 100% and stays there. The usage is so high that one can not even get to the Astaro webadmin or access web sites if the web proxy is turned on. 

I'm running with the default encryption settings...

AES-128-CBC
MD5
1024 bit

Automatic packet filter rules and data compression are both checked... 

I'm going to try it without those and see what happens when I get some time later today... 

For now its off to the family Xmas party... Merry Xmas all!

This is for home use. Up to three people maybe connecting however when only one or two connect it peaks at 100% and stays there. The usage is so high that one can not even get to the Astaro webadmin or access web sites if the web proxy is turned on. 

I'm running with the default encryption settings...

AES-128-CBC
MD5
1024 bit

Automatic packet filter rules and data compression are both checked... 

I'm going to try it without those and see what happens when I get some time later today... 

For now its off to the family Xmas party... Merry Xmas all!

auto packet filter you'll have to have on unless you want to manually open the packet filter for the ssl vpn.  

It's strange because i open up ssl on one user and there's hardly a spike.  What other features do you have one..and what are the specs of your machine?  Also can you post a screenshot of top when the cpus are nailed?

Yes, I can hit you with some screen shots later today. I'm currently out of the house. 

I have turned off the data compression and have not seen a difference in traffic speed between client and server, however the load on the server is halved. (I did leave the Automatic packet filter turned on) 

So to recap, turned off data compression and my CPU usage went from 100% down to 40-45% with one SSL-VPN client connected.

So to recap, turned off data compression and my CPU usage went from 100% down to 40-45% with one SSL-VPN client connected.

What speed connections were the VPNs over?

Barry

The gateway is connected to a comcast business class cable line (really not as special as it might sound). I'm connecting from work to home with our OC12.

So from the pic, you're passing about 80KBps?

CPUs - dual 1GHz what? PIII?

Barry

So from the pic, you're passing about 80KBps?

CPUs - dual 1GHz what? PIII?

Barry

yes that machine is p-3's.  not too far from my configuration.  I'm kind of lost as to what is causing his issues as i have compression on and i hardly see a peak on my processors.  Could be a nic issue.

So from the pic, you're passing about 80KBps?

CPUs - dual 1GHz what? PIII?

Barry

Yeah, the hardware is pretty standard. 

I'm using the prepackaged astaro appliance. Downloaded it, imported it as a template and deployed it... Takes about 10 minutes... before I boot I give it 386 ram (which shows up as 377 for some reason) and one full proc. I boot, run the setup wizard, add in a few extra nat rules and a couple users. Don't do much more than that...

I have deleted and re-deployed this setup today and I'm seeing much less usage is on the CPU (even with compression turned on, lower with it turned on actually...). Is it possible a patch did not come down correctly or the setup was botched by me on the first setup? 

As for the nics. I have three 10/100/1000 cards in this server, of which I only allow two to be seen by astaro.

I highly recommend you allocate at least 512MB of RAM to any ASG system running Version 7 (or version 6, for that matter)... 768MB or 1GB even better.  We have a number of customers running 120/110/220 units (all with 512MB) and performance is satisfactory.  We often deploy custom systems or appliances (320 and up) with 1GB, though, gives the customer more performance in higher demand applications.  Less than 512MB has been rather problematic, so I consider it a minimum.