Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 38 subscribers
  • Views 4667 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG320 Auslastung schaukelt sich auf 100% dann Feierabend!

mordy
Guten Morgen,

ich habe in unserem Netzwerk das Problem das unsere ASG 320 sich nach ein paar Std. Betrieb permanent bei 100 % CPU-Auslastung "einpendelt" und sich dann komplett aufhängt, oder das Internet inkl. Webinterface der Wall derart langsam ist, dass man gar nicht mehr in die Konfig der Firewall kommt.

Wir haben bereits mehrmals den Astaro-Support damit beschäftigt und haben bereits eine Austausch-Firewall bekommen, jedoch zeigt diese die selben Symptome wie die andere.

Die Firmware ist 7.101 und es hängen ca. 400 User dran die aber nur sporadisch im Internet sind. Astaro selbst hat versichert, dass wir Auslastungstechnisch mit der 320er auf keinen Fall "unterdimensioniert" sind.

Die Firewall wird derzeit ausschließlich als HTTP-Proxy verwendet, mit ein paar "Road-Warrior" VPN-Verbindungen, die aber nicht ins Gewicht fallen und nur zur Fernwartung dienen, also kaum aktiv sind. Die Email-Funktionen der Firewall sind gänzlich deaktiviert und werden nicht genutzt.

Eingeschlatet sind das Accounting (nein, deaktivieren bringt nix - schon probiert) und die Authentifizierung über AD (auch diese Deaktivierung bringt nichts).

Ausserdem Scannt die Wall mit beiden Virenscanner-Engines, was ich aber nicht ausschalten möchte und werde, denn dann macht die Wall in meinen Augen nur noch halb soviel Sinn.

Falls jemand von Ihnen noch eine Idee dazu hat, oder das gleiche Problem hat, würde ich mich freuen von Ihnen zu hören, da ich den Eindruck gewinne, dass jetzt scheinbar selbst der Astaro-Support an seine Grenzen stößt, da nun schon - trotz mehrerer Fernwartungstermine - keine Lösung gefunden wurde.

Vielen Dank und mit freundlichen Grüßen

Mordy


This thread was automatically locked due to age.
  • 0
    Hallo Mordy,
    wenn man auf der Konsole 'top' ausführt, welcher Dienst zieht sich denn die gesamte CPU Last ?
    Da die Maschine bereits getauscht wurde, ist es wohl keine korrupte Datei "unter der Haube".
    Die Konfiguration wurde aber übernommen, oder ? 
    Ist hier vielleicht was besonderes drin ? Ist IPS eingeschaltet ?
    Wie viele Concurrent Connections laufen denn über die Maschine ?

    Sind denn irgendwelche Graphen unter "Hardware Usage" oder "Network Usage" am Anschlag ??
  • 0 in reply to KKnecht
    tausch die beiden 512mb DDRAMs gegen 2*1GB aus


    Gregor Kemter
  • 0 in reply to gkemter
    tausch die beiden 512mb DDRAMs gegen 2*1GB aus
    Gregor Kemter


    Guter Tip .... [:O]
    Die ASG Appliances haben eine "unlimited" User Lizenz.
    Die "natürliche" Beschränkung ist die Hardware.
    Somit würde er die Lizenzbedingungen verletzen und den Support verlieren.

    Es sollte erstmal geprüft werden, ob denn überhaupt Engpässe (Memory, Netzwerk) bestehen, oder ob evtl. ein Bug (z.B. Loop) vorliegt.
    Da hilft dann auch mehr Memory nicht unbedingt, bzw. verzögert höchstens ein wenig den Effekt.
  • 0 in reply to KKnecht
    Guter Tip .... [:O]
    Die ASG Appliances haben eine "unlimited" User Lizenz.
    Die "natürliche" Beschränkung ist die Hardware.
    Somit würde er die Lizenzbedingungen verletzen und den Support verlieren.


    Der schnellste Weg zur Verletzung der Lizendbedingungen geht via ssh.

    Die "natürliche" Beschränkung respektive Dimensionierung hat vielleicht bei V5 oder 6 gepasst. Bei V7 ist RAM ein gravierendes Problem.

    Ausserdem wenn ich eine Teil kaufe (sei es nun ASG oder ein Auto),
    dann kann ich damit machen was ich will:
    Ich kann da ein Loch reinbohren und Himbersaft durchgiessen,
    einen besseren und leiseren Lüfter einbauen, Ram tauschen, oder anderen Luftfilter einbauen und wenns der Geldbeutel zulässt auch Chiptuning machen)
    Ich kann zum Testen die HDD tauschen um mehrere Versionen vorzuhalten, 
    oder die HDD ganz austauschen falls eine frischgelieferte Appliance nicht bootet . usw usw.

    Und wenn Astaro Support nicht weiterweiss aber gleichzeitig sagt die Dimensionierung ist OK, dann wäre der Ram der leichteste Test.
    Man könnte aber auch V.6 auspielen und es damit testen.

    Vielleicht kannst du mir auch erklären warum ASG110,120 und 220 mit 512MB ausgeleiefrt werden, obwohl diese für unterschiedliche dimensionierungen empfohlen werden ?
    Und wenn du schon dabei bist, dann erkär mir mal warum asg120 mit aufgerüsteten Ram fast keinen eingriff mehr benötigt, während die selbe Gurke mit 512MB (und änhlicher/gleicher Konfiguration) den "Monatlichen" Neustart zwingend braucht ?

    Und zu deinem Tip mit TOP via ssh:
    Was nützt es dem Kunden wenn er rausfinded , daß zb mysql oder proxy den load verursacht ?
    An irgedwelchen Parametern darf er eh nichts verändern.
    Selbst wenn er rausfände , daß mysql der Übeltäter ist, bringt ihn das nicht weiter.
  • 0 in reply to gkemter
    Guten Abend.

    @mordy:
    Ich hatte ein ähnliches Problem mit einer ASG220 die innerhalb des Astaro Sizing Guide eingesetzt war. Auch hier waren mysqld, httpproxy und csync2 die Übeltäter im top. Wenn Du im top unter wa häufig Werte >50% siehst, ist definitiv mangelnder Arbeitsspeicher die Ursache (Waitload). 
    Ich habe eine etwas unkonventionelle Methode gewählt, um das zu lösen, QoS.
    Hier beschreibe ich, wie das für den Proxy gemacht wird.
    Musst nicht gleich auf einen Bruchteil kastrieren, aber Du kannst Dich annähern, bis die alltägliche Anzahl der Anfragen eine akzeptable Spitzenlast verursacht. 

    Gruß aus Freiburg
  • 0 in reply to gkemter
    Hallo Gregor,

    es scheint, das ich Dir ziemlich auf den Schlips getreten bin, anders kann ich mir den sehr offensiven Stil Deiner Antwort nicht erklären.
    Wenn dem so ist, tut es mir leid und ich entschuldige mich.
    Ansonsten wollte ich lediglich mordy helfen und mit konstruktiven Vorschlägen zur Lösung seines Problems beitragen.


    Ausserdem wenn ich eine Teil kaufe (sei es nun ASG oder ein Auto),
    dann kann ich damit machen was ich will:
    Ich kann da ein Loch reinbohren und Himbersaft durchgiessen,
    einen besseren und leiseren Lüfter einbauen, Ram tauschen, oder anderen Luftfilter einbauen und wenns der Geldbeutel zulässt auch Chiptuning machen)
    Ich kann zum Testen die HDD tauschen um mehrere Versionen vorzuhalten, 
    oder die HDD ganz austauschen falls eine frischgelieferte Appliance nicht bootet . usw usw.

    Das kannst Du sicherlich. Wenn Du allerdings auf Deiner ASG Maintenance hast, beinhaltet diese auch das sog. "Hardware Replacement".
    Ich denke, wenn Du also Himbeersaft in Deine ASG gießt, hätte Astaro sicher das Recht (wie jeder andere Hersteller auch) einen evtl. notwendigen Austausch zu verweigern. [;)]


    Vielleicht kannst du mir auch erklären warum ASG110,120 und 220 mit 512MB ausgeleiefrt werden, obwohl diese für unterschiedliche dimensionierungen empfohlen werden ?

    Kann ich leider nicht, da ich nicht für Astaro arbeite.
    Sprich doch mal mit Deinem Astaro Partner.
    Ausserdem steht es jedem Kunden frei, die ASG Software Lizenz zu verwenden und seine eigene hochperformante Hardware einzusetzen.
    Ich stimme Dir aber zu, das ich persönlich 512MB für V7 auch etwas knapp bemessen finde.



    Und wenn du schon dabei bist, dann erkär mir mal warum asg120 mit aufgerüsteten Ram fast keinen eingriff mehr benötigt, während die selbe Gurke mit 512MB (und änhlicher/gleicher Konfiguration) den "Monatlichen" Neustart zwingend braucht ?

    siehe vorheriger Kommentar...


    Und zu deinem Tip mit TOP via ssh:
    Was nützt es dem Kunden wenn er rausfinded , daß zb mysql oder proxy den load verursacht ?
    An irgedwelchen Parametern darf er eh nichts verändern.
    Selbst wenn er rausfände , daß mysql der Übeltäter ist, bringt ihn das nicht weiter.

    Nobody's perfect und keine Software ist frei von Fehlern.
    Ich sehe das optimistischer. Nach ca. 7 Jahren sehr guten Erfahrungen mit Astaro und deren Suppot-Team, würde ich davon ausgehen mit dieser Information mindestens einen Workaround genannt zu bekommen und/oder einen Bugfix mit dem nächsten Up2Date zu erhalten. Dieser hilft dann nicht nur mir, sondern allen anderen Kunden auch.
  • 0 in reply to KKnecht
    @KKnecht

    Ich glaube das Gregor einfach die Smily's vergessen hat ! [;)]

    Einerseits kann ich ihn nur zu geht verstehen, denn die neue Version bezogen auf das "alte" Sizing passt nicht wirklich. Andererseits ist ein Wechsel der Hardware auch nicht mal eben so durchgeführt (lt. Aussage von meinem Distributor gibt es für dieses Problem kein "offizielles" Verfahren sondern wird immer als Einzelfall betrachtet......aber das ist, wie man nun mal sieht offensichtlich nicht der Fall.

    Das ist auch der Grund warum ich die 120er noch unter der V6 betreibe und nicht gewillt bin diese upzugraden.

    Gruß
      Claus
  • 0 in reply to ClausP
    Hallo Claus,

    sehr diplomatisch [:D]

    Astaro hat ja 2 Lizenzmodelle, und ich bin der Meinung man sollte sich beide vor einer Anschaffung gut anschauen, bzw. vom Partner entsprechend beraten werden. Auch und gerade weil die aktuellen ASG-Appliances für V7 (im Vergleich zu V6) wirklich etwas schwach auf der Brust sind.
    Ein guter Verkäufer würde jetzt sicher sagen: Dann nimm halt eine 420er oder größer.... [8-)]

    Bei uns spielt der Durchsatz eine grosse Rolle (>34MBit), daher haben wir einen eigenen Server gewählt, da die ASGs in der benötigten Hardware-Klasse einfach zu teuer wären.

    Ich denke, wenn mehr Kunden sich entsprechend an Astaro wenden, wird dort vielleicht auch das Hardware Sizing nochmals überdacht, die Frage ist halt ob das über das Forum auch an den richtigen Stellen ankommt.

    Grüsse, Karsten
  • 0 in reply to KKnecht
     Ich denke, wenn mehr Kunden sich entsprechend an Astaro wenden, wird dort vielleicht auch das Hardware Sizing nochmals überdacht, die Frage ist halt ob das über das Forum auch an den richtigen Stellen ankommt.


    Naja, von einem Distributor würde ich da auch ein bischen mehr "Action" erwarten. [[:D]] ...ich glaube auch kaum das sich Endkunden an Astaro wenden werden. Die werden allenfalls hier aufschlagen. Vielleicht sollte man dafür hier mal eine Rubrik Marktplatz schaffen ?!

    ...oder wir müssten mal alle ein paar Mails an den Sen. Sales Engineer Elmar Haag schicken ?!? Irgendwie kann ich mich diesbzgl. noch an ein Angebot von der letzten Sales Schulung erinnern. [[:D]]

    Gruß
     Claus
  • 0 in reply to ClausP
    @Karsten

    du brauchst dich nicht zu entschuldigen.
    Paar Smileys von mir hätten das ganze sicherlich entschärft.

    Da aber bei Morty der normale Weg :
    ASG -> Maintaince -> Support -> nichts gebracht hat
    könnte man auch unkonvenzionelle Lösungsansätze versuchen. 

    Und unter uns Ordensschwestern:
    Wenn du eine ASG mit defekter 40GB Festplatte hast, und du baust als Ersatz eine 80GB die du im Schrank liegen hast , ein.
    Dann ist doch so eine Lösung optimal für alle :
    du hast mit 35,- und wenigen Handgriffen ein Problem sehr schnell gelöst,
    Astaro muss sich mit deinem Supportfall nicht rumschlagen, man muss keine Zugangsdaten oder Hardware hin und her schicken.
    Also eine WinWinWin Situation: dem Kunden wurde schnell geholfen, du sparst viel Zeit und Astaro spart Resourcen, Zeit und Geld (Versandkosten)

    Gregor Kemter
Unfiltered HTML