Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Ltd - mangelende Softwarequalität - 100% CPU - super

Kaum wurde Astaro von Sophos Ltd gekauft, schon rennt die CPU der lahmen Celeron (!) ASG-220 Firewall sehr oft auf 100% - und das bei nur ca 70 "aktiven" User und bei Version 9.2
Bitte bewerbt doch die ASG 220 als eine Firewall, die maximal 40 User versorgen kann und keine >100 Oder liebe Sophos Ltd programmiert doch mal ein bischen performanter als die mangelende Softwarequalität durch mehr Hardware ausgleichen zu müssen.
Zudem wäre es nützlich, wenn man schon eine HA hat, und wenn mal wieder die Sophos Ltd Firewall spinnt, daß wenigstens die Master FW automatisch neu startet.

Ist die Firewall so schlecht geworden. Ich glaube ich muß meine einstmal gute Meinung der Astaro (RIP) Firewall korrigieren und was gescheites fürs Business kaufen. Daheim - von mir aus - aber im Geschäft - furchtbar super lahm.


This thread was automatically locked due to age.
  • Hallo,

    wie bereits woanders geschrieben kann ich die extrem schlechten Erfahrungen nur bestätigen. Vor allem jene, die die Hardware erst innert des letzten Jahres gekauft haben, dürften dieselbe Erfahrung wie wir gemacht haben. Die 320 sprengt bei minimal besserer Hardware jeden finanziellen Rahmen - vor allem, da die jährlichen Lizenzen für eine Nutzerzahl ausgelegt sind, für welche die Hardware mit den neuen "Featuritis-Versionen" wieder viel zu schwach ist.

    Die 220 wurde ab Version 8.x einfach total überlastet. Schon komplett ohne Auslastung durch Nutzer (also über Nacht) geht bei bestimmten Updates die Auslastung dieser putzigen Celeron-CPU hoch. 
    Dann diese Festplatte aus der Consumer-Serie; sowas würde ich nicht mal in einem SoHo PC verbauen. Die bringt weder die nötigen IOs noch die geforderte MTBF.
    Dann der Premium/Escalation Support. De facto nie JIT erreichbar. Manchmal nach drei Arbeitstagen bei dringenden Problemen. Was ist denn hier passiert, seit der Übernahme durch Sophos?
    Ich erinnere mich noch daran, dass die UTM die Sophos AV-Updates per IPS blockte - so gut sind die Produkte aufeinander abgestimmt?
    Dann die versprochenen Endpoint-Verwaltungsupdates. Nix ist passiert. Updates sind unter Windows 8.1 immer noch um bis zu eine Stunde nach Hochfahren verzögert.

    Zum Technischen:
    Die SWAP-Auslastung liegt bei uns permanent bei mindestens 40% - was OK wäre. Bei Up2Date Paketen schießt die Auslastung von RAM auf 80-90% hoch und die Kiste beginnt massiv zu swappen, bis über 90%. Die HDD Auslastung ist dann bei über 100% und das ganze System inklusive aller Daemons reagiert nicht mehr.

    Zudem haben wir noch den Verdacht, dass der WebAdmin ein Memory Leak hat - länger als 15 Minuten sollte man die Seite jedenfalls nicht geöffnet haben - auch ohne Graphen.

    Als wir mit der 8.xx gestartet sind, konnten wir alles aktiv lassen, das komplette IPS, beide Scanner-Engines, alles lief entsprechend durch den Proxy verzögert, aber nie wirklich lahm. Seitdem haben wir nur mehr Regeln und RegEx gelöscht, IPS Regeln deaktiviert, die eine noch laufende Scanner-Engine von Avira massiv eingeschränkt.

    Dass das Teil als reine Firewall mit möglicherweise dem IPS die Leistung bringen würde ist uns schon klar - dafür nehme ich mir dann aber ein Produkt, bei welchem ich die IPS Regeln halbwegs vernünftig einstellen kann.

    Von Anfang an wurde massiv mit dem proprietären, ach so gut funktionierenden HTTP(S)-Proxy geworben. Ein Witz. Dagegen ist selbst eine Amateur-Installation von Squid noch leichter zu zähmen.

    Und die Reaktion der Herren in der wahrscheinlich nicht mehr existierenden Verwaltung in Karlsruhe? Null, nada, zero, niente. Mehrfache schriftliche und telefonische Anfragen wurden ignoriert. Ja gibt's die Firma überhaupt noch?
  • Danke für den Tipp, bez dem zu lang laufenden Webadmin. Habe hier den timeout mal verkürzt.

    Der Gag bei uns war, daß der Re$eller uns zwei 220er durch zwei 220 er neueren Datums ersetzt hat - war vor meiner Zeit. Ursache der alten 220er war, daß die alten zu lahm waren. Man hätte dann wohl auch nur die Gehäuse tauschen können. Kompetenz wohin man schaut.

    Ich denke wirklich schlimm wurde es mit der 9.2. Vorher war mir das nicht derart bekannt. Vielleicht erhört uns die Sophos Ltd und setzt da mal einen Pratikaten darauf an.

    Wahrscheinlich geht es der Sophos Ltd wie halt so üblich um reine Gewinnmaximierung. Ergo ist einfach, daß die 220 er mit paar Features aktiv eher so für 10 User ausreicht. Das  mußt man halt wissen und 2 Klassen größer kaufen.

    Dir soll es auch nicht besser gehen [:D]
  • wir hatten unsere ASG 220 aufgerüstet mit 4 GB RAM hatten auch große Performance Probleme - vor allem lag es damals an der IPS.
  • Am besten man schaltet bei der UTM 220 so ziemlich alle Sicherheitsfeatures ab oder stellt einfach eine Fritzbox hin.

    Siehe Grafik im Anhang. CPU Usage Graph stimmt aber nicht, da die CPU öfters mal auf 100% läuft. Da wird wohl großzügig abgerundet. 

    http://www.sophos.com/de-de/medialib...tingreport.pdf
    Eine Celeron CPU ist da wohl nicht mehr drin.


    Ach übrigens: da die Systemlast derart hoch ist und alle Daemons zurückgestellt werden, stimmen auch alle Statistiken, vor allem die Graphen nicht. Sogar in den Log-Dateien fehlen dann viele der nötigen Einträge, um das Problem zu diagnostizieren. Das macht die Sache wirklich nicht einfacher, weil man dies erstmal den Mitarbeitern des Sophos Support erklären muss!
  • Ich hoffe nicht, dass du sein (Ex) Reseller bist [:P]  durch so eine Aussage erhälst du ein dementsprechendes Ergebnis! Einfach so schätzen ist nicht professionell!

    Nice greetings

    Ich bin nicht sein EX.
    Kann aber nachvollziehen wie sein Reseller sich auf die SizigGuide verlassen hat, und ihm die 220 verkauft hat.
    Wahrscheinlich hats damals auch gepasst, aber danach kam Übernahme durch Sophos , und ein weiterer HardwareRefresh innerhalb eines (!) Jahres.
    Dieses brachte nur neue Blende und marginale Verbesserungen.
    Danach kam die Featureritis von Sophos, und die Astaro Hardware ist/war nicht mehr zu gebrauchen.
    Aus diesen Problem hat Sophos gelernt und endlich mal bei der Hardware nicht gespart. Mit neuer SG Hardware läuft das 1a.

    Blöd ist das nur für Kunden, welche kurz vor Einführung der SG, noch eine "alte" neugekauft , oder verlängert haben.
  • Mit dem öffnen der Kiste wird es wohl im Support-Fall problematisch. Muß mich da mal genau mit den Garantiebestimmungen befassen. Dann noch die Celeron CPU gegen was aus dem 21 Jahrhundert tauschen, dann kommen wir so langsam an, wo es sein sollte.

    @SmallAdmin
    Im anderen Beitrag wird empfohlen, die langsamen UTM-220 im Cluster-Betrieb laufen zu lassen. Hattet ihr eine HA Lösung und das mal probiert ? Ggf probiere ich das mal aus. Das Handbuch ist da nicht so ergiebig. Die Frage ist, ob im Cluster-Modus dann auch die HA Funktionalität da ist. Als stirbt eine UTM 220 wieder weg, ich die rebooten kann und die andere übernimmt.

    Ich darf ja mit meiner Lizenz nicht mal direkt Sophos ansprechen, sondern muß über den Distributor/Dienstleister gehen. Und der macht für unter 100€ die Stunde auch keinen Finger gerade ...  

    Was gab es nochmals für andere Firewall-Hersteller [:P]
  • Mit dem öffnen der Kiste wird es wohl im Support-Fall problematisch. Muß mich da mal genau mit den Garantiebestimmungen befassen. Dann noch die Celeron CPU gegen was aus dem 21 Jahrhundert tauschen, dann kommen wir so langsam an, wo es sein sollte.

    @SmallAdmin
    Im anderen Beitrag wird empfohlen, die langsamen UTM-220 im Cluster-Betrieb laufen zu lassen. Hattet ihr eine HA Lösung und das mal probiert ? Ggf probiere ich das mal aus. Das Handbuch ist da nicht so ergiebig. Die Frage ist, ob im Cluster-Modus dann auch die HA Funktionalität da ist. Als stirbt eine UTM 220 wieder weg, ich die rebooten kann und die andere übernimmt.

    Ich darf ja mit meiner Lizenz nicht mal direkt Sophos ansprechen, sondern muß über den Distributor/Dienstleister gehen. Und der macht für unter 100€ die Stunde auch keinen Finger gerade ...  

    Was gab es nochmals für andere Firewall-Hersteller [:P]


    Du bist aber schon angefressen.
    Falls du schon 2 weisse Sophos 220 hast, die sollten bei deiner Userzahl laufen.
    Ram könnte ein Problem werden, aber ansonsten habe ich ca. 5 solche Konstellationen am laufen.

    Eventuell setzt du die FW neu auf, und machst alle Regeln neu (also kein Backup einspielen)
  • Dem kann ich nur zustimmen,
    hier hat sich verständlicherweise viel Frust angesammelt.
    Trotz einiger Problem mit der Software, kann man an der Konfiguration auch noch einiges optimieren!

    Also wenn man jetzt nicht problem- sondern lösungsorientiert an diese Störungen ran geht, dann bin ich mir sicher, dass nicht nur das Sizing etwas vermasselt wurde, sondern auch die Konfiguration bescheiden ist.
    Wir haben diverse Kunden, wo sich aus Kostengründen für kleine UTMs entschieden wurde und irgendwann hat man mal den Punkt, dass das Unternehmen so groß für die UTM ist, oder die UTM zu klein fürs Unternehmen, denn auch der Bedarf und die Anforderungen steigen.
    Wenn dies allerdings schon ein Jahr her ist, dann ist das ärgerlich, aber da wurdest du nicht gut beraten, denn eine UTM sollte (wenn nicht zusätzliche Funktionen ungeplant hinzugefügt werden), für mindestens 3 Jahre reichen (Zeitraum der Lizenz, wenn möglich länger).
    Es kostet auch entsprechend Geld, keine Frage, aber wenn man sieht, was es monatliche Kosten erzeugt, mit den umfangreichen Funktionen, dann werden die Kosten relativ.

    Zu dem Thema mit den Graphen, dort wird nicht jeder 100% für 1 Sekunde eingetragen, sondern es handelt sich hier um Durchschnittswerte. Daher unterscheiden sich die Graphen zwischen täglich, monatlich und jährlich auch so stark.
    An sich, sieht deine Auslastung verhältnismäßig gut aus.


    Geh mal auf die Console und führe folgende Befehle aus und poste mal die Ausgaben.



    cd /var/log/
    grep oom- kernel.log | wc


    und

    ps aux | grep Z


    und


    ps ax -o pcpu,cmd|sort -n -r|head

    ps ax -o rss,cmd |sort -n -r|head


    und 

    top


    und am Ende (gegen Feierabend), kannste noch einmal manuell das Maintenance Script ausführen [;)]

    /usr/local/bin/adbs-maintenance.plx


    Nice greetings
  • Hi,

    Zu dem Thema mit den Graphen, dort wird nicht jeder 100% für 1 Sekunde
     Bei 1800 Sekunden sollte das schon eingetragen werden. Wenn der httpproxy auf 100% läuft, loggt die UTM wohl auch nicht mehr ordentlich.

     loginuser@mail:/var/log > grep oom- kernel.log | wc
          0       0       0

     loginuser@mail:/var/log > ps aux | grep Z
    USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
    root      3462  0.1  0.0      0     0 ?        Z    10:48   0:00 [aua.bin] 
    root      3578  6.0  0.0      0     0 ?        Z    10:50   0:00 [confd.plx] 
    100       3630  0.0  0.0   3612   748 pts/1    S+   10:50   0:00 grep Z


     loginuser@mail:/var/log > ps ax -o pcpu,cmd|sort -n -r|head
    12.5 [confd.plx] 
     1.9 /var/chroot-http/usr/bin/httpproxy -f -c /var/chroot-http -u httpproxy
     0.9 smtpd [scanner]
     0.6 /usr/local/bin/selfmonng.plx
     0.5 postgres: reporting reporting [local] idle
     0.5 ./ctipd.bin -l /usr/lib/ctipd
     0.3 /usr/sbin/ulogd -c /etc/ulogd.conf -d
     0.2 /usr/sbin/syslog-ng -f /etc/syslog-ng.conf
     0.2 top
     0.1 /var/mdw/mdw.plx


     loginuser@mail:/var/log > ps ax -o rss,cmd |sort -n -r|head
    736372 /var/chroot-http/usr/bin/httpproxy -f -c /var/chroot-http -u httpproxy
    133564 /usr/bin/cssd -d
    46072 postgres: reporting reporting [local] idle
    29316 /usr/lib/ctasd/ctasd -p /var/run/ctasd_inbound.pid -l /usr/lib/ctasd -c /etc/ctasd/ctasd_inbound.conf
    28260 postgres: reporting reporting [local] idle
    27828 postgres: checkpointer process
    20924 smtpd [scanner]
    18008 postgres: repmgr repmgr 198.19.250.2(53201) idle
    17000 postgres: wal writer process
    15132 /usr/lib/ctasd/ctasd -p /var/run/ctasd_outbound.pid -l /usr/lib/ctasd -c /etc/ctasd/ctasd_outbound.conf

    Cpu(s):  3.7%us,  1.7%sy,  0.0%ni, 93.1%id,  1.0%wa,  0.0%hi,  0.5%si,  0.0%st
    Mem:   2021576k total,  1995368k used,    26208k free,     6364k buffers
    Swap:  2097144k total,  1092256k used,  1004888k free,   831756k cached

      PID USER      PR  NI  VIRT  RES  SHR S   %CPU %MEM    TIME+  COMMAND
     6116 httpprox  20   0 1655m 719m 4500 S      4 36.4 135:51.62 httpproxy
     3710 postgres  20   0  603m  45m 4856 S      2  2.3   0:01.10 postgres
     4192 root      20   0 12116 3548 1340 S      1  0.2  45:48.97 selfmonng.plx
     5568 root      20   0 31936 1324  240 S      1  0.1  38:56.30 ctipd.bin
     4410 root      15  -5  9360 5260  616 S      1  0.3  12:29.59 conntrackd
       10 root      20   0     0    0    0 S      0  0.0   1:13.63 rcu_sched
     6174 postgres  20   0  560m  16m  16m S      0  0.8   0:47.20 postgres
     6831 root      20   0 41064 9588 1296 S      0  0.5   1:34.57 awed
    13058 root      19  -1 34972 3152  680 S      0  0.2   5:52.83 ulogd
    13062 postgres  20   0  563m  27m  26m S      0  1.4   8:15.92 postgres
    14071 postgres  20   0  563m 5824 4884 S      0  0.3   0:17.59 postgres
    22321 loginuse  20   0  2704  988  708 S      0  0.0   6:57.97 top
        1 root      20   0  1916  392  368 S      0  0.0   0:02.73 init
        2 root      20   0     0    0    0 S      0  0.0   0:00.00 kthreadd
        3 root      20   0     0    0    0 S      0  0.0   0:02.73 ksoftirqd/0
        5 root       0 -20     0    0    0 S      0  0.0   0:00.00 kworker/0:0H
        7 root       0 -20     0    0    0 S      0  0.0   0:00.00 kworker/u:0H

    Gruß
    Michael
  • Ich kann mich den Klagen leider nur anschließen - die aktuellen 220er sind mit ihren 2Gb RAM leider unabhängig des dahinter liegenden Netzes überfordert.

    Jegliche Optimierungsversuche (Logging, Berichte, Reihenfolge Firewallregeln, Abschaltung IPS) führen letztlich nur zu einer geringfügigen Verbesserung. Letztlich swappen die Maschinen viel zu oft und haben ständige Auslastungsspitzen im Bereich CPU und RAM.

    Klar wird das letztendlich spätestens dann, wenn man die 220er unsupported auf 4Gb RAM aufrüstet und alle Probleme damit beseitigt sind.

    Eine offizielle Freigabe incl Support von RAM-Upgrades würde das Leben schon ein wenig vereinfachen.

    Grüße
    Sebastian