This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow ASG-220 Sophos Ltd Firewalls

Why the hell is the httpproxy running all the time at 100% !  Und why the hell is the super slow celeron CPU in the ASG 220 specified for 300 Users? A celeron CPU for 300 Users ...
Please make a Update to of the super-slow 9.2 Software and speciefy the ASG-220 to a maximum of 50 Users.


This thread was automatically locked due to age.
Parents
  • Hi michaelxy,

    I understand you are frustrated but taking it out on the community forum isn't the best place to do so, especially using profanity. If your reseller/IT Consultant/whomever sold the previous IT person an undersized firewall, you need to take it up with them. If they won't take your calls, have one of the folks who has clout in the company, Owner/General Manager/CEO, take it up with them. If they still won't, contact Sophos and ask to have another reseller contact you and speak with them.

    Any good reseller will care about their reputation. If they sold you the wrong product, they'll have a vested interest in making it right. A good reseller will also keep records in case, and trust me I've seen this happen before, they advised your previous IT person to go with a 3xx or 4xx series model and the advice was declined.

    Its a performance problem based on the slow celeron CPU in a "300 User" Firewall and the bad programmed Software.

    Who told you this was a 300 person router/firewall? Marketing literature has never been a reliable source of real world performance, everything is based on controlled conditions with unnecessary subsystems turned off. That's why that chart RFCat showed you exists. This is also why Astaro/Sophos sells through partners; they can help size the units correctly where an online retailer will just spout the marketing material.

    Its not a problem with the memory. Features: Firewalling, 1 ipsec tunnel, IDS off, Webfilterung with virus scan with only 1 Enginge because with 2 Engines the ASG220 will collapse at worse, ssl-virus-scan AND SSH

    How much memory utilization are you seeing? How much is installed? Show us screen caps from the admin console if possible.

    Did it perform well with previous versions of UTM software?
    The problems began with 9.2

    What version of 9.2 are you running? Helps us help you.

    BTW, A bug does not constitute bad programmed software. If we counted software quality based on bugs discovered, Windows would be a horrible piece of garbage that should be relegated to the trashbin and the developers shot. [:D] Bugs happen, and assuming this problem you are seeing is in fact a bug or a misconfig somewhere, not just undersized hardware, your reseller can get Sophos to look directly at the box.
  • Try to contact sophos directly, if your reseller showing no reaction to your concern.
    Maybe they would convert your hw-license into a software-/vm-lic so you can use your own (vmware or native) hardware.
  • Admin rant:

    Try to contact sophos directly, if your reseller showing no reaction to your concern.
    Maybe they would convert your hw-license into a software-/vm-lic so you can use your own (vmware or native) hardware.


    That's a good one! We are trying to contact Sophos since February, when the first problems came up. It is absolutely impossible to reach someone at administrative level. After two months of fiddling around with first level support they finally believed our diagnosis (HDD defect) and escalated the matter to "Global Escalation Support". This engineer was able to see the defect. The RMA again completely had to be done by us (not premium support). Thanks god we have HA - if not after only six months the whole system would have died. Additionally they told us that HA is not possible with our own hardware and "Full Guard" is not available.

    Currently we suffer from massive problems after each bigger pattern, URL-Filter or AV update. The unpacker starts and the queue rises until it can't be handled anymore by the ridiculously under-powered Celeron with 2 GB RAM. After that you can't even restart the UTM anymore - SSHd is down - HTTPd is down - hell, PING doesn't work - and even after hours Postgre isn't able to sync the HA system successfully. If we do a node switch or restart then, the Postgre must be rebuild (which we shouldn't do - "root" required).

    Since RAM, SWAP and CPU go over the top each time this happens, the next HDD is set for RIP (if it's not damaged already) - and there is not even an SNMP trap for HDD defects! You have to dig through the Kernel logs for hours to find possible signs of defective sectors.

    The escalation support engineer told us, that there is a bug filed because of the unpacking problem without mentioning how long it will take to solve it.

    It's just because of this great forum, where mainly volunteers try to help the best they can, that we capt this... I don't know how to call this piece of ancient hardware bought 10-2013.

    In the mean time we have tried for months, every time for hours, to call Sophos Karlsruhe - after 30 minutes (expensive German service-number) the answering system tells you that you can "leave a message". Premium support with PIN to talk to the answering machine, anyone?

    Than we tried to tell them three times at executive level that we would PAY for an upgrade to the newer SG series. Nothing - no reaction. Only the reseller pointed us towards the trade-in program: we get 500 Euro back for each UTM 220 - bought for more than 1300. With already one RMA'ed. And possibly got a REFURBISHED, even OLDER one (Premium Support?)!

    And I repeat - this software problem is at 100% on Sophos side - not ours. We have disabled each and every service we didn't badly need. IPS is nearly switched off. mailproxy/gateway isn't used at all, all potential slow regex have been turned off...

    Different products from different vendors had different problems. But this one tops it all. By far.

    And just to mention: we have 27 Users. Not 40.

    It's raining sh** onto us admins. And there's nothing we can do. Maybe I'm going to try to virtualize a PFSense or an IPCop. Can't get worse anymore.
Reply
  • Admin rant:

    Try to contact sophos directly, if your reseller showing no reaction to your concern.
    Maybe they would convert your hw-license into a software-/vm-lic so you can use your own (vmware or native) hardware.


    That's a good one! We are trying to contact Sophos since February, when the first problems came up. It is absolutely impossible to reach someone at administrative level. After two months of fiddling around with first level support they finally believed our diagnosis (HDD defect) and escalated the matter to "Global Escalation Support". This engineer was able to see the defect. The RMA again completely had to be done by us (not premium support). Thanks god we have HA - if not after only six months the whole system would have died. Additionally they told us that HA is not possible with our own hardware and "Full Guard" is not available.

    Currently we suffer from massive problems after each bigger pattern, URL-Filter or AV update. The unpacker starts and the queue rises until it can't be handled anymore by the ridiculously under-powered Celeron with 2 GB RAM. After that you can't even restart the UTM anymore - SSHd is down - HTTPd is down - hell, PING doesn't work - and even after hours Postgre isn't able to sync the HA system successfully. If we do a node switch or restart then, the Postgre must be rebuild (which we shouldn't do - "root" required).

    Since RAM, SWAP and CPU go over the top each time this happens, the next HDD is set for RIP (if it's not damaged already) - and there is not even an SNMP trap for HDD defects! You have to dig through the Kernel logs for hours to find possible signs of defective sectors.

    The escalation support engineer told us, that there is a bug filed because of the unpacking problem without mentioning how long it will take to solve it.

    It's just because of this great forum, where mainly volunteers try to help the best they can, that we capt this... I don't know how to call this piece of ancient hardware bought 10-2013.

    In the mean time we have tried for months, every time for hours, to call Sophos Karlsruhe - after 30 minutes (expensive German service-number) the answering system tells you that you can "leave a message". Premium support with PIN to talk to the answering machine, anyone?

    Than we tried to tell them three times at executive level that we would PAY for an upgrade to the newer SG series. Nothing - no reaction. Only the reseller pointed us towards the trade-in program: we get 500 Euro back for each UTM 220 - bought for more than 1300. With already one RMA'ed. And possibly got a REFURBISHED, even OLDER one (Premium Support?)!

    And I repeat - this software problem is at 100% on Sophos side - not ours. We have disabled each and every service we didn't badly need. IPS is nearly switched off. mailproxy/gateway isn't used at all, all potential slow regex have been turned off...

    Different products from different vendors had different problems. But this one tops it all. By far.

    And just to mention: we have 27 Users. Not 40.

    It's raining sh** onto us admins. And there's nothing we can do. Maybe I'm going to try to virtualize a PFSense or an IPCop. Can't get worse anymore.
Children
  • Ok, in this case I would move my utm to a personal lic (all features) within an virtual environment just to, like we would say in german "um die Kuh vom Eis zu kriegen", keep things running.

    After the lic expires (how many month/years?) you can go ahead with a new piece of appliance.