This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow access to webpages.

Hi ,

We recently changed our ASG220 with 2xASG320 in HA (Master->Slave)
We setup the ASG320 with a backup configuration of ASG220, and everything beside accessing some webpages works perfectly.

The webpages involved are really really slow to access, around 10 min pr page.
The log doesnt indicate any problems at all.

I have found out that if i put specific hosts/groups under Web Security -> Web filtering -> Advanced -> Transparent mode skiplist it works perfectly, but this is not a solution im happy with because it the skips the security.

Have you had any similar problems or do you have a solution for this?


This thread was automatically locked due to age.
  • HTTPS Scanning is not enabled.

    I'll look at those as well Sascha.  Thanks
  • Hi all.

    Thx for all the replies.
    I can definely say its not a DNS issue, everything works perfectly and we are running our own DNS server.
    Regarding the HTTPS scanning, i dont think its that either, because its not enabled on the ASG.

    The proxy is setup to be in Transparent mode, so as q2srw77 wrote the only way is to bypass it at the moment?

    The log doesnt show any errors at all:
    2012:01:19-09:06:01 fw-1 httpproxy[3657]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.67" dstip="157.166.226.26" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="189" request="0x9a74878" url="cnn.com/.../html"
    2012:01:19-09:06:02 fw-1 httpproxy[3657]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.67" dstip="157.166.226.25" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="165" request="0x9a8f460" url="www.cnn.com/.../html"
    2012:01:19-09:06:03 fw-1 httpproxy[3657]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.67" dstip="157.166.226.46" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="90870" request="0x9a8fe38" url="edition.cnn.com/.../html"

    After the last line, the clients waits for 10 mins the the webpage cnn.com appears.

    q2srw77 are there any news from the Astaro team on a solution?
  • Hi All,

    My distributor have talked to Astaro and the logged on via SSH and applied a patch module to the Proxy, and it solved the issues.
    As far as im informed the patch will be release with 8.301

    Hope this helpes other people with the same problem.
  • You probably got the same patch or newer hopefully that they created to fix some of the issues that I've seen.

    I setup the Astaro Web Security primarily in Transparent Mode with Agent Authentication. 

    I only have google's networks listed in my destination Transparent Skip List. I was just experiencing the same wait times and bypassing their networks fixed it. 

    The other blocks and recommendations from Sancha's ASG Tweaks also helped greatly. 

    Also, if you don't already have it. Download Firefox and then under Add-ons search for Firebug. Run it and enable the Net Tab. This is a great tool to find out exactly what your web browser is waiting for and where everything from the website is coming from.
  • i'm really curious about the commonalities of folks who are hitting this vs what i am doing because i am not hitting this issue with less than 5% of sascha's skiplist in place and it is really disconcerting to know that me or my clients could hit this if i changed my configuration in one way. or another.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • I don't think its going to happen in v9 but I believe the http proxy needs to be broken down. App control/av/content filter should run as seperate daemons. Too many thing there to slow down the proxy including internet congestion and its very hard to troubleshoot specially since astaro took out the access time from the http proxy logs.
  • The first thing they did is went proprietary with the web proxy.  I agree they should break it down...i have an idea:

    Go back to squid for http proxy and a/v and whatnot.  nearly all of the recent problems started with whatever proprietary proxy product they are using now.  They've never gotten that quite right.  
    put the web applicaiton control in another daemon

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • My Web Proxy ist slow too. I get this error messagen in my log:

    severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_handle_cmd" file="scr_scanner.c" line="510" message="cffs19.astaro.com: write: Connection refused"
  • My Web Proxy ist slow too. I get this error messagen in my log:

    severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_handle_cmd" file="scr_scanner.c" line="510" message="cffs19.astaro.com: write: Connection refused"


    yeppers.  Hit sascha's post about using the local cff database.  If you don't have 2 gigs or more then use the disk option.  It will reduce your dependency on the "cloudy" cff servers.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • I don't think its going to happen in v9 but I believe the http proxy needs to be broken down. App control/av/content filter should run as seperate daemons. Too many thing there to slow down the proxy including internet congestion and its very hard to troubleshoot specially since astaro took out the access time from the http proxy logs.


    I have the access times in my http proxy logs upon starting the proxy.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow