Slow access to webpages.

HTTPS Scanning is not enabled.

I'll look at those as well Sascha.  Thanks

Hi all.

Thx for all the replies.
I can definely say its not a DNS issue, everything works perfectly and we are running our own DNS server.
Regarding the HTTPS scanning, i dont think its that either, because its not enabled on the ASG.

The proxy is setup to be in Transparent mode, so as q2srw77 wrote the only way is to bypass it at the moment?

The log doesnt show any errors at all:
2012:01:19-09:06:01 fw-1 httpproxy[3657]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.67" dstip="157.166.226.26" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="189" request="0x9a74878" url="cnn.com/.../html"
2012:01:19-09:06:02 fw-1 httpproxy[3657]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.67" dstip="157.166.226.25" user="" statuscode="302" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="165" request="0x9a8f460" url="www.cnn.com/.../html"
2012:01:19-09:06:03 fw-1 httpproxy[3657]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.67" dstip="157.166.226.46" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="90870" request="0x9a8fe38" url="edition.cnn.com/.../html"

After the last line, the clients waits for 10 mins the the webpage cnn.com appears.

q2srw77 are there any news from the Astaro team on a solution?

Hi All,

My distributor have talked to Astaro and the logged on via SSH and applied a patch module to the Proxy, and it solved the issues.
As far as im informed the patch will be release with 8.301

Hope this helpes other people with the same problem.

You probably got the same patch or newer hopefully that they created to fix some of the issues that I've seen.

I setup the Astaro Web Security primarily in Transparent Mode with Agent Authentication. 

I only have google's networks listed in my destination Transparent Skip List. I was just experiencing the same wait times and bypassing their networks fixed it. 

The other blocks and recommendations from Sancha's ASG Tweaks also helped greatly. 

Also, if you don't already have it. Download Firefox and then under Add-ons search for Firebug. Run it and enable the Net Tab. This is a great tool to find out exactly what your web browser is waiting for and where everything from the website is coming from.

i'm really curious about the commonalities of folks who are hitting this vs what i am doing because i am not hitting this issue with less than 5% of sascha's skiplist in place and it is really disconcerting to know that me or my clients could hit this if i changed my configuration in one way. or another.

I don't think its going to happen in v9 but I believe the http proxy needs to be broken down. App control/av/content filter should run as seperate daemons. Too many thing there to slow down the proxy including internet congestion and its very hard to troubleshoot specially since astaro took out the access time from the http proxy logs.

The first thing they did is went proprietary with the web proxy.  I agree they should break it down...i have an idea:

Go back to squid for http proxy and a/v and whatnot.  nearly all of the recent problems started with whatever proprietary proxy product they are using now.  They've never gotten that quite right.  
put the web applicaiton control in another daemon

My Web Proxy ist slow too. I get this error messagen in my log:

severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_handle_cmd" file="scr_scanner.c" line="510" message="cffs19.astaro.com: write: Connection refused"

My Web Proxy ist slow too. I get this error messagen in my log:

severity="info" sys="SecureWeb" sub="http" request="(nil)" function="sc_handle_cmd" file="scr_scanner.c" line="510" message="cffs19.astaro.com: write: Connection refused"

yeppers.  Hit sascha's post about using the local cff database.  If you don't have 2 gigs or more then use the disk option.  It will reduce your dependency on the "cloudy" cff servers.

I don't think its going to happen in v9 but I believe the http proxy needs to be broken down. App control/av/content filter should run as seperate daemons. Too many thing there to slow down the proxy including internet congestion and its very hard to troubleshoot specially since astaro took out the access time from the http proxy logs.

I have the access times in my http proxy logs upon starting the proxy.