Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 935 views
  • Users 0 members are here
Options
Suggested

Managing ip's outside license

takoateli
It would be nice if one could manually manage which ip's are outside the license. I've found devices like wireless APs (due to STP or NTP) get counted as licensed ip's depleting the free licensed ip's available for users. It would be nice if one could manually specify those devices as being outside the license.

Is it possible to put a packet filter drop rule for those devices' ip's to keep them from getting counted against the license?
Parents
  • 0
    Hi takoateli

    If the Astaro becomes aware of these devices in any way, it will count them as "protected" as technically they are a device that is residing behind the ASG and under its shroud of protection. You might have success in ensuring this type of device does not have a default gateway set itself, that should stop it from communicating to the ASG.
  • 0 in reply to AngeloC
    Mr. Comazzetto,

      Thanks I'll make sure those devices don't have a gateway set, but protocols like STP send out broadcast packets and I see those in the ASG logs and I suspect that's triggering it's being counted as protected.

     If one could manually count those devices as outside the license (and hence would have no connectivity) then they really wouldn't be under the umbrella of protection since that protection is protection from the outside world which they're not interacting with anyway.

    Thanks!
    Greg
  • 0 in reply to takoateli
    You could do as I do (for different reasons... to keep the packet filter logs reasonable and readable) ... just add a drop w/ no logging rule for broadcast / multicast traffic that hits the internal address, etc. on the Astaro.
  • 0 in reply to BrucekConvergent
    Like bruce says you can take different approaches to this, however from Astaro's point, while these devices are not necessarily visiting the internet, they still reside behind Astaros blanket, so for example while a printer might not go to the internet, the printer being behind the Astaro means that people cannot exploit it or use it to print at will/for fun. Same with an AP, astaro is providing SOME level of protection from DOS attacks, login attempts, and other benefits. 

    Rather than try to determine the use case of all these IP's, we simplified the licensing just to say officially "if it is behind the Astaro Device, it should be counted as part of the license, in addition to anyone that dials in with Roadwarrior technology".
  • 0 in reply to AngeloC
    Mr. Comazzetto,

      I understand your point. One thing to keep in mind though is the ASG considers a device in use if it was seen within the past 7 days. That's an awfully long time. If a road warrior gets on the net then he's counted as occupying a license slot for the next 7 days. That starts adding up real fast. On this network we had a SonicWall device with a 10 user license and never went over by their counting but they use a more instantaneous measure.

    Greg
  • 0 in reply to takoateli
    I have to agree with takoateli ... Being a self-confessed "uber-geek", I have an entire house full of networked devices.  Not many of them have any desire to see the outside world.  The SonicWall method does seem fairer, otherwise to save on licensing, your best bet is to drop a router (maybe another linux box?) in behind the ASG appliance that ensures ASG never see's any of your internal network...  Then that router has to forward a default gateway to the ASG box, and the ASG box has to forward a default gateway to your ISP.  If you then try and put NAT into the equation, it's all a bit of a mess..

    I really think ASG scores 10/10 for being the most polished and powerful system of it's type, but I'd be surprised if many "home users" for example that are happy to throw dedicated hardware at a firewall appliance would be able to sit under the 10 user limit - especially if they had aspirations of occasionally VPN'ing in from work to grab that document they forgot to copy to their USB memory stick... 

    And when arguing that ASG is protecting an AP from various attacks - doesn't NAT do that anyway?  If you have only one externally known IP address (and who doesn't have NAT these days with the IPV4 address shortage), how can a hacker access your AP from the internet unless the AP first of all opens a NAT connection outbound?  Their best chance of hacking an AP is actually with a wifi card and the appropriate software - which ASG can't detect or protect against anyway.

    I'm not arguing for the corporate world, but if I was a small/medium size business, I wouldn't want to be told I was paying to protect a print-server as part of my licensing fees when the print server doesn't exist to the outside world.

    Not trying to have a whinge, it just seems that "simplified" isn't the correct word for the way ASG assesses it's licensing.

    -Ben
  • 0 in reply to b2bweb
    FWIW, home users can get 25IP licenses by actively participating in the current beta (hurry).

    Barry
  • 0 in reply to BarryG
    Well I just want to say that the Astaro ASG is amazing, and kudos to Astaro for letting folks use it free with the 10 user/1000 concurrent connection license. It's extremely gracious of Astaro to give that away, so I feel like I might sound ungrateful for even asking for more.

    Astaro is being kind enough to let folks use the free 10 user license (did I mention "free"?) and we should abide by their terms. They should be able to set a few conditions when giving us something as great as the ASG for free.

    I think Ben's suggestion is wrong because it violates the agreement and trust of the free 10 user license (though the same though occurred to me of using something to mask or block downstream devices so the ASG doesn't count them).

    What I would really like to see is for Astaro to have some plan for home users where folks could add a few IPs for a reasonable fee. Though how they'd stop small businesses from abusing that I don't know.

    Greg
  • 0 in reply to takoateli
    I agree, takoateli.
    Astaro is very kindly providing us home users and geeks with a license that has everything we need.
    I too have the same issue, as I have a MythTV home entertainment setup with a server and 2 frontend boxes, 2 servers on which a couple more in VMWare, wifi, 2 laptops, 2 game pc's and a small home studio with a dedicated PC, a Mac and a backup server/NAS, so my 10 IP limit is almost always crossed... Though, I'm just alone here with my girlfriend, and we rarely use more than 8 of the machines together (the servers, the wifi, one, two or three PC's/laptops and the TV), but most of the machines, like the servers, backup and the home entertainment system are always-on setups, so they are always counted.
    I've been thinking of rewiring my appartment to do a Home Automation, so I can check the state of my cooling/heating, lights, ... when I'm not home, and that will be counted too.

    I too 'd prefer that Astaro gives the Home Users the possibility to 'upgrade' the free license to a 20 of 25 IP limit, not even increasing the amount of concurrent sessions the same way to 2500 or more... Even 1500 would do... My license gives me free use of the email scanning and http proxy features, so I'm very pleased... I would even consider to pay a small fee for such an upgrade. 
    They could also,like they do now, reward whoever is joining the forces for new releases, or just has the courage and takes the time, to post remarks, suggestions, bugs, ... to make future Astaro releases even better as it already is right now, with a free 'Upgrade', based on their contribution.
    Ok, not everyone is as involved, as technical, as willing... but still it might be something they could think about for the future.

    but in the end, it's Astaro that decides, and we should always (try to) follow their rules and terms, as we accepted the license and stated we would follow it...

    That's just my idea...
Reply
  • 0 in reply to takoateli
    I agree, takoateli.
    Astaro is very kindly providing us home users and geeks with a license that has everything we need.
    I too have the same issue, as I have a MythTV home entertainment setup with a server and 2 frontend boxes, 2 servers on which a couple more in VMWare, wifi, 2 laptops, 2 game pc's and a small home studio with a dedicated PC, a Mac and a backup server/NAS, so my 10 IP limit is almost always crossed... Though, I'm just alone here with my girlfriend, and we rarely use more than 8 of the machines together (the servers, the wifi, one, two or three PC's/laptops and the TV), but most of the machines, like the servers, backup and the home entertainment system are always-on setups, so they are always counted.
    I've been thinking of rewiring my appartment to do a Home Automation, so I can check the state of my cooling/heating, lights, ... when I'm not home, and that will be counted too.

    I too 'd prefer that Astaro gives the Home Users the possibility to 'upgrade' the free license to a 20 of 25 IP limit, not even increasing the amount of concurrent sessions the same way to 2500 or more... Even 1500 would do... My license gives me free use of the email scanning and http proxy features, so I'm very pleased... I would even consider to pay a small fee for such an upgrade. 
    They could also,like they do now, reward whoever is joining the forces for new releases, or just has the courage and takes the time, to post remarks, suggestions, bugs, ... to make future Astaro releases even better as it already is right now, with a free 'Upgrade', based on their contribution.
    Ok, not everyone is as involved, as technical, as willing... but still it might be something they could think about for the future.

    but in the end, it's Astaro that decides, and we should always (try to) follow their rules and terms, as we accepted the license and stated we would follow it...

    That's just my idea...
Children
No Data