[7.386] IP licensing - possibly?

[:S]

I don't remember from 7.3 how often it checks, but I've noticed that on the beta, I have NO IP's listed on the licensing page, even though I know there's multiple connections...
Parents Reply Children
  • So am I to understand when I check the licence usage. Its resetting every evening? 

    None of the above should be asking for IP's no? I dont understand my over the limit occuring..


    The license count should update each night, and counted devices will drop off after a week of inactivity.

    Devices which never touch the firewall shouldn't be getting counted... make sure Astaro isn't the DHCP server for them (don't run DHCP on Astaro, or give those devices static IPs), and make sure they don't have a gateway set.

    The best advice for home users right now is to get active with the 7.4 betas, so you can qualify for a 25-IP home license.

    It's not whether they ask for an IP, it's whether the Astaro is asked to forward IP traffic from the device.


    I think it's both... machines which (only) use Astaro for DHCP will be counted also.

    Barry
  • Ok, here's a new one on me.. woke up to the 'OMG you've used up your licensing' email.  It's used up the all 31 IP addresses I have allocated to me.  I know there's only 8 IP addresses in use behind the firewall, and as far as I can tell, it looks like someone scanning my subnet caused the license allocation.  Why would someone hitting the OUTSIDE cause licenses to be used?[:S]
  • Huberscan, that shouldn't happen... are the IPs from outside the network (internet-routable IPs)?  If so, post a screenshot of the licensing tab showing those allocated IPs, maybe an Astaro tech will see those and ask to see your config, etc.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Huberscan, that shouldn't happen... are the IPs from outside the network (internet-routable IPs)?  If so, post a screenshot of the licensing tab showing those allocated IPs, maybe an Astaro tech will see those and ask to see your config, etc.


    The IPs that are listed are ALL of the IPs that could possibly be behind the firewall, even the subnet and broadcast IPs - which shouldn't EVER appear (those IPs are .128 and .159, btw).

    The packet filter log shows that someone scanned my network looking for MS SQL servers, which is normal, but it looks like the licensing daemon decided to take that as a 'I'm protecting that IP', which is different than the 7.3 functionality.
  • Are you saying the 204.x.x.x IPs are behind the firewall?  I don't know what to say about that, all the testing I've done is using IANA RFC private IP ranges behind the firewall... I suspect something is triggering because of the public IPs.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Are you saying the 204.x.x.x IPs are behind the firewall?  I don't know what to say about that, all the testing I've done is using IANA RFC private IP ranges behind the firewall... I suspect something is triggering because of the public IPs.


    That's correct - old habits die hard.  I personally HATE NATting if I don't have to.  Those are publicly routable IPs that I've got.  The part that I was curious about was that this hasn't been a problem in older versions, so I wasn't sure what changed in the beta (or maybe it's a configuration change).
  • Are you saying the 204.x.x.x IPs are behind the firewall?  I don't know what to say about that, all the testing I've done is using IANA RFC private IP ranges behind the firewall... I suspect something is triggering because of the public IPs.


    Bruce, we use public IPs (an entire Class C ) on version 6.3, and what Hubersan describes has never happened to us, although we DO get scanned all of the time.

    I strongly suspect it's a bug in the 7.4 betas.

    I'd be happy to do some more scans against my 6.3 if anyone wants.

    Barry
  • Barry, on the inside of the 6.3 install too?  YOu don't NAT or MASQ an internal IP range to the outside?

    I admit, this could be a problem...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Although I'm being forced against my will to NAT our new install, our old network is not NAT'd at all... we're using the Class C that our ISP gave us, internally and externally (there's a transfer network on the outside, which routes everything else inside).

    Barry
  • Even if you NAT, someone on INT could scan the DMZ subnet, and you'd have the same problem.

    To anyone trying to test this: note that you won't see the extra IPs in the license count until the next day.

    Barry