[9.000][ANSWERED] Exceeding IP limit?

it has about 40 192.168.3.x addresses. I only have 2 ips in that range, it is my DMZ. ... 
My only guess is that my network monitoring software is scanning the 3.x range. But if it is not hitting anything why is it being marked as a license? None of the addresses are really there

This has come up (as a bug) in past versions of Astaro, but should have been fixed.

Please verify that there is no response if you ping those addresses.

Barry

Couple of questions: Do you use IPv6? Do you run the webproxy, and if yes, are you running standard or transparent mode? Do you use Wifi on one of the interfaces? Do you use DHCP?

It'd help a lot if you could give a short overview over your network layout, and I'd be happy to hear more about your "... network monitoring software", that "is scanning".

Cheers,
Kai

Yes I use IPv6, the addresses in question are IPv4. I use the webproxy believe transparent, no wifi. DHCP but not with astaro.

I use spiceworks for network monitoring, it will scan all subnets for anything new. Like I said, there are only 2 ips in the 192.168.3 range, it shows 40 in the license view.

This has come up (as a bug) in past versions of Astaro, but should have been fixed.

Please verify that there is no response if you ping those addresses.
Barry

Barry - Thanks, Yes I verified there is no response from those addresses. I'm not home tonight can test other suggestions tomorrow.

Hi Jasin,

... I use the webproxy believe transparent ....

There we have the culprit. Let me explain what happens:

Your network monitoring software is doing a few things when scanning a network. They describe those steps in detail on their community website, see What Basic Process Does The Network Scan Follow? for details. One part of the scan is an HTTP connection attempt. This connection attempt is intercepted by the webproxy on the UTM because, well that's it's job. Now here's the relevant part: if the destination is unreachable, the proxy sends an error page, which is exactly what you want as an end user. This also gets into the accounting tables of the database, because you have a "real" traffic flow. And because you have a packet flow, the destination IP gets counted by the IP licenses check too. That's why you see those unused IP addresses as "Active IP Addresses". 

Does this make sense this far?

You have a few options to get around this. The probably easiest is to put the DMZ on the transparent skip list. You then have to manually configure some firewall rules to match your scenario, but since the proxy is then no longer involved, the unused IP addresses in the DMZ aren't counted any longer. The downside of this approach is that, since you aren't using the proxy any longer, you don't have any virus protection when downloading files from the servers in your DMZ. Decide for yourself if you can live with that.
Another easy solution is to tell spiceworks to not scan on port 80 in the DMZ. I don't know whether you can configure spiceworks that way, but it might be worth to try it.
The solution I like best has been suggested by the developer who is currently maintaining the IP license check code: Just give the spiceworks machine another network interface, put that in the DMZ and let it probe the DMZ that way. Since the UTM is no longer in between, it will not count the connection attempts. If you are already running spiceworks and that part of your network with virtualization and/or VLANs, this might be easy to implement too. And IMHO it's the cleanest approach.

Cheers,
Kai

Hi Jasin,



There we have the culprit. Let me explain what happens:

Your network monitoring software is doing a few things when scanning a network. They describe those steps in detail on their community website, see What Basic Process Does The Network Scan Follow? for details. One part of the scan is an HTTP connection attempt. This connection attempt is intercepted by the webproxy on the UTM because, well that's it's job. Now here's the relevant part: if the destination is unreachable, the proxy sends an error page, which is exactly what you want as an end user. This also gets into the accounting tables of the database, because you have a "real" traffic flow. And because you have a packet flow, the destination IP gets counted by the IP licenses check too. That's why you see those unused IP addresses as "Active IP Addresses". 

Does this make sense this far?

You have a few options to get around this. The probably easiest is to put the DMZ on the transparent skip list. You then have to manually configure some firewall rules to match your scenario, but since the proxy is then no longer involved, the unused IP addresses in the DMZ aren't counted any longer. The downside of this approach is that, since you aren't using the proxy any longer, you don't have any virus protection when downloading files from the servers in your DMZ. Decide for yourself if you can live with that.
Another easy solution is to tell spiceworks to not scan on port 80 in the DMZ. I don't know whether you can configure spiceworks that way, but it might be worth to try it.
The solution I like best has been suggested by the developer who is currently maintaining the IP license check code: Just give the spiceworks machine another network interface, put that in the DMZ and let it probe the DMZ that way. Since the UTM is no longer in between, it will not count the connection attempts. If you are already running spiceworks and that part of your network with virtualization and/or VLANs, this might be easy to implement too. And IMHO it's the cleanest approach.

Cheers,
Kai

I think I can live with DMZ not being in the proxy. Thank you for finding that. Would be nice if there was a way to not count the license if webproxy turns timed out.

Thank you all.

Hi Jasin,



There we have the culprit. Let me explain what happens:

Your network monitoring software is doing a few things when scanning a network. They describe those steps in detail on their community website, see What Basic Process Does The Network Scan Follow? for details. One part of the scan is an HTTP connection attempt. This connection attempt is intercepted by the webproxy on the UTM because, well that's it's job. Now here's the relevant part: if the destination is unreachable, the proxy sends an error page, which is exactly what you want as an end user. This also gets into the accounting tables of the database, because you have a "real" traffic flow. And because you have a packet flow, the destination IP gets counted by the IP licenses check too. That's why you see those unused IP addresses as "Active IP Addresses". 

Does this make sense this far?

You have a few options to get around this. The probably easiest is to put the DMZ on the transparent skip list. You then have to manually configure some firewall rules to match your scenario, but since the proxy is then no longer involved, the unused IP addresses in the DMZ aren't counted any longer. The downside of this approach is that, since you aren't using the proxy any longer, you don't have any virus protection when downloading files from the servers in your DMZ. Decide for yourself if you can live with that.
Another easy solution is to tell spiceworks to not scan on port 80 in the DMZ. I don't know whether you can configure spiceworks that way, but it might be worth to try it.
The solution I like best has been suggested by the developer who is currently maintaining the IP license check code: Just give the spiceworks machine another network interface, put that in the DMZ and let it probe the DMZ that way. Since the UTM is no longer in between, it will not count the connection attempts. If you are already running spiceworks and that part of your network with virtualization and/or VLANs, this might be easy to implement too. And IMHO it's the cleanest approach.

Cheers,
Kai

I think I can live with DMZ not being in the proxy. Thank you for finding that. Would be nice if there was a way to not count the license if webproxy turns timed out.

Thank you all.