5.020 License counting.

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

same notification here License usage: EXCEEDING 100% OF USER COUNT on Astaro Security Linux..

Maybe it's an initial implementation thing...

Still all my comments above stand.

Also, Executive Report says I'm using 15IP's whilst Admin-Licensing says I'm using 13 now....

I guess the differences between the user numbers are due to these facts ..

1) notification email listing somehow cumulative user number:
License usage : 13 of 50 users active

2) Webadmin showing current users:
"Current users (IPs) listing Total 6 entries"

3) Executive Report showing an average over certain time.

I am not saying this is very consistent, just trying to find a reason for different numbers. Haven't tested it on my system, so don't have own experience.

Hi there all guys, 

let me try to explain this, 
before this rumor spreads.

In General
---------------
Astaro Security Linux V5 is licensed based on Users.
A User is an IP Address that communicates through the firewall either with the internet or through a vpn tunnel.
i.e: If you have a 50 user license, you purchased the right to have 50 IPs in your network that communicate through the firewall with the internet or though a vpn tunnel. 

If you have computers inside your network that do not communicate with the internet or through a vpn tunnel, they do not need to be licensed, even if they are protected by our product, this is a new benefit of the ASL V5 licensing model.

In order to allow communication through the firewall,  you need to create a packet filter rule that allows this.
Therefore you can fully control which Users/IPs are allowed to connect the internet and get counted and which not.

The licensing model of ASL V5 has never been changed.

We have integrated a licensing daemon in ASL V5 that counts those Users and notify the administrator if there is the risk that his installation is going to exceed the purchased license. In that case we send a notification to inform the administrator.
The administrator can verify the actual User Count in WebAdmin > Licensing > Licensed Users - click Start.

He can verify the ip addresses of the counted Users there, as well as when they have been first and last seen.
Additionally you will find a graph in the reporting section that also shows you your actual and historical user count.

If something happend or if you are changing your network setup, you can reset the counted user list by clicking on 'Start ' in the 'Reset user (IPs) listing:'.
This is followed by a reboot.

Up2Date 5.020
----------------------
In this up2date we addressed mainly two things:
1) we improved the accuracy of the licensing daemon to no longer generate false positives, Simon Shaw was very helpfull to track them down, thx for that.
2) fixed a bug in the monitoring sytem that prevented the sending of notification emails in certain cases, this included the licensing notification.
this issues have now been fixed.

I hope this awnsers the open licensing questions.

regards
Gert

[ QUOTE ]
I guess the differences between the user numbers are due to these facts ..

1) notification email listing somehow cumulative user number:
License usage : 13 of 50 users active

2) Webadmin showing current users:
"Current users (IPs) listing Total 6 entries"

3) Executive Report showing an average over certain time.

I am not saying this is very consistent, just trying to find a reason for different numbers. Haven't tested it on my system, so don't have own experience. 

[/ QUOTE ]

1) and 2) should be identical (if based on the same point of time - of course).

If you have root access to the ASL, see lines "successfully linearized n users" in /var/log/license.log for 5-minutes-accuracy.
Else the listing in Webadmin shows the most current number.

Your comment on 3) seems plausible.

I have checked this on my home firewall, 
and all three occurences show the same number.

regards
Gert

Well, it doesn't "cut me off" if I'm using too many licenses. Great. But what is it good for then? I have a ten IP license here and 2 systems using it. I had a disk-crash last night, so started from scratch this morning. Right now there is one system running. Webadmin tells me there is one IP using the box. So okay, but still I get a mail from the box telling me I'm exceeding the license? This (sorry for the bad language) SUX!

What I did now is set a filter in thunderbird, to send these mails to /dev/null. 

I think it doesn't make any sense at all, bugging people with some functionality, that, if it was working, would useful, but at the moment is just using time, space (as in hard disk space) and capacity (as in processor time and bandwidth).

Why?

hey.. and why isn't there an angry smiley in the list??? *g*

Gert, thanks for the acknowledge and clarifications.  I think you should have posted that message first before putting up the up2date but *shrug*. [:)]

I guess my main concern is the cumulative IP counting that the license counter uses and how long a period an IP will be counted before it's no longer considered "protected" under the license.

IMHO an IP should stop being counted against the license limit the moment it's switched off, removed, disconnects or whatever.  I know this would be difficult to implement but just what is the time limit going to be?

We have a number of transient IP's used and this issue concerns me.  (ie Staff / Clients visiting often with laptops, training room PC's, PDA's coming and going etc.)

[ QUOTE ]
.... telling me I'm exceeding the license? This (sorry for the bad language) SUX!

What I did now is set a filter in thunderbird, to send these mails to /dev/null. 

I think it doesn't make any sense at all, bugging people with some functionality, that, if it was working, would useful, but at the moment is just using time, space (as in hard disk space) and capacity (as in processor time and bandwidth).

Why?

hey.. and why isn't there an angry smiley in the list??? *g* 

[/ QUOTE ]

Okay - (honestly): you are right.

Maybe we dedicate a V5.021 to you this evening.
And can continue using authentic smilies :-)

Hi there all, 

Wrong notifications
--------------------------
after investigating your and two other reports of falsely send licensing exceeded notification,
we found a small problem in the email notifier that sends out the email notifications.

If for any reason the  communication to the licensing daemon does not work correctly, 
it will send this notification.

This could happen during the installation of the up2date package on slower machines or on bigger configurations.
We are currently preparing a hotfix which solves this issue.

ASL V5 Licensing
------------------------
There are many dfferent views and opinions about the perfect licensing model for software.
This mostly depends on the role of the person, whether it is vendor or customer, a sales guy or an engineer.
We have thought long and hard about our model and we finally decided on what I described above.

We are selling our software into different markets and different sizes of companies.
On one hand we want a fair compensation for the value that our software delivers to the customer and  on the other hand we also want smaller companies to be able to afford our software. 
Combining these two options is not an easy task.

An ASL V5 license costs from $400 to $5000 depending on the size of your network.

The question is not if your network has 50 or 100 users and if it is fair to count this and that user,
but if you think that ASL is worth the price you need to pay for protecting your company network, based on our license definition?

I hope i found the right words to explain this sensitive issue, 
if not, please let me know.

best regards
Gert

Gert,

Thanks for the additional info re the licensing.  I have a question -- you have stated that a user is counted if they go through the firewall or through a VPN.  But what if you have both a VPN and regular Internet access?  For example, we have some clients who use Astaro firewalls at multiple locations and connect via VPN to their main office (a VPN tunnel from Astaro-to-Astaro).  At the same time, traffic from those workstations that is not destined for the main office (e.g. Internet browsing) goes through the firewall as normal and out on the T-1 line.  Those traffic exchanges are not through the tunnel.  Are those users counted twice at the remote office?  And what about the main office -- are the users coming across the VPN tunnels (again, Astaro-to-Astaro tunnels) counted as users, in addition to the regular users at that location?  And what about the VPN tunnels themselves -- do they need to meet a licensing requirement, or is it only the users?

It seems to me that if you have a VPN tunnel running between Astaro firewalls and the users at Network A and Network B are all properly licensed for their networks, that they shouldn't have to pay for additional licenses at the other end of the tunnel.  However, if you have someone logging in with Road Warrior access, that should count as a user.  Also, if a VPN tunnel is not the result of a connection between two Astaro boxes, then those remote users should also add to the license count.  My point is that I feel that offices running a complete Astaro solution should be protected from having to be doubly-taxed on the licensing if a VPN is running between the Astaro firewalls.

For additional clarity, let me give you a real-life example.  Location A (the main office) is licensed for 25 users and already has 20 users active on the internal network.  Location B (the remote office) is licensed for 10 users.  Both locations have Astaro firewalls and both have their own T-1 lines.  A tunnel is established between the two firewalls, giving the remote office full access to the network at the main office.  My suggestion is that the users at the remote office, as they use the resources at the main office across the VPN tunnel, should NOT generate additional licensing requirements, because both locations are already using an Astaro firewall and they're paying for their licenses respectively.  The remote office would have access across the tunnel to the main office up to the remote office's license count.

Can you shed some light on this?

-Steve