Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 78 replies
  • Subscribers 3 subscribers
  • Views 89273 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

5.020 License counting.

Simon Shaw
What is happening with this???  Some documentation and/or warning from Astaro would have been good to tell us what exactly this up2date will do for licensing  [:O]

Will excess licenses currently get blocked from accessing the net yet or is that still to come?  This should all be FULLY documented before it is implemented.

As far as I was aware there was still issues with the license counting/refresh intervals that needed resolving.

Earlier this evening I did a license count reset BEFORE installing 5.020

I have a 50IP license.

ASL Webmin reports 6 IP addresses currently in use.

ASL just emailed me:

"This email was sent by your Astaro Security Linux software to notify you that you have exceeded 100% of the user count for your license!

Additional users may not be able to reach the Internet through the Astaro Security Linux firewall. Astaro is not responsible for providing secure access for additional users.

You will be able to exceed the licensed user count by a small margin, but please act immediately to assure continuous, secure internet access for your users. Please contact your Astaro solutions partner or Astaro to discuss upgrading your license.

Thank you,

Astaro
http://www.astaro.com


--
Last WebAdmin login: admin at Fri Aug 27 19:21:18 from 192.168.3.30
System Uptime      : 0 days 1 hours 3 minutes
System Load        : 0.17
System Version     : Astaro Security Linux 5.020
License usage      : 13 of 50 users active"

Now webmin and the email notification do not agree...
"Current users (IPs) listing    Total 6 entries "

Not very impressed, especially since there are quite a few other issues open that would appear to me to be more important than license checking.


This thread was automatically locked due to age.
  • 0 in reply to firebear_01
    Well, I'm just relaying how I and others feel in my situation.  *shrug*
  • 0 in reply to Simon Shaw
    [ QUOTE ]
    Well, I'm just relaying how I and others feel in my situation.  *shrug* 

    [/ QUOTE ]

    Of course, and no one here is always right (and certainly not me -- I learned a long time ago that the longer I worked in the IT field, the less I know).   [;)] haven't offended you.

    -Steve
  • 0 in reply to Simon Shaw
    It is commendable that such an emmotive topic can have such an ammiable discusion.

    I agree that Astaro IP counting policy is far more reasonable than checkpoints. I work with Checkpoint every day and can catagorically say that Astaro is more user friendly. Anyone that works with checkpoint knows that there is a black art to making it work correctly with as much security being gained/lost with setings outwith the ruleset than on.

    However I believe that the Astaro license could still be levelled for a greater user base without a loss in revenue.

    For instance at the moment I am at my home by myself but have approx 6 devices activated. I freely admit I am a power user and an extreme example. However if I activate auto update on all my boxes whilst I am a single person I will have used virtually all my licnese. The key here is that on average 2-3 boxes use Astaro to connect to the net most of the time whilst the others only sporadically connect for updates etc.

    Also if you have multiple DMZ's every box will pass Astaro.

    I believe some sort of average or a faster IP refresh time would be fairer (fairer is the wrong word.... cover more situations is more appropriate).

    Saying all this I realise that Astaro is a company and HAS to make money. That is a given.
  • 0 in reply to PenTest
    Agreed.  I'd be very happy with a 24 hour license refresh.  Or at a pinch... 1 week.

    Preferably have this happen at night, better for Astaro as well since most work is done during day.

    This way we know if we are using more than X licenses at a time rather than just slowly accumulating them from odd logins.  I'd be interested to see policy for an ISP where every IP will get used for dialin users; but only a certain pool are ever connected at one time.  ie, 10,000 customers, only 1 in 10 ever connected at same time...
  • 0 in reply to Simon Shaw
    Well, I have got some news, and it's anoying. After submiting a ticket to Astaro support about the inconsistent IP count resulting from port sweeps and network ping scan, I got the follwoing answer:

     [ QUOTE ]
     I have contacted the responsible devel guys and say say that the behaviour is correct since it is impossible to determine if it is a portscan or not in case of UDP whithout flowcontrol and unidirectional traffic all check routines are out of the race.  

    [/ QUOTE ] 

    So, what it actually means is that you need a license for:

    1/ each IP (wethe routable or unroutable) that will connect through the firewall (fair enough).
    2/ each VPN client (fair enough).
    3/ each routable IP in your internal network.

    Point 3 is the one that causes me problem, of course. Not only do I find it hard to justify technically (since we know that pseudo-connection state can be maintained even for stateless protocols by the NAT subsystem) but I also feel cheated on the commercial side: now, I need a license for every routable IP IN ADDITION to my normal NATed clients, regardless of the fact that they aren't used in any way and that the "connection" that triggered that IP to be counted is, not only coming from a 3rd party, but by a hostile one as well. 

    I've submited the same comments to the Astaro support team but I doubt I will get an answer from that chanel (they are, after all, not the one that decide what is a bug, what is a feature, how licenses should be counted and how the product should be marketed).
  • 0 in reply to StephaneGROBETY
    I am NOT paying for IP's that don't exist.

    That would add up to a possible 765 licensed IP's for me !
    (DMZ+Wireless+Internal LAN)
  • 0 in reply to Simon Shaw
    [ QUOTE ]
    I am NOT paying for IP's that don't exist.

    That would add up to a possible 765 licensed IP's for me !
    (DMZ+Wireless+Internal LAN) 

    [/ QUOTE ]

    You definitely don't have to pay for IPs that don't exist:
    In maximum you "pay" for the packet forwarding windows in IP address space which you open between internal IPs at one side  and  vpn tunnels/respective the default gateway at the other side (Effectively counted are only those IPs which are seen by the ASL, however).

     ==> Licensed Users Management is Packet Filter Management.   
  • 0 in reply to escolar
    [ QUOTE ]

    In maximum you "pay" for the packet forwarding windows in IP address space which you open between internal IPs at one side and vpn tunnels/respective the default gateway at the other side (Effectively counted are only those IPs which are seen by the ASL, however).

    [/ QUOTE ]

    This is a fancy way of saying that Astaro counts every SYN packets that it lets through as requiring a license, which means that you have to pay for any IP that could potentially be reached from outside, regardless of the fact that this IP doesn't exists (I'm not even talking about UDP/ICMP here).

    In effect, the only way you have to avoid non-existing IP to be counted by astaro is to make sure they do not apear anywhere in your filter: you have to setup an explicit rule for every hosts that can be reached from outside (we're only talking about incoming conections, here, not outgoing ones).

    This is disturbing news: on a network with 5 IPs that needs to communicate through Astaro, this has forced me to create 21 rules when 8 would have been enough if the licensing subsystem was just slightly smarter (that is: if it counted SYN-ACK or RST-ACK packets FROM my internal net instead of relying on SYN TO my internal network)
  • 0 in reply to StephaneGROBETY
    Where is my thinking wrong? If it is impossible to make sure that 100% of internet based scans etc etc do not trigger a licnese count surely this is a DOS waiting to happen.?

    All we do is figure out what kind of traffic trigger a license count. Sculpt these packets using the tool of your choice. Spoof the source address and then scan a few hundred thousand machines.

    If i am correct surely this is a show stopper in itself?