Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 688 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro 5.23 STILL counting non-existing machines

StephaneGROBETY
As I have noted in previous threads, Astaro license counting is rather... trigger happy. Once I understood what it did (any IP in a packet that was allowed through not being routed to the default route would be counted) I thought I could create new rules that wouldsolve the problem (by creating rules for individual machines rather than IP range) but it seems it's still not the case.

After running for three weeks without too much problem, the license list is once again "poluted" with non-existing IPs (these are public IPs that aren't assigned to any phisical or virtual interface in the network). These IPs all have been "visible" for a single second: the "first seen" and "last seen" timestamps are the same.

The worse part is that I now have no clue as to what causes these IPs to be listed: all the ALLOW rules in the packet filter now are machine-specific and thes IPs show up nowhere. There is no DHCP on that network, no possibly external entry point and everything is in a locked server rack in a high-security enclosure: there is no way any machine could have been connected and could have used one of the ghosts IPs. 

Another puzzling point is that only a few IPs are listed: I would have thought that if this was the result of a network scan, the whole range would have been added (that's what happen if I enable ICMP through the firewall)

What 's happening ?


This thread was automatically locked due to age.
  • 0
    Hi,

    we have the same problem. We have a new public IP range (32 Adresses) for our pubic server network. The only used IP at the moment is the IP for the ASL Box, but after two days the license IP count is exeeded (25 "User licece"). Is there any solution to this? Must I disable ICMP forwarding and then create a special rule for each box which I connect?
    What to do?

    Dirk
  • 0 in reply to dwagner
    Hi dwagner,

    Yes, this is a known issue: Astaro will count a user licesence for every packet that goes thgough, wether or not there is a mchine at the other end. That means that you MUST disable all ICMP (including traceroute and pings) and that you must craft a specific machine rule for each machine that can be accessed from the outside.

    I'm not sure if this applies to  outgoing rules as well (does Astaro uses a license when it receives a SYN-ACK for an IP that didn'ts send a SYN on a protocol with outgoing connections allowed ? I don't think so, otherwise it's not doign stateful inspection). But I'm sure it applies to incomming rules (if you have a mail server, create an incomming conection rule for this IP only, not for the network.  Otherwsise, the first spammer looking for an open relay will putt all your IPs in the license list.
  • 0
    I am having this same problem, except mine are coming from the inside. I have IP's being counted that were last seen Almost a month ago. It gets old having to keep resetting my firewall just because it will not drop an IP after a reasonable amount of time. This has been mentioned here many times and there never seems to be any fix or even a hint that they are looking into it.
                                  
                                  First Seen                Last Seen
    192.168.1.43    2004-09-28 12:26   2004-10-08 23:21
    192.168.1.181  2004-09-19 13:40   2004-10-08 23:15
    192.168.1.51    2004-09-11 16:20   2004-10-08 23:11
    192.168.1.190  2004-09-12 01:34   2004-10-07 19:25
    192.168.1.197  2004-09-12 19:37   2004-10-07 16:40
    192.168.1.179  2004-09-12 12:06   2004-09-29 23:18
    192.168.1.183  2004-09-12 11:51   2004-09-29 01:37
    192.168.1.178  2004-09-16 20:32   2004-09-19 09:18
    192.168.1.180  2004-09-18 11:45   2004-09-18 11:45
    192.168.1.50    2004-09-11 15:56   2004-09-16 22:20
    192.168.1.199  2004-09-11 15:55   2004-09-16 20:55
    192.168.1.182  2004-09-11 17:27   2004-09-16 07:55
  • 0 in reply to RobertW
    Well, the astaro team has made it pretty clear: that's how the license counting thing is supposed to work and they don't intend to change it. Live with it or switch.

    Now, on the other side, it's not as if the user limit was actually enforced in any way except the notification about overused licenses. Personally, while I really regret the current position of the Astaro team and fail to find it technically justified, I can more or less live with the administrative overhead they force on me by requiring explicit, per-machine rules (at least, it forces me to have a tight control of all incomming connections).

    The only real rant I have with the current system is that it means I cannot use ICMP. And it means that all my monitoring tools are virtually useless. I'm still looking for a solution to that issue.
  • 0 in reply to StephaneGROBETY
    Well, according to posts in the LONG thread about licensing it's still not clear when the count will be reset.  I never got a clear answer.

    Obviously we should not be paying for IP's that were last seen 6 months ago...  (Well I bloody hope not or I am switching to a different product!).

    I'm holding off on purchasing 3 licenses till this is resolved.
  • 0 in reply to Simon Shaw
    Hello,
    since a few days I've got the same problem.60 of 50 IPs counted. When I want to reset, it only works together with rebooting the machine. Not very comfortable at all, I guess. I will do the reboot this evening.
    I added for each machine, that isn't used a network-definition and then I built a group for all these. The first packetfilter rule now drops every packet to this group, any service, any source. I hope, this will fix the problem.
    If this doesn't work, ASTARO will have to fix the problem or we will have to think about another software than ASL for our 5 boxes.
    Any other suggestions?
    Regards,
    Thomas
  • 0 in reply to LightScape
    I fixed the problem by turning off all ICMP and ping/tracerouting.  Seems to stop license counter skyrocketing.