Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 3 subscribers
  • Views 3466 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

License counting more than on V6

Gert Hansen
Hi there guys, 

the mechanism how to count the active ip addresses is similar to V6, the kernel sends for every connection it tracks information to a logging daemon.

In V7, every connection information through the device is logged to a database.
Than we query the database for every source and destination ip that communicated and map them to your local ip address ranges used.

That means every IP address that has been counted, we saw actually a packet with this source or destination ip address.

Therefore the license counting works correct.

It is indeed a bit more strict than it was in V6, as up until now we also count a single TCP SYN packet that has been sent out or in, even if nobody replied.

This means that a port scan to a range of dmz ip addresses, which actually do not exist, but are allowed by the packet filter could increase the license counting with ip addresses not used.

We will change that behavior in one of the next two updates to only count ip address have been part of a two way communication.

i hope that makes things a bit clearer

regards
Gert


This thread was automatically locked due to age.
Parents
  • 0
    Gert,

    My problem for example is this. How can we determine what is being counted on machines which have the unlimited license? I.E. an Appliance. My home machine tells me I have 2769 active users. This can not be since I only have maybe 25 active IP's on my lan.

    Is it possibly counting machines on the other end of VPN tunnels, which are already protected by their own licensed ASG appliances?
  • 0 in reply to ReD-MaN
    ...
    Is it possibly counting machines on the other end of VPN tunnels, which are already protected by their own licensed ASG appliances?


    Why should they not be counted ? 

    If I have two FW's than seperate ip counting happens on both systems.....this is a normal behavior.
Reply
  • 0 in reply to ReD-MaN
    ...
    Is it possibly counting machines on the other end of VPN tunnels, which are already protected by their own licensed ASG appliances?


    Why should they not be counted ? 

    If I have two FW's than seperate ip counting happens on both systems.....this is a normal behavior.
Children
  • 0 in reply to ClausP
    Why should they not be counted ? 

    If I have two FW's than seperate ip counting happens on both systems.....this is a normal behavior.


    They shouldn't be counted because the local ASG system is not protecting them. That is like counting web servers of websites visited every day.
  • 0 in reply to ReD-MaN
    Gert,
    I take it that the ASG NTP function is really a proxy, not a timeserver because all the devices on my LAN that used the ASG for time synch were counted, but none went out through the ASG.

    A couple of devices insist on broadcasting, but don't get past the firewall eg print servers and a wireless access point within built virus protection which is still disabled. None of these are allowed out of my LAN, but all were counted in the beta versions.

    I can't tell under my current licence what is being counted. I have changed the ASG PF rules so that I stop generic print server broadcasts rather than identifying specific devices.

    Ian M
  • 0 in reply to RFCat_vk_01
    If Astaro change it so that it only counts IP's that are part of a two-way conversation then I'd be very happy.

    At the moment it seems to be counting IPs that never traverse the firewall.

    Counting two IP's for each of our laptops is also, not very fair IMHO.
    (One for when it's wireless and one for wired).

    I guess solution would be to fix IP's for all these machines.  But, often a user will have BOTH interfaces active.
  • 0 in reply to Simon Shaw
    If Astaro change it so that it only counts IP's that are part of a two-way conversation then I'd be very happy.

    Me too!
    Counting two IP's for each of our laptops is also, not very fair IMHO.
    (One for when it's wireless and one for wired).

    I guess solution would be to fix IP's for all these machines.  But, often a user will have BOTH interfaces active.

    I've been trying to think of a way that Astaro could figure this out, but unfortunately, a machine which shows up with 2 different NICs will simply look like 2 different machines. Each NIC will normally have a completely different MAC address and as a result if using DHCP, also get assigned a different IP address.

    As you mention, fixing the IP address on both NICs would help, unless the user had both enabled.

    One fix might be to have Astaro only allow connections from the N most recent IPs which doesn't exceed your licensing. Think of the allowed device list as a FIFO. If you hit a point where the list started expiring IPs which have been in use fairly recently, you would stop rolling the list over for some period of time since this would indicate that you are currently exceeding your licensing terms.
  • 0 in reply to drees
    One fix might be to have Astaro only allow connections from the N most recent IPs which doesn't exceed your licensing. Think of the allowed device list as a FIFO. If you hit a point where the list started expiring IPs which have been in use fairly recently, you would stop rolling the list over for some period of time since this would indicate that you are currently exceeding your licensing terms.


    Agreed, or some way to force a manual recount.   I've got a bunch of devices {print servers, windows boxes acting as point of sale machines, temperature monitors, other misc things} that don't need to access the net but they're on DHCP and they do occasionally access the net.

    I have a 100 user license, and I'm either going to have to spend a LOT more money on licensing, or lock these devices down.  Astaro's supposed to get rid of headaches, not create them!

    My personal work machine has a few VM's running which takes more IP's too.  It would be wonderful if when you reach the limit:

    The ip which used the net last in the list would be erased (assuming time since that access was greater than X), and the machine attempting to access the net would take it's place.

    A reasonable value for X would be a day or two IMO.  When we shuffle around machines running DHCP we can easily get twenty 'new' machines on the network.

    7 days is making my admin life a pain at the moment.
  • 0 in reply to JamesD_01
    That's the other thing...

    Being a software development company we have MANY virtual machines setup for testing our software.
    (One for Win2K with SP1, one with SP4, XP without Service packs, XP w/ SP1, XP w/SP2 etc etc etc.)

    Most of these v.machines are running for very short periods of time, 1-2 hours for testing, then next one is started.  We also have VM's setup for testing clients setups, (one for each major client).

    These all get counted.

    Can we not license count by netbios name ?  That way you are only really counting individual computers rather than multitudes of different IPs.

    I know some devices have no name, but thats more the exception than the rule.
  • 0 in reply to Simon Shaw
    I like the idea of tracking by MAC address... that way, those users getting different IPs on DHCP would only get counted once.
  • 0 in reply to BrucekConvergent
    MAC address would be an improvement.
  • 0 in reply to Simon Shaw
    If the DHCP server is working right, and has a big enough block of IP addresses to hand out, then MAC addresses should normally get the same IP with each lease.

    Barry