Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 3 subscribers
  • Views 4665 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG Licensing Details

spammy
Hello All,

I'm looking for some detailed licensing info for one of my larger corp. customers.
I have searched thru the Forums, and contacted 2-3 Resellers for the info, but
can never get a straight non-conflicting answer..

Here what I'm looking for and a few examples. Any/all help would be much appreciated.

1. How exactly does ASG count a license #/use? Is it only looking for IPs on the Inside getting out?
2. If I setup an ASG with a hardware loadbalancer behind it with rout-able public IP space and say 10
    web servers. If those 10 servers are visited by 1000 internet users, will the ASG count that as 10
    or 1000, license connections?
3. Site-To-Site Traffic of a VPN, will ASG count licenses for each of the remote sides IPs?
4. Is there a built-in limit to the number of Site-to-Site Tunnels?

Thanks for your help, based on the responses, I may have more ?'s later [:D]

Spammy


This thread was automatically locked due to age.
  • 0
    Hi Spammy and welcome to the forums.

    I can try and answer based on my experiences selling to my customers.

    1 - It is licensed by IP addresses behind it traversing the firewall, i.e. any device reaching the internet via it. Printers with NTP going to the internet, etc, all count. If the device does not pass the firewall, technically it won't be counted by the license system.

    2 - I am not sure on this one, I would assume it would just count the 10 IP of the web servers.

    3 - I do not believe so, but someone else may know otherwise.

    4 - There is not that I am aware of. I have gone over 100 on my installations.

    I will dig around for more info in case I am wrong, but wanted to at least get a start for your answers.
  • 0
    3. Site-To-Site Traffic of a VPN, will ASG count licenses for each of the remote sides IPs?

    If your remote site only accesses resources at the local site, then No. We use this setup at work and I've confirmed my remote branches IP's aren't counted.

    If however your remote sites uses the local Astaro as it's internet gateway, then my understanding is yes it will.
  • 0
    I agree with both of the above.  Like Andrew, this is as a result of my testing.  In my experience, most folks don't understand what you're asking unless you say explicitly say that the "remote site only accesses resources at the local site" and does not use the ASG for DHCP, NTP, DNS, proxies, internet gateway or anything.

    Cheers - Bob
  • 0
    1. if you have a DMZ or multiple LANs (or VLANs) configured on the firewall, then traffic between internal networks is counted as well.

    Officially, Astaro and resellers expect that all internal IPs be covered by the license count, even if they don't traverse the firewall.

    2. only the IPs of the web servers and load balancers would be counted.
    There is a separate Concurrent Connection Limit, but it is quite high in most of the licenses and you shouldn't need to worry about it unless you have _extremely_ busy web servers.

    Barry
  • 0
    Thanks for the info.. Here's some more info. and question if you don't mind..

    1. The Site-To-Site links will only be accessing resources in each sides network. 
        Not the internet. (Each site has its own internet conx for that). So I take it
        No license count here.

    2. BarryG, you mention a concurrent connection limit that would only affect
       Extremely busy web servers. Any Idea what that limit is as these are ecom
       websites for large customers.

    3. You also mention that Internal traffic which is routed by the ASG and stays internal,
        Just changing to a different VLAN is also counted. Are you sure about this? (What about Unofficially?) [:D]
        As most of the traffic is internal and will never touch the internet. In this case
        the ASG will only act as a router between VLANs, and I will have many VLANS
        but only around 200 IPs which will be internet accessible.

        This is the difference between the 250 User license, the unlimited license or just
        going with a 2nd hand Juniper/Cisco for a fraction of the ASG costs, I really don't need many
        of the fancy email/web features.. Just routing,VPN and Firewall.

    4. If I decide to get a 250 User ASG license and find out that I need say 500
        will Astaro/Sophos allow me the pay the difference between the 250 and 500
        and get a 500? Or will they force me to buy another 250 at full cost? In which
        case can license counts be stacked?

    Spammy
  • 0
    Hi,

    The Site-To-Site links will only be accessing resources in each sides network. Not the internet. (Each site has its own internet conx for that). So I take it
    No license count here.


    Sound right to me.


    BarryG, you mention a concurrent connection limit that would only affect
    Extremely busy web servers. Any Idea what that limit is as these are ecom
    websites for large customers.


    I believe the limit depends on how many IPs you license.
    My 50-IP licenses have a 128000 _concurrent_ connection limit. 

    I manage several web sites, with 6-15 Million pageviews per month behind one of the Astaro's.
    My connection graph in Astaro peaks at around 6000 concurrent connections in the past year.

    You also mention that Internal traffic which is routed by the ASG and stays internal,
    Just changing to a different VLAN is also counted. Are you sure about this? (What about Unofficially?)
    As most of the traffic is internal and will never touch the internet. In this case
    the ASG will only act as a router between VLANs, and I will have many VLANS
    but only around 200 IPs which will be internet accessible.


    IF the VLANs are managed by Astaro (including "the ASG will only act as a router between VLANs"), they will be counted. 
    (In other words, if you configure a bunch of virtual interfaces for all the VLANs on Astaro. That is how I run my VLANs at home.)
    If your VLANs are configured with core switches and/or routers, and the traffic never touches the firewall (and you're not running their DHCP on the firewall), then they wouldn't be seen or counted by the firewall.


    This is the difference between the 250 User license, the unlimited license or just going with a 2nd had Cisco for a fraction of the ASG costs, I reall don't need many of the fancy email/web features.. Just routing,VPN and Firewall.


    Then you should be able to get just the Network Security license.
    Note that most of the Astaro appliances come with an unlimited IP license.

    If I decide to get a 250 User ASG license and find out that I need say 500 will Astaro/Sophos allow me the pay the difference between the 250 and 500 and get a 500? Or will they force me to buy another 250 at full cost? In which case can license counts be stacked?


    Ask your reseller, they normally can sell an upgrade to the higher license count.

    Barry
  • 0
    Actually, Barry, it's really simple now.  If you use a one-year 250-IP license for two months, you can change it to a 500-user license yourself - you just have five months left on the subscription though.

    Cheers - Bob
  • 0 in reply to spammy
    2. BarryG, you mention a concurrent connection limit that would only affect
       Extremely busy web servers. Any Idea what that limit is as these are ecom
       websites for large customers.

    Our 25IP license allows 64000 concurrent connections. Our ASG120's are unlimited (limited only by the hardware itself).
  • 0
    Anybody know what the concurrent connection limit is for the 250 and 500 users Network Security licenses? 
    With just 1 of my web farms I can easily hit the 64k connection limit during peak holiday times.  

    Since my plan is to install the ASG's as default Internet gateways/firewalls, they 
    will need to have very high concurrent connection limits or none at all (If possible without having to buy an 
    unlimited license). Ill be using my own hardware for upgrade flexibility so buying appliances for this part of
    the network is not possible.
  • 0
    hey spammy i'm researching the connection limits on those subs for you..[[:)]]  if somebody knows it though please post..[[:)]]