Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 4 subscribers
  • Views 2890 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Licensing question

mtz3000
I have been told by our local Sophos sales office that the licensing model for Astaro UTM is the number of IP addresses being protected, inclusive of IP's at the other end of any VPN tunnels

This doesn't quite makes sense to me. If you have two Astaro UTM's connected by IPSEC tunnel, this means you end up paying twice for the total IP count.

If you have lots of them connected in hub and spoke fashion, and every machine needs peer access to every other machine (perhaps unlikely but anyway...) then the whole thing starts to get a bit exponential?

Please clarify.

Thanks...
MT


This thread was automatically locked due to age.
Parents
  • 0
    I can confirm that the counter doesn't "see" remote IPs connected via site-to-site or Remote Access VPNs.  It does see IPs connected via RED tunnels.

    Like Bruce says, we're supposed to count remote users if they're separate (not twice for office access from home via SSL VPN), just like we count the number of mail users for a device that's protecting a mail server.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for all the replies. This should be much less ambiguous IMHO.

    Regardless of how the software counts the IP's, let's look at what the license agreement says.

    This seems to be the relevant bit:

    3.3.5 IN RELATION TO ANY LICENCE FOR SOPHOS UTM PRODUCTS, EXCEPT FOR SUITE LICENCES THAT COMBINE UTM AND OTHER SOPHOS PRODUCTS, THE RESTRICTION ON THE NUMBER OF USERS AND THE REQUIREMENT FOR SERVER LICENSES IN CLAUSE 3.3.1 DOES NOT APPLY TO LICENSEE. Instead, the following restriction shall apply: neither the total number of Users nor the total number of Computers (including without limitation workstations, clients, servers, and other devices) that are protected by or receive service from the Sophos UTM Product may exceed the total number of User Licenses;

    The critical question is whether a device on the the other end of a site-to-site tunnel is a computer that is "...protected by or receives service from the UTM".  What exactly constitutes 'receiving service'?  Sure - the remote vpn gw itself may be 'receiving service' in terms of running an encryption tunnel, but behind it, the computers are not 'serviced' by the Astaro UTM.

    I think we're entitled to assume - given this apparent ambiguity - that the UTM correctly enforces the intended licensing regime, and if it doesn't count it, then that is intentional.
Reply
  • 0 in reply to BAlfson
    Thanks for all the replies. This should be much less ambiguous IMHO.

    Regardless of how the software counts the IP's, let's look at what the license agreement says.

    This seems to be the relevant bit:

    3.3.5 IN RELATION TO ANY LICENCE FOR SOPHOS UTM PRODUCTS, EXCEPT FOR SUITE LICENCES THAT COMBINE UTM AND OTHER SOPHOS PRODUCTS, THE RESTRICTION ON THE NUMBER OF USERS AND THE REQUIREMENT FOR SERVER LICENSES IN CLAUSE 3.3.1 DOES NOT APPLY TO LICENSEE. Instead, the following restriction shall apply: neither the total number of Users nor the total number of Computers (including without limitation workstations, clients, servers, and other devices) that are protected by or receive service from the Sophos UTM Product may exceed the total number of User Licenses;

    The critical question is whether a device on the the other end of a site-to-site tunnel is a computer that is "...protected by or receives service from the UTM".  What exactly constitutes 'receiving service'?  Sure - the remote vpn gw itself may be 'receiving service' in terms of running an encryption tunnel, but behind it, the computers are not 'serviced' by the Astaro UTM.

    I think we're entitled to assume - given this apparent ambiguity - that the UTM correctly enforces the intended licensing regime, and if it doesn't count it, then that is intentional.
Children
  • 0 in reply to mtz3000

    The critical question is whether a device on the the other end of a site-to-site tunnel is a computer that is "...protected by or receives service from the UTM".  What exactly constitutes 'receiving service'?  Sure - the remote vpn gw itself may be 'receiving service' in terms of running an encryption tunnel, but behind it, the computers are not 'serviced' by the Astaro UTM.


    Oh, those editors of legal fine-print! As a matter of fact, one might even say that UTM can remove malware from *outgoing* traffic and thus billions of hosts are somewhat "protected by" the UTM!
  • 0 in reply to hagman_01
    Allow me to add that if you enable IPv6 on your network, then your dual-stack devices may count for two (or more) IP addresses each. The computer that I am using to type this message is counted twice - once for IPv4 and once for IPv6. Fortunately, I am well under the 50 address limit for a home user license, even with IPv6 enabled.