Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 9683 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

50 User Limit and ipv6 Privacy Addresses

fjmiller@gmail.com
I am running the free for home use 50 user version of the firewall and I have 12 devices on my network.  I am recieving emails that I have breached the 50 user limit.  The problem is that it appears to be counting based on IP address.  Each machine that supports ipv6 is dual stacked and using privacy addresses so they have many numbers of addresses.

Is there another way to accomplish this maybe MAC Address?

Thanks!


This thread was automatically locked due to age.
  • 0
    @Danyork:

    It seems like UTM's licensing logic is to note IP addresses and then keep track of them for some period of time. I don't know the expiration time
      7 days

    As a side note, if any Sophos developers need someone to test a fix for this licensing mechanism on an IPv6 network, I'd be glad to do so
      This is a user to user forum.  Outside of the betas, in a purpose created forum, developer viewing of posts isn't necessarily a common thing.  Not saying it never happens, but when it does, it is more on their own time and dime than official and then mostly to lend a little technical expertise for specific issues.  If a dev were to see your suggestion, it would need to go through several levels of approval and scheduled before it could be acted upon and any change wouldn't be able to be worked through with a single  user.  It would be rolled into the regular beta process for a future release.  I'm not trying to discourage you putting forth great suggestions, just managing expectations in the forums.

    You have a very well thought out suggestion here.  If you'd like Sophos to consider it, you'll need to create a feature request at UTM (Formerly ASG) Feature Requests: Hot (1798 ideas).  There the appropriate persons will see it for consideration.
  • 0 in reply to Scott_Klassen
    If you want to control user access you will need to change your IP addressing scheme or add an AD with with based policies which most home or small business will not do or understand.

    Ian
  • 0 in reply to BarryG
    Barry,

    Thanks for the suggestions. Comments inline:


    a. turn off this addressing mode in the clients, if practical


    Interesting idea. Unfortunately some of the operating systems make it challenging to *disable* the temporary addresses, often requiring an obscure command-line command to do so.  Sure, *I* could probably do it on my systems, but I don't see it being something that the average user would do.

    On a larger level, I actually want the temporary addresses because I don't like the way that a standard IPv6 address uses my device's MAC address.


    b. shrink the size of your internal subnet; 
    edit: I guess a subnet that small is probably abnormal with IPv6; I don't know if it's possible or not.


    I'd have to think about that a bit more and perhaps experiment - my gut reaction is that this would *not* work in IPv6.  Most IPv6 implementations are designed to work with the abundance of IPv6 addresses versus the scarcity of IPv4 addresses.  And as new temporary addresses are going to be generated each day, I'd really have to scope down the subnet to be something so small... and then I think there would start to be more collisions, etc.  (And separately... with IPv6 support so nascent in so many applications I'd wonder how they might all work with smaller subnets.)

    Thanks again for the suggestions.
  • 0 in reply to Scott_Klassen
    Scott, Thanks for confirming the 7-day time period for licensing and...

    I'm not trying to discourage you putting forth great suggestions, just managing expectations in the forums.

    You have a very well thought out suggestion here.  If you'd like Sophos to consider it, you'll need to create a feature request at UTM (Formerly ASG) Feature Requests: Hot (1798 ideas).  There the appropriate persons will see it for consideration.


    ... thanks for both setting expectations and providing a link to what to do next.
  • 0
    Per Scott's suggestion, I've added a feature request here:

    Fix UTM Licensing To Expire IPv6 Temporary Addresses Faster

    Anyone wishing to go over and vote on that feature request or add comments would obviously be greatly appreciated.
  • 0
    I have a temporary workaround that works pretty good for me and a colleague:

    Under IPv6 -> Prefix Advertisment set
    Valid Lifetime: 1 hour
    Preferred Lifetime: 15 min.

    That way the Sophos knows that IPv6 addresses expire quite fast and removes them after an hour from your list. With all clients using the IPv6 Privacy Extension most addresses are not used within 15 minutes anyway, and an hour should be enough for the clients to hold onto those addresses in case any connections are coming in.

    Any way: This workaround does not need any changes on clientside!

    Cheers,

    maybeageek