License usage: EXCEEDING 90% OF USER COUNT on Sophos UTM

Ich glaube ich habe gefunden, warum die Meldung noch immer erscheint

https://community.sophos.com/kb/hu-hu/115453

very connection passing through a UTM internal interface that originates from a unique IP will be logged as an active IP.  An internal interface is defined as any UTM interface that does not have a default gateway assigned to it.  Once an IP address has been logged it will be counted for 7 days, any recurrence of traffic from this IP address will reset the 7 day counter assigned to the IP.  After 7 days, if no further traffic is seen from the IP address it will be removed from the license count.

Ein weiterer Fund im Netz:

-Resetting the IP count-
1) Login to unit via SSH (you must have the "loginuser" and "root" user passwords set via the web interface).
2) Type "cc" and hit enter
3) Type "licensing" and hit enter
4) Type "active_ips@" and hit enter
5) Type "=[]" and hit enter
6) Type ".." and hit enter
7) Type "user_limit_exceeded$" and hit enter
8) Type "=0" and hit enter
9) Tyipe "exit", to quit, and hit enter.

At this point the IP table should be flushed and the unit should no longer be in violation of the license.

Wir hatten das Phänomen -im Dezember glaub ich- bei einer UTM, wo Kunde einen neuen vDSL-Vertrag bei der Telekom abgeschlossen bzw. ADSL->vDSL geändert hat und dann die dr*cks Digitalisierungs-Box bekommen hat. Zuvor war eine Fritz 7170 dran ohne Probleme.
Nach ein paar Stunden nach der Einrichtung (da war auch schon beschlossen, dass die Box zurück zur Telekom geht und dafür eine Fritzbox 7490 bestellt war) fingen genau so Meldungen an. IPs gelöscht, wieder ein paar Stunden später das gleiche Spiel. Seitdem die Box weg und dafür die neue Fritzbox am Anschluss hängt, ist wieder absolute Ruhe.

Habt ihr vielleicht auch irgendwas in der Art am Netz geändert? Bei uns ist definitiv klar, dass es nicht an der UTM lag. Auch wenn wir nicht wissen, wie die Box es schaffen könnte, im internen Netz IPs zu generieren. Sie hing definitiv am WAN der UTM. Die UTM hatte auch keinerlei NAT-, WAF- oder sonstige Regeln drin. Internes Netz -> any -> WAN (Webfilter für AV aktiv), mehr macht die nicht.

Wir hatten nur einen neuen Hyper-V Server aufgesetzt und den Domain-Controller neu gemacht. Dabei wurde auch der DHCP-Server vom alten auf den neuen umgezogen.

Und einen IP-Scan, weil ich ein anderes Tool (Advanced IP Scan) mal testen wollte.

Heute morgen kam wieder die Meldung per Mail. Scheint also als müßten wir die 7 Tage warten.

Hallo,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

That workaround hasn't worked for several years, Akcent.  I believe that Sophos Support can help you.  Please confirm if they do.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Herry,

am IP-Scan kann es da nicht liegen. Dafür nutzt Du ja nicht das Gateway der UTM (da zählt sie die IPs). 

Kann es evtl. sein, dass einer der DHCP-Clients den neuen Server "nicht mag" und dieser im permanent neue IPs verpasst? Schau da mal ins Log des DHCP-Servers, ob da immer wieder eine MAC auftaucht, die immer wieder andere IPs bekommt.

Die benutzten IPs in der UTM kannst Du jederzeit unter Verwaltung -> Lizenzen -> Aktive IP-Adressen einsehen, wenn sich darauf Deine Aussage mit 7 Tagen warten bezog.

ne, im DHCP sieht alles sehr gut aus.

Was sagt denn die UTM zu den Lizenz-IPs? Steigen die Zahlen weiterhin ständig weiter?

nein, stehen auf 245 von 250

Hi Herry,

sorry für die späte Antwort.

Da stimmt doch definitiv irgendwas nicht. Hast Du die Möglichkeit den Wireshark mal mitlaufen zu lassen? Dann bitte mit Filter "bootp.option.type == 53".