Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 2174 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.000] Bug license counting.

Simon Shaw
Upgraded to v8 and the IP license counter seems to have issues.

It is counting non existant IP's on my DMZ zone.
(I have a Class C on the DMZ)

I think portscans from outside to the whole range are triggering the addition of the non existant IP's to the license count.

I am now way over my license limit because of this.


This thread was automatically locked due to age.
  • 0
    [:$] I guess thats what happens when you beta test on astaro supplied unlimited license[;)] I was also wondering how the reverse proxy is going to handle the IP count. I am assuming it won't be counted at all but could be wrong.
  • 0
    Yes, we are running on a temporary 250IP license till Astaro fix our valid 250IP license key upgrade.

    It looks to me like every IP from our DMZ class C is being counted in licensing despite only about 25 actually being attached to something.
  • 0 in reply to Simon Shaw
    Hi guys,
    I tested it with a 50 user licence. Initially it wasn't counting licences correctly, totally missed the IPv6. When I looked this morning it was counting okay.
    I have two /64 IPv6 and 2 192.168.x.0/24 type address.

    But, I haven't done a full install only up2date releases.

    Next challenge is to bring the backup box to v8

    Ian M
  • 0
    Version 7.*** seemed to count correctly, we hit around 160 IPs.

    But now with v8 I'm around 450 or so!
  • 0
    Number of IP addresses currently licensed: 250
    Number of IP addresses currently in use: 428 (exceeds license by 153)

    Urk!
  • 0 in reply to Simon Shaw
    I take it you've started a support case with Astaro; if not, please do so so they will be aware of the issue so it can be patched in an up2date... that's definitely a significant issue.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Hi Simon,

    do you have a packetfilter rule allowing traffic for the whole DMZ subnet?
    If yes, creating a more specific packetfilter rule, e.g. only allow IP addresses in use
    or drop all inactive IP addresses, will probably help.

    Cheers
     Ulrich
  • 0
    I don't think I have rules into whole subnets.  Whole subnets may be able to get out.

    I can tighten up, but rules have not changed since v7 and it wasn't doing this.
    Will check Mon-Tues.
  • 0
    Hi Simon,

    you are right, in v8 port scans are accounted, in v7 they were not.
    This will be fixed in the next release, thanks for reporting!

    As workaround, please ensure there are now packet filter rules which allow traffic
    from the outside to nonexistent hosts, e.g. disable "Allow ICMP through firewall"

    Cheers
     Ulrich
  • 0
    This bug keeps coming back to haunt us.

    Barry
Cookie Information Banner