Licence Usage Exceeding 110% of User Count

either assign a STATIC IP to each computer and Xbox 

OR:

set DHCP MAX Lease Time.... Then reboot your astaro box.

Do you know how to assign static ips?

Check IPs used. 

You don't have wireless do you on astaro? Then you have possible freeloaders next door.

Just check your logs IF a reboot wont fshould. It sshould.

Mike

either assign a STATIC IP to each computer and Xbox 

OR:

set DHCP MAX Lease Time.... Then reboot your astaro box.

Do you know how to assign static ips?

Check IPs used. 

You don't have wireless do you on astaro? Then you have possible freeloaders next door.

Just check your logs IF a reboot wont fshould. It sshould.

Mike

Thanks for replying to my thread.

I have setup a static mappings for some of the machines, torrentslave, printers and xbox.

I have wireless access, got 2 access points but they are standalone units, both have encryption enabled, even if some one has taken the time to break it I cannot see some one connection 200 pcs to it.

my dhcp server goes from 192.168.1.100-192.168.1.200 ,  many of the clients that I see listed are out of that range.


list of some of the internal IPs that might help.


192.168.1.1 Astaro box

##static ips set on the device it self. 
192.168.1.2 Wireless access point 1 
192.168.1.3 Wireless access point 2 
192.168.1.97 managed 24 port switch.

## these ones are set as static mappings in Astaros dhcp server. 
192.168.1.95 Black and white printer 
192.168.1.96 Dell Colour printer 
192.168.1.98 xbox 360 
192.168.1.99 torrentslave/file server 

everything else uses what ever the DHCP server gives it (between 192.168.1.100 and 192.168.1.200) 

I tried pinging some of the addresses listed before I left, but they fail. 


Im out right now, but I will try rebooting when I get home.

one or more of your machines may be compromised....

one or more of your machines may be compromised....

are there many viruses known for reporting multiple IP addresses to the gateway? 

the network is a mix of windows 7 (2 laptops) , Mac OS (1 desktop)  and Ubuntu (remaining desktops and laptop), 

soon as I get home I'll look at the win7 laptops and the imac, virus scan see if anything comes up. 

Thanks for replying. 

on my way home now so will just be over an hour before I can check and report back.

either a machine or more is compromised or somebody is on your network via wifi and simply using static ips on their boxes outside of your dhcp range...which i have done as a demonstration for a client.  Make sure you are using wpa2 AES with a passcode at least 12 characters in length,.  TKIP and shorter passwords are susceptible to various attacks that make wpa susceptible to compromise.  the wpa attacks require a bit of sophistication so that is an unlikely vector.   If you are using wep keep in mind it can be broken(no matter the configuration) with a 99% certainty in two minutes using an atom netbook.  Also if friends are being let onto the network they can set themselves statically and work outside of your dhcp leading to this issue as well.  There's several reasons including a misconfiguration of your interfaces and/or dhcp.  make sure dhcp is only running on the astaro..or you will hit this as well.  Also many wireless printers have ad-hoc abilities by default.  if that is stilll on there's another opening into your network for folks to come and play.

don't scan form inside the affected systems.  use the bootable microsoft security scanning tool:
http://connect.microsoft.com/systemsweeper

if you do it form a usb drive you can update the installed software instead of reburning every time..[:)]

also i posted the wrong link before.  So the gentleman gets the updated link i post it here again:
Microsoft Standalone System Sweeper Beta | Microsoft Connect

also i posted the wrong link before.  So the gentleman gets the updated link i post it here again:
Microsoft Standalone System Sweeper Beta | Microsoft Connect

thanks, I didnt know Microsoft released that. makes a lot of sense, I had to make a new windows install on my desktop to make a bootable usb key, so I was using a clean machine to make it. 

I tried rebooting the firewall last night and it happened again same 253 ips used up, so it looks like on or more of the pcs are infected. 

The windows laptops aren't mine, 1 belongs to each of my sister so I have to wait till they get home before I can scan them, as they (understandably) will get annoyed if i start using/working on their pcs when they are not in, so I will do the scan this evening. 

What about the iMac, should I bother checking that, or only do it as a last resort after checking the Windows machines?

when you ahve a network isue all machines are suspect until cleared.  Also check that you don't have more than one dhcp server running(check all routers..etc) also check that any other wireless devices are not providing a conduit for others to come and play.

when you ahve a network isue all machines are suspect until cleared.  Also check that you don't have more than one dhcp server running(check all routers..etc) also check that any other wireless devices are not providing a conduit for others to come and play.

yesterday I did a scan on both the windows laptops, there were 3 viruses on one of the laptops, the other one was clean, I ran a full scan on the  imac which was also reported clean. 

I received another email from Astaro this morning the same as the last one, very time I have got the email its been between 6 and 7am, the only machine on the house thats on during that time is my Ubuntu box running rtorrent and acting as a file server, could the torrent client cause these symptoms? 

Im about to change the password on both of my wireless access points to be sure that no one else has found away in.

edit: changed wireless password , was WPA2 AES 8 characters long, now its WPA2 AES 15 characters long, random numbers and letters (upper and lower case)

Just so you know, once you get the problem solved of having unwanted "guests" on your network, the list of IPs for license usage won't be cleared immediately.  IPs remain on that list for a week since last contact was made, so you'll continue to get warning emails for a short while after you're all fixed.

I would go through logs on the astaro to try and find what and where these erroneous IPs are attempting to contact.  If you can find that, it would give you a more real time measure of how successful you're being with remediation.

Once you can pinpoint the source to one internal machine or devices, you'll want to find the misconfiguration that led to this problem and correct it.  It may even be wise to wipe that device and reconfigure from scratch.

With the large number of IPs involved, I'd guess that you've been added to a botnet and at least on of your machines has been rooted.  Look for unknown accounts on your machines and change any administrative passwords/accounts on everything.  If you have any packet filter rules allowing Any Internal machine-->Any Service-->WAN, change them to be more granular, only allowing specific internal IPs-->specific needed services-->WAN (at least temporarily).  

Maybe I missed it, but with your linux box being a torrent focal point and a file server (internet accessible?), you'll want to get that one scanned as well.