Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Dhcp server giving out ip adresses to non existing devices

Roger
Esterday before the latest update I got an Alarm from my UTM Home Edition, that I exceeded the number of ip addresses in my license by about 500 addresses. This happens to my DMZ network and the guest WLAN. Looking at the reports there are no security breaches (as I can tell). Also there are no Mac addresses in the lists.
I then reduced the the DHCP ranges for both networks to a maximum of five addresses each. No luck. The list for the licensing ips still tells me all kinds of addresses outside the defined ranges.
Where do all the requests for IP addresses come from?

Any ideas?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for your answers. What is strange is that only addresses from the Guest wireless LAN and from the DMZ are given away. No internal addresses are effected. I keep getting the warnings abour exceeding IP's at 6:40pm an 6:40am. Have a look at the DHCP Logfile
    18:40 equals to 6:40pm 

    2014:02:18-18:39:49 myutm dhcpd: uid lease ***.***.***.100 for client 00:04:20:2b:1b:35 is duplicate on ***.***.***.0/24

    2014:02:18-18:39:49 myutm dhcpd: DHCPREQUEST for ***.***.***.61 from 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:39:49 myutm dhcpd: DHCPACK on ***.***.***.61 to 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:40:21 myutm dhcpd: DHCPREQUEST for ***.***.***.74 from f4:1b:a1:e7:10:72 via eth0

    2014:02:18-18:40:21 myutm dhcpd: DHCPACK on ***.***.***.74 to f4:1b:a1:e7:10:72 via eth0

    2014:02:18-18:41:14 myutm dhcpd: DHCPREQUEST for ***.***.***.52 from 00:0c:29:c0:0e:55 via eth0

    2014:02:18-18:41:14 myutm dhcpd: DHCPACK on ***.***.***.52 to 00:0c:29:c0:0e:55 via eth0

    2014:02:18-18:41:52 myutm dhcpd: DHCPREQUEST for ***.***.***.71 from dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:41:52 myutm dhcpd: DHCPACK on ***.***.***.71 to dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPDISCOVER from 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPOFFER on ***.***.***.40 to 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPREQUEST for ***.***.***.40 (***.***.***.1) from 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPACK on ***.***.***.40 to 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:43:17 myutm dhcpd: DHCPREQUEST for ***.***.***.5 from 00:1a:8c:2c:57:78 via eth0

    2014:02:18-18:43:17 myutm dhcpd: DHCPACK on ***.***.***.5 to 00:1a:8c:2c:57:78 via eth0

    2014:02:18-18:43:27 myutm dhcpd: DHCPREQUEST for ***.***.***.50 from 00:0c:29:17:ed:64 via eth0

    2014:02:18-18:43:27 myutm dhcpd: DHCPACK on ***.***.***.50 to 00:0c:29:17:ed:64 via eth0

    2014:02:18-18:43:56 myutm dhcpd: DHCPREQUEST for ***.***.***.71 from dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:43:56 myutm dhcpd: DHCPACK on ***.***.***.71 to dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:44:45 myutm dhcpd: DHCPREQUEST for ***.***.***.70 from 28:6a:ba:07:57:48 via eth0

    2014:02:18-18:44:45 myutm dhcpd: DHCPACK on ***.***.***.70 to 28:6a:ba:07:57:48 via eth0

    2014:02:18-18:44:50 myutm dhcpd: DHCPREQUEST for ***.***.***.73 from f4:1b:a1:22:91:ef via eth0

    2014:02:18-18:44:50 myutm dhcpd: DHCPACK on ***.***.***.73 to f4:1b:a1:22:91:ef via eth0

    2014:02:18-18:44:51 myutm dhcpd: uid lease ***.***.***.100 for client 00:04:20:2b:1b:35 is duplicate on ***.***.***.0/24

    2014:02:18-18:44:51 myutm dhcpd: DHCPREQUEST for ***.***.***.61 from 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:44:51 myutm dhcpd: DHCPACK on ***.***.***.61 to 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:45:25 myutm dhcpd: Internet Systems Consortium DHCP Server 4.1-ESV-R8

    2014:02:18-18:45:25 myutm dhcpd: Copyright 2004-2013 Internet Systems Consortium.

    2014:02:18-18:45:25 myutm dhcpd: All rights reserved.

    2014:02:18-18:45:25 myutm dhcpd: For info, please visit www.isc.org/.../

    2014:02:18-18:45:25 myutm dhcpd: WARNING: Host declarations are global.  They are not limited to the scope you declared them in.

    2014:02:18-18:45:25 myutm dhcpd: Internet Systems Consortium DHCP Server 4.1-ESV-R8

    2014:02:18-18:45:25 myutm dhcpd: Copyright 2004-2013 Internet Systems Consortium.

    2014:02:18-18:45:25 myutm dhcpd: All rights reserved.

    2014:02:18-18:45:25 myutm dhcpd: For info, please visit www.isc.org/.../

    2014:02:18-18:45:25 myutm dhcpd: Wrote 0 deleted host decls to leases file.

    2014:02:18-18:45:25 myutm dhcpd: Wrote 0 new dynamic host decls to leases file.

    2014:02:18-18:45:25 myutm dhcpd: Wrote 9 leases to leases file.

    2014:02:18-18:45:25 myutm dhcpd: Listening on LPF/eth0/00:0c:29:ba:f2:30/***.***.***.0/24

    2014:02:18-18:45:25 myutm dhcpd: Sending on   LPF/eth0/00:0c:29:ba:f2:30/***.***.***.0/24

    2014:02:18-18:45:25 myutm dhcpd: Sending on   Socket/fallback/fallback-net


    (I know that there is an error message about duplicate IP addresses. I just changed some devices around to be able to assign smaller ranges to DHCP to prevent the problem. In the IPv4 Lease table there are still a couple of leases present that seem to cause the duplicate error. But I couldn't find a way of getting rid of this.)

    There is nothing about these phantom leases. The DHCP Server of the DMZ was even switched off.

    Here is what I found in the system messages protocol 
    2014:02:18-18:40:09 myutm adbs-maintenance[6696]: running count_active_ip.plx

    2014:02:18-18:40:09 myutm count_active_ip[6744]: count_active_ip: checking active IP addresses

    2014:02:18-18:40:09 myutm count_active_ip[6744]: Home use or NTT OEM license detected

    2014:02:18-18:40:09 myutm count_active_ip[6744]: Counted IP Addresses: v4: 342 / v6: 0

    2014:02:18-18:40:09 myutm count_active_ip[6744]: license usage exceeds 110%: licensed: 50 counted v4: 342 counted v6: 0 enforcement: yes

    2014:02:18-18:40:09 myutm count_active_ip[6744]: License usage: EXCEEDING 110% OF USER COUNT on Sophos UTM

    2014:02:18-18:40:09 myutm adbs-maintenance[6696]: finished ADBS maintenance run


    The proxy is running on the system, except for the https.

    Cheers

    Roger
Reply
  • 0
    Thanks for your answers. What is strange is that only addresses from the Guest wireless LAN and from the DMZ are given away. No internal addresses are effected. I keep getting the warnings abour exceeding IP's at 6:40pm an 6:40am. Have a look at the DHCP Logfile
    18:40 equals to 6:40pm 

    2014:02:18-18:39:49 myutm dhcpd: uid lease ***.***.***.100 for client 00:04:20:2b:1b:35 is duplicate on ***.***.***.0/24

    2014:02:18-18:39:49 myutm dhcpd: DHCPREQUEST for ***.***.***.61 from 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:39:49 myutm dhcpd: DHCPACK on ***.***.***.61 to 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:40:21 myutm dhcpd: DHCPREQUEST for ***.***.***.74 from f4:1b:a1:e7:10:72 via eth0

    2014:02:18-18:40:21 myutm dhcpd: DHCPACK on ***.***.***.74 to f4:1b:a1:e7:10:72 via eth0

    2014:02:18-18:41:14 myutm dhcpd: DHCPREQUEST for ***.***.***.52 from 00:0c:29:c0:0e:55 via eth0

    2014:02:18-18:41:14 myutm dhcpd: DHCPACK on ***.***.***.52 to 00:0c:29:c0:0e:55 via eth0

    2014:02:18-18:41:52 myutm dhcpd: DHCPREQUEST for ***.***.***.71 from dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:41:52 myutm dhcpd: DHCPACK on ***.***.***.71 to dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPDISCOVER from 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPOFFER on ***.***.***.40 to 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPREQUEST for ***.***.***.40 (***.***.***.1) from 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:42:06 myutm dhcpd: DHCPACK on ***.***.***.40 to 08:60:6e:ec:e9:1d via eth0

    2014:02:18-18:43:17 myutm dhcpd: DHCPREQUEST for ***.***.***.5 from 00:1a:8c:2c:57:78 via eth0

    2014:02:18-18:43:17 myutm dhcpd: DHCPACK on ***.***.***.5 to 00:1a:8c:2c:57:78 via eth0

    2014:02:18-18:43:27 myutm dhcpd: DHCPREQUEST for ***.***.***.50 from 00:0c:29:17:ed:64 via eth0

    2014:02:18-18:43:27 myutm dhcpd: DHCPACK on ***.***.***.50 to 00:0c:29:17:ed:64 via eth0

    2014:02:18-18:43:56 myutm dhcpd: DHCPREQUEST for ***.***.***.71 from dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:43:56 myutm dhcpd: DHCPACK on ***.***.***.71 to dc:9b:9c:c8:01:9f via eth0

    2014:02:18-18:44:45 myutm dhcpd: DHCPREQUEST for ***.***.***.70 from 28:6a:ba:07:57:48 via eth0

    2014:02:18-18:44:45 myutm dhcpd: DHCPACK on ***.***.***.70 to 28:6a:ba:07:57:48 via eth0

    2014:02:18-18:44:50 myutm dhcpd: DHCPREQUEST for ***.***.***.73 from f4:1b:a1:22:91:ef via eth0

    2014:02:18-18:44:50 myutm dhcpd: DHCPACK on ***.***.***.73 to f4:1b:a1:22:91:ef via eth0

    2014:02:18-18:44:51 myutm dhcpd: uid lease ***.***.***.100 for client 00:04:20:2b:1b:35 is duplicate on ***.***.***.0/24

    2014:02:18-18:44:51 myutm dhcpd: DHCPREQUEST for ***.***.***.61 from 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:44:51 myutm dhcpd: DHCPACK on ***.***.***.61 to 00:04:20:2b:1b:35 via eth0

    2014:02:18-18:45:25 myutm dhcpd: Internet Systems Consortium DHCP Server 4.1-ESV-R8

    2014:02:18-18:45:25 myutm dhcpd: Copyright 2004-2013 Internet Systems Consortium.

    2014:02:18-18:45:25 myutm dhcpd: All rights reserved.

    2014:02:18-18:45:25 myutm dhcpd: For info, please visit www.isc.org/.../

    2014:02:18-18:45:25 myutm dhcpd: WARNING: Host declarations are global.  They are not limited to the scope you declared them in.

    2014:02:18-18:45:25 myutm dhcpd: Internet Systems Consortium DHCP Server 4.1-ESV-R8

    2014:02:18-18:45:25 myutm dhcpd: Copyright 2004-2013 Internet Systems Consortium.

    2014:02:18-18:45:25 myutm dhcpd: All rights reserved.

    2014:02:18-18:45:25 myutm dhcpd: For info, please visit www.isc.org/.../

    2014:02:18-18:45:25 myutm dhcpd: Wrote 0 deleted host decls to leases file.

    2014:02:18-18:45:25 myutm dhcpd: Wrote 0 new dynamic host decls to leases file.

    2014:02:18-18:45:25 myutm dhcpd: Wrote 9 leases to leases file.

    2014:02:18-18:45:25 myutm dhcpd: Listening on LPF/eth0/00:0c:29:ba:f2:30/***.***.***.0/24

    2014:02:18-18:45:25 myutm dhcpd: Sending on   LPF/eth0/00:0c:29:ba:f2:30/***.***.***.0/24

    2014:02:18-18:45:25 myutm dhcpd: Sending on   Socket/fallback/fallback-net


    (I know that there is an error message about duplicate IP addresses. I just changed some devices around to be able to assign smaller ranges to DHCP to prevent the problem. In the IPv4 Lease table there are still a couple of leases present that seem to cause the duplicate error. But I couldn't find a way of getting rid of this.)

    There is nothing about these phantom leases. The DHCP Server of the DMZ was even switched off.

    Here is what I found in the system messages protocol 
    2014:02:18-18:40:09 myutm adbs-maintenance[6696]: running count_active_ip.plx

    2014:02:18-18:40:09 myutm count_active_ip[6744]: count_active_ip: checking active IP addresses

    2014:02:18-18:40:09 myutm count_active_ip[6744]: Home use or NTT OEM license detected

    2014:02:18-18:40:09 myutm count_active_ip[6744]: Counted IP Addresses: v4: 342 / v6: 0

    2014:02:18-18:40:09 myutm count_active_ip[6744]: license usage exceeds 110%: licensed: 50 counted v4: 342 counted v6: 0 enforcement: yes

    2014:02:18-18:40:09 myutm count_active_ip[6744]: License usage: EXCEEDING 110% OF USER COUNT on Sophos UTM

    2014:02:18-18:40:09 myutm adbs-maintenance[6696]: finished ADBS maintenance run


    The proxy is running on the system, except for the https.

    Cheers

    Roger
Children
No Data