Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2825 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Licenses exceeded -110%

cash082
I have been running SOPHOS home use for years, with no issues.
All of the sudden I'm getting warnings that it's exceeding the 50 user license limit...with 56052 IP's on my home network, and going up...
No, my home doesn't have that devices on it..
This just came out of left field.
It appears to be registering every IP in 10.89.0.0 - 10.90.0.0 or at least trying to.
Just looking for a quick solution for this. Not sure what happened.
Further, looking to remove those 10.89's/10.90's if there is something I can do to fix this. A reboot seems to be clearing the license table, cause the alarm doesn't trigger for hours as it seems to find these new IP's.. Is there any better way?


This thread was automatically locked due to age.
  • 0
    Hi,
    I would suggest you have a configuration issue.
    Check to make sure you don't have an any - any rule in firewall rules and check your DHCP servers to see what range you have.
    For a home user why do you have such a large IP address range?

    On the reports eg firewall and webproxy show these addresses as being used?

    Ian
  • 0 in reply to RFCat_vk_01
    I will look into the rules, but...
    No, nothing shows up with these IP's anywhere except the licensing list. I have no idea where it's coming from. I have nothing running with those IP's. They are out of my DHCP scope too. I've been wiresharking too, and nothing. The firewall is not showing any bogus IP's.
  • 0
    Just confirmed. There is no Any>Any rule in the firewall.
    The DHCP range is only 50 addresses. It's nowhere even the 10.89 and 10.90...It's 10.0.0.1/24 DHCP scope 10.0.0.200-250.
    I've never seen this until I woke up with e-mails flowing in being alerted to 110% of license count. No changes were made recently. 
    I am running Sophos UTM 9.201-23 code on the virtual edition of UTM running on VMWare ESXI.
    I was running Sophos UTM 9.111-7. I upgraded the code, just to see if cause 9.2 is such a major upgrade it may have fixed it. I've seen bugs before in SOPHOS, but the Up2Dates always get it.

    I've been running the same config since 2012 ish, and never have had a problem. 
    Can't really grasp what the heck is doing this, and how I could best figure this out.
    As mentioned above, I've been wiresharking and looking, and looking off the switch and nothing.
    The firewall in a search for any of these IP's appearing in licensing is coming up blank...
    It's almost like the mystery of MH370!
  • 0
    Further, I have checked the Firewall logs, IPS logs, and Application Control logs. 
    How often does the licensing "refresh" and how could I get it to? 
    Basically: How can I make sure I'm even troubleshooting something that was fixed days ago? Say it was a bad device that came in or something? 
    Would licensing section list be current?
  • 0
    Upon searching past 7 days in the firewall I see that my laptop was IP scanning that range on 4-23, probably cause I had SolarWinds looking. Packets were being accepted for some reason. It wasn't showing up in a network scan, however. 
    FW Log of an event:
    /var/log/packetfilter/2014/04/packetfilter-2014-04-23.log.gz:2014:04:23-11:46:40 omega ulogd[5122]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="2" initf="eth0" outitf="eth0" srcmac="84:3a:4b:a7:13:fc" dstmac="0:c:29[:D]:b:62" srcip="10.0.0.205" dstip="10.89.237.81" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="60084" dstport="445" tcpflags="SYN"

    This traffic stopped many days ago. 

    Is it possible I'm chasing around something that was fixed days ago? Nothing in the past 2 days has a 10.89.x.x or a 10.90.x.x

    Further, I made a new rule to deny that kind of stuff.

    Sorry, Just trying to go through every step of troubleshooting
  • 0
    From the command line: 

    # /usr/local/bin/count_active_ip.plx --debug --showcount



    What does the UTM think are the internal networks (and netmasks)?  (part of the above debugging output, but not part of the non-debugging output) 

    # cc get_internal_interface_networks


    Did your WAN ip change in the last 7-8 days?  Mine did and the SQL statement in the debugging output doesn't appear to take that into account but I've not given it a great deal of thought, yet.
  • 0 in reply to teched_01
    By simply running that command, it showed 34 active. Then, I noticed the web interface went back to normal (all IP's are under the license!)
    [:)][:D]
  • 0 in reply to cash082
    Hi,
    glad you found the cause.

    What size network mask are you using on your internal network?

    Ian
  • 0 in reply to RFCat_vk_01
    a 10.0.0.0 / 24  LAN
    Not really sure if we found the "cause" per say...rather just ran a command and it wound up being the solution.

    I need to get myself one of those new Sophos SG210's..they look awesome!
    The 9.2 code certainly is a big improvement.
  • 0
    Hi, IP scans have been known to affect the license count IF the http proxy is running, AND you have multiple LANs/DMZs.

    If that is not the case, then either there's a bug or you have an unusual configuration.

    Barry