Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2208 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Usage - Reports Higher than Actual Usage

SauRoN
Good day fellow Astaros.

We've implemented an Astaro VM almost a year ago as a core router of sorts to make certain management tasks a little bit easier.

The basic configuration is that we've NATted a Private IP range behind a single WAN IP and have multiple remote sites connecting through those Private IP's.

The system works superbly well and makes our lives a hell of a lot simpler with multiple firewall and white/blacklist configurations and Proxies etc.

Now we've had some of our remote sites querying their usage and we've been working at publishing some easy to read reports, breaking down their usage into a simpler format.

However this is where it's all gone wrong.

Using the logs from "Network Usage" and comparing them to our IP Trace Logs from the core router behind the Astaro as well as CDR data from our network provider it would appear that the Astaro logs add up to just about double that of the actual data being used.

Could someone shed some light as to why this might be happening? Is it accounting for some "internal" traffic that we aren't aware of? Is there any quick fix solution to account for only the "WAN Traffic" that has been generated from each individual IP address?

Much appreciated.


This thread was automatically locked due to age.
  • 0
    Hi, 

    The only think I can think of is you might be double-counting if you're adding together the Internal + External interfaces' traffic.

    Which reports / graphs are you getting the data from?

    BTW, please state the UTM version # when posting questions.

    Barry
  • 0
    Hi Barry.

    Our DBA pulls it directly under out of the PostgreSQL database for the "Network Usage" stats logs and he has verified that the numbers match those to the GUI.

    UTM is on version 9.107-33.

    We pull the data per internal IP address which is representative of each remote site.

    Network Usage > Bandwidth Usage > Click Client IP > Select Previous Month is how we would match it using the GUI.
  • 0
    If it matches the numbers from the GUI, please show a picture of those numbers in the GUI.

    Cheers - Bob
  • 0 in reply to BAlfson
    If it matches the numbers from the GUI, please show a picture of those numbers in the GUI.

    Cheers - Bob


    Here you go.

    Not sure how that will help.
  • 0
    The basic configuration is that we've NATted a Private IP range behind a single WAN IP and have multiple remote sites connecting through those Private IP's.
    Can you expand a little on this?  How exactly are these remote sites connecting?  Is the private IP range a VPN pool, with the remote sites connecting to your UTM via VPN and then out to the internet via your WAN IP?  If so, does that VPN traffic come in via that same WAN IP, or do you have some other back-door connection for them?

    I think you can see where I'm going here: if their traffic comes in via VPN and then goes back out the same WAN port, that could account for the fact that you're almost exactly "seeing double."
  • 0 in reply to JonEtkins
    Can you expand a little on this?  How exactly are these remote sites connecting?  Is the private IP range a VPN pool, with the remote sites connecting to your UTM via VPN and then out to the internet via your WAN IP?  If so, does that VPN traffic come in via that same WAN IP, or do you have some other back-door connection for them?

    I think you can see where I'm going here: if their traffic comes in via VPN and then goes back out the same WAN port, that could account for the fact that you're almost exactly "seeing double."



    Traffic comes in through our upstream provider's APN where it gets assigned a private IP in the 10.*.*.* range and passed to the Astaro on Eth1.

    So the Astaro doesn't handle any of the IP addressing from the remote sites, they are statically pre-assigned and we simply add them under Network definitions to manage them appropriately before they break out onto the internet.

    No VPN that I am aware of and pure IP routing (I don't have 100% visibility of how it gets routed to the Astaro).

    From there the Astaro works it's magic and then everything is gatewayed back out through Eth0 on a completely different subnet.

    So in my mind your VPN logic makes perfect sense, but isn't quite applicable here.

    More bizarrely is that we've noticed recently that this seems to be quite specific to one particular IP address only and the other seems accurate within reason.
  • 0
    Please let us know what Sophos Support has to say about this.

    Cheers - Bob