Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 640 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Insanely High number of Active IPs

derrickoltmann
I realize this has been covered before, and I'm using the tips provided in those posts to attempt to reveal the problem, but I seem to be coming up short.

At any given time, I should have about 28 IPs active, (and is accurate per the DHCP leases) however the Active IPs tab is showing 250+! (It appears to list every address in the 192.168.2.0/24 range)

I've been disabling devices (turning off) and resetting the active_ips@ one by one in an effort to identify the culprit, but I'm coming up short. ATP/IPS does not show any problems.

The only thing I've changed before I noticed this was I started playing with VLANs (and left most everything on the default vlan, with exception of the devices I specifically hooked up to them), but I've gone back and completely undone all of this and I'm still encountering this issue.

There is a fairly descriptive post of how I set up the vlans here: (https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46405

Side note: I've also not been getting any notifications from the system stating that there is a problem (too many active ip's). This is only noticeable if I go into the active ips tab in licensing.

EDIT: I just realized this in in the wrong section >.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Derrick,

    IPv6 and IPv4 both get counted (leading to device double counting for active dual-stack devices) but even with that you should only be in the 50-60 IP range.

    During your playing around, did you by chance run any sort of scanners like ZenMap or SolarWind's IP tracker. For some reason some of the scans they run make the UTM see phantoms that aren't there.

    Also, counting is for 7 days so how many devices do you typically see in a week? Not concurrent devices but unique? If you run a hotspot in somewhere like a hotel or coffee shop, the 7 day retention can bite you if your DHCP pool is too large. My rule of thumb is to setup a DHCP pool the size of your concurrent high water mark, plus 10 or 20%, and preferably on it's own subnet that's around the size of the highwater mark plus buffer. So for example, 20-30 concurrent users plus 20% is around 35-40 so a 64IP subnet will keep things contained.
Reply
  • 0
    Hi Derrick,

    IPv6 and IPv4 both get counted (leading to device double counting for active dual-stack devices) but even with that you should only be in the 50-60 IP range.

    During your playing around, did you by chance run any sort of scanners like ZenMap or SolarWind's IP tracker. For some reason some of the scans they run make the UTM see phantoms that aren't there.

    Also, counting is for 7 days so how many devices do you typically see in a week? Not concurrent devices but unique? If you run a hotspot in somewhere like a hotel or coffee shop, the 7 day retention can bite you if your DHCP pool is too large. My rule of thumb is to setup a DHCP pool the size of your concurrent high water mark, plus 10 or 20%, and preferably on it's own subnet that's around the size of the highwater mark plus buffer. So for example, 20-30 concurrent users plus 20% is around 35-40 so a 64IP subnet will keep things contained.
Children
  • 0 in reply to TheDrew
    I did run a subnet scanner from my phone, and that was my initial thought as well. I reset the active_ips@ table yesterday before giving up (and going to sleep), it was very populous (200+ over) again this morning, but in my exhausted state, I may have run the subnet scanner after resetting it and don't remember.
    I reset it remotely from the office this morning, so I know I have not run anything on it since then, and last I checked it had yet to populate. (of course, now I'm having connectivity issues at the office, so I can't get on at the moment to check again.)
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?