Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 4 subscribers
  • Views 4706 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

License limit hit again...

HobyBrenner
It seems like I was banging up against the 10 IP limit only a few years back with all the various IP enabled devices on my network, and Astaro graciously upped the home user limit to 50 devices and I was back using it again moving back from PFsense...
Here we are again, and with all the tablets, phones, ip enabled tv devices, game consoles, thermostats, smoke detectors, cameras... I have once again hit my 50 device limit now!
It would be nice if there was some way to move the ip limit up for a nominal fee as a home user, and I am sure I will get all sorts of suggestions to NAT behind this or that, and tips and tricks to avoid the limit, but that just doesn't work for me.  Anyhow, off to figure this out again, and hopefully remain behind the Astaro/Sophos UTM for the near future.


This thread was automatically locked due to age.
  • 0
    Hi,

    1. are you using ipv6?
    (results in double-counting)

    2. do you have devices that use both WiFi & ethernet?
    (you can use DHCP reservations so that both connections share 1 IP)

    3. lowering the DHCP lease time and shrinking the DHCP pool might help if you have a lot of transient / guest devices

    Barry
  • 0 in reply to BarryG
    Hi,

    1. are you using ipv6?
    (results in double-counting)

    2. do you have devices that use both WiFi & ethernet?
    (you can use DHCP reservations so that both connections share 1 IP)

    3. lowering the DHCP lease time and shrinking the DHCP pool might help if you have a lot of transient / guest devices

    Barry


    I think you might be on to something with ipv6.  I didn't even think of that until now.  Now that I think about it, the router is currently only seeing about 28 or so devices, so that would make sense...

    More playing later today!

    Thanks!

    HB
  • 0
    BTW, I completely agree with you as far as the 50-ip limit needing to be raised.

    I've got 3 people in my house, and we have over 30 physical devices (and growing) plus some VMs, and if I were to start using IPv6, I'd soon be over 50 IPs.

    Barry
  • 0 in reply to BarryG
    Well no luck... I dropped the DHCP timeout, and made sure no IPV6, but I still managed to make it up to the limit a week after a clean install.  With christmas coming up, and the anticipated ip enabled "gifts" it seems I am out of luck with the UTM now that I will be over the limit.

    Thanks again for your hints and help!

    Hoby
  • 0
    So long as you don't need to have more than 50 (50 >= static and dynamic) addresses on simultaneously:

    Reduce your DHCP scope and lease time so that after the 51st+ different MAC address gets a recycled IP from an expired lease from the smaller pool.

    The web interface (9.107) doesn't appear to support multiple pools for a single DHCP subnet - certainly ISC dhcpd has more configurable features than are exposed in the Astaro UTM interface.  I created a feature request Enable additional functionality in the WebAdmin interface for the integrated ISC DHCP server.
  • 0 in reply to teched_01
    The web interface (9.107) doesn't appear to support multiple pools for a single DHCP subnet


    Hi,

    Can you explain how that would work and what it would help?

    I looked around online and found some mentions of it, including mentions of having 2 dhcp servers with separate pools (which makes sense if one goes down), but I couldn't find an example or explanation of what a single dhcp server would acheive with multiple pools.
    Or are you talking about a UTM cluster?

    Barry
  • 0
    Multiple pools in one subnet would allow for different DHCP options per pool.  Each pool, in addition to different IPs, could differ in lease length, DNS servers, autoproxy, clients/types allowed, etc.

    The simplest is probably via known hosts and unknown hosts (deny unknown-hosts vs allow unknown-hosts).  Combined with slightly different UTM Host definitions (such that a host definition does not require static IP address assignment) one could configure a pool for known-hosts (MAC addresses defined in the dhcpd.conf) and a separate pool for unknown hosts (MAC addresses not defined in dhcpd.conf).  The pool for known hosts could be larger and have longer lease times than the pool for unknown hosts.

    Classes could be further used to group hosts into different pools with different options. Matching against the OUI one could include/exclude VMWare VMs for particular pools to limit their usage/exhaustion of limited IP/license space in a test range/pool/network.  Another potential usage of an OUI matched class is to set aside a small pool/range exclusively for Polycom OUIs (and/or Vendor Identification Strings) so when those devices appear on the network they can find themselves in an IP space with the appropriate firewall/IPS configuration.  

    Support and implementation of vendor identification strings could be better from the client side with some vendors: many versions of Windows by default identify themselves as "MSFT 5.0".
  • 0
    Hi, thanks for explaining; it makes sense now.

    Barry
  • 0
    Combined with slightly different UTM Host definitions (such that a host definition does not require static IP address assignment) one could configure a pool for known-hosts (MAC addresses defined in the dhcpd.conf) and a separate pool for unknown hosts (MAC addresses not defined in dhcpd.conf).
     In fact, you can do this with two different DHCP servers defined on the same interface and Hosts with Static Mappings. 

    Cheers - Bob  

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob, how would you set the static pool up to prevent it from assigning dynamic addresses to unknown clients?

    Barry
Unfiltered HTML