This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM reporting Exceeding licensing usage, but I don't have more than 50 IPs!

Hello,

This past days I've received numerous emails telling me that I'm exceeding the allowed number of IPs in my installation.

My network is using addresses from 192.168.0.1 to 192.168.7.255, but that's just to have the servers, clients and other equipment segmented. My DHCP server only assigns addresses from 192.168.2.0 to 192.168.6.255. I have checked the server and it has maybe 20 IPs assigned. All of them on the 192.168.2.x range (which is what is expected).

But checking the list of assigned IPs on Sophos, it shows a lot of, for instance, 192.168.1.x addresses. I don't have *any* machine using that range in my network. It also shows some addresses in the 192.168.7.x range that doesn't exist (I can't do ping to any of those addresses).

I have already cleaned the list of active IPs, first thing I did on the morning, andjust 5 minutes ago I received another email, and the list shows again what, as far as I can see, are non-existent IPs on my installation.

What can be happening? I'm sure there are no users accessing, for instance, my WiFi, but just to be sure, I have already changed the password. Today it's been actually very few users connected, counting VMs and so on, maybe 10 different IPs.

Thanks for your help


This thread was automatically locked due to age.
Parents
  • Hello teched,

    I ran the command and can see on the resultset the "offending" IPs. They are all source ips, with the destination IP being my UTM address. They are all on ports 123 or 6881, most of them on the 123 port. I do have the NTP enabled on the UTM for my internal network. 6881 is the port I have configured on my NAS as the BitTorrent DHT port.

    I can't find any of those IPs, though, on the logfiles. I've downloaded the packetfilter, web filtering and ips for the days shown on the resultset and there are no traces of those IPs.

    Now... I might say something monumentally stupid next, but bear with me, I'm no expert nor anywhere near on network stuff (as it would probably show)...

    My Internet Provider appears to use some kind of NAT for the "last mile". I mean: when they installed the ONT (it's fiber optic) by default I got a private IP. I don't remember right now the exact IP/netmask, just remember it being private. It was probably on the 10.x range. I'm 99.9% sure it wasn't on the 192.168.x.x range. As I needed to be able to connect from the outside to my internal network I asked for a public IP, which they were happy to charge me for. I have been like that for a while (several months). There were no physical changes, as far as I know they just changed something on their configuration for my ONT and I got a public IP. The address they gave me, as shown on the UTM, is something like this: ***.yyy.zzz.www/24. There is a "default GW" in ***.yyy.zzz.1. I don't remember the public addresses given by, for instance, the ADSL modems having this netmasks or similar, but I don't have a real clue of how this things work.

    So... and bear with my if this is stupid, could it be that some other customer which is inside the NAT of my provider, has this addresses (the 192.168.1.x) in their internal network and somehow the traffic is getting into my firewall, even if it's being dropped/discarded?

    Thanks!
Reply
  • Hello teched,

    I ran the command and can see on the resultset the "offending" IPs. They are all source ips, with the destination IP being my UTM address. They are all on ports 123 or 6881, most of them on the 123 port. I do have the NTP enabled on the UTM for my internal network. 6881 is the port I have configured on my NAS as the BitTorrent DHT port.

    I can't find any of those IPs, though, on the logfiles. I've downloaded the packetfilter, web filtering and ips for the days shown on the resultset and there are no traces of those IPs.

    Now... I might say something monumentally stupid next, but bear with me, I'm no expert nor anywhere near on network stuff (as it would probably show)...

    My Internet Provider appears to use some kind of NAT for the "last mile". I mean: when they installed the ONT (it's fiber optic) by default I got a private IP. I don't remember right now the exact IP/netmask, just remember it being private. It was probably on the 10.x range. I'm 99.9% sure it wasn't on the 192.168.x.x range. As I needed to be able to connect from the outside to my internal network I asked for a public IP, which they were happy to charge me for. I have been like that for a while (several months). There were no physical changes, as far as I know they just changed something on their configuration for my ONT and I got a public IP. The address they gave me, as shown on the UTM, is something like this: ***.yyy.zzz.www/24. There is a "default GW" in ***.yyy.zzz.1. I don't remember the public addresses given by, for instance, the ADSL modems having this netmasks or similar, but I don't have a real clue of how this things work.

    So... and bear with my if this is stupid, could it be that some other customer which is inside the NAT of my provider, has this addresses (the 192.168.1.x) in their internal network and somehow the traffic is getting into my firewall, even if it's being dropped/discarded?

    Thanks!
Children
No Data