This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM reporting Exceeding licensing usage, but I don't have more than 50 IPs!

Hello,

This past days I've received numerous emails telling me that I'm exceeding the allowed number of IPs in my installation.

My network is using addresses from 192.168.0.1 to 192.168.7.255, but that's just to have the servers, clients and other equipment segmented. My DHCP server only assigns addresses from 192.168.2.0 to 192.168.6.255. I have checked the server and it has maybe 20 IPs assigned. All of them on the 192.168.2.x range (which is what is expected).

But checking the list of assigned IPs on Sophos, it shows a lot of, for instance, 192.168.1.x addresses. I don't have *any* machine using that range in my network. It also shows some addresses in the 192.168.7.x range that doesn't exist (I can't do ping to any of those addresses).

I have already cleaned the list of active IPs, first thing I did on the morning, andjust 5 minutes ago I received another email, and the list shows again what, as far as I can see, are non-existent IPs on my installation.

What can be happening? I'm sure there are no users accessing, for instance, my WiFi, but just to be sure, I have already changed the password. Today it's been actually very few users connected, counting VMs and so on, maybe 10 different IPs.

Thanks for your help


This thread was automatically locked due to age.
Parents
  • So... and bear with my if this is stupid, could it be that some other customer which is inside the NAT of my provider, has this addresses (the 192.168.1.x) in their internal network and somehow the traffic is getting into my firewall, even if it's being dropped/discarded?
    This is possible, although the getting into the firewall would be due to a misconfiguration.  Some cable providers setup their networks this way, as a private LAN that multiple customers are on.  Go  to Definitions & Users > Network Definitions > Network Definitions and click on the blue circle with an "i" in it, to the right of the "Any" object.  This will show you where it is being used.  Go to those areas and see if you can replace Any with something more specific.  For example, when you want to allow something from or to the internet, use "Internet IPv4" and/or "Internet IPv6" instead of "Any".  I've seen people open up their proxies to the world via the use of "Any".
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Reply
  • So... and bear with my if this is stupid, could it be that some other customer which is inside the NAT of my provider, has this addresses (the 192.168.1.x) in their internal network and somehow the traffic is getting into my firewall, even if it's being dropped/discarded?
    This is possible, although the getting into the firewall would be due to a misconfiguration.  Some cable providers setup their networks this way, as a private LAN that multiple customers are on.  Go  to Definitions & Users > Network Definitions > Network Definitions and click on the blue circle with an "i" in it, to the right of the "Any" object.  This will show you where it is being used.  Go to those areas and see if you can replace Any with something more specific.  For example, when you want to allow something from or to the internet, use "Internet IPv4" and/or "Internet IPv6" instead of "Any".  I've seen people open up their proxies to the world via the use of "Any".
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Children
  • This is possible, although the getting into the firewall would be due to a misconfiguration. 


    Yes, I had the feeling that if this is happening it would be an error, not the way it should work. (But an error on my provider's config, or in my configuration?)

     Go  to Definitions & Users > Network Definitions > Network Definitions and click on the blue circle with an "i" in it, to the right of the "Any" object.  This will show you where it is being used.  Go to those areas and see if you can replace Any with something more specific.  For example, when you want to allow something from or to the internet, use "Internet IPv4" and/or "Internet IPv6" instead of "Any".  I've seen people open up their proxies to the world via the use of "Any".


    Ok, I do have some rules using Any. I didn't know about the "Internet IPv4" (which is what I'm using, my provider doesn't deploy IPv6 yet, as far as I know). In general I could/should substitute the Anys for Internet IPv6? For instance, if I have: "Network Protection → Firewall → Rules → DNS from Internal (Network) to Any" I could change that to Internet IPv4 without problems? Or in the NAT rules, to publish some services (for instance, BitTorrent)?

    Thanks a lot!