This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM reporting Exceeding licensing usage, but I don't have more than 50 IPs!

Hello,

This past days I've received numerous emails telling me that I'm exceeding the allowed number of IPs in my installation.

My network is using addresses from 192.168.0.1 to 192.168.7.255, but that's just to have the servers, clients and other equipment segmented. My DHCP server only assigns addresses from 192.168.2.0 to 192.168.6.255. I have checked the server and it has maybe 20 IPs assigned. All of them on the 192.168.2.x range (which is what is expected).

But checking the list of assigned IPs on Sophos, it shows a lot of, for instance, 192.168.1.x addresses. I don't have *any* machine using that range in my network. It also shows some addresses in the 192.168.7.x range that doesn't exist (I can't do ping to any of those addresses).

I have already cleaned the list of active IPs, first thing I did on the morning, andjust 5 minutes ago I received another email, and the list shows again what, as far as I can see, are non-existent IPs on my installation.

What can be happening? I'm sure there are no users accessing, for instance, my WiFi, but just to be sure, I have already changed the password. Today it's been actually very few users connected, counting VMs and so on, maybe 10 different IPs.

Thanks for your help


This thread was automatically locked due to age.
  • Hello,

    I just saw it, thanks for the link, but I don't see anything that could apply to my case. I don't have any router after the firewall (except for an Apple Airport, for the WiFi, but it is on bridge mode, so AFAIK there is no uPNP). I have most machines running Windows 8, and the servers are running Windows 2012. The IPv6 protocol is enabled by default, but the Sophos firewall AFAIK doesn't have any IPv6 setting.

    My switch is a Dell PowerConnect 2824, and it did had the Spanning Tree enabled (that's the default, I presume) even if it's the only switch I have (which, for what I understand, only makes sense when you have more than one switch). I have disabled it.

    Now, this problems started just recently, this last week. But there have be no changes on the network configuration of any of the devices that I can think of. Nor there are have been any new devices connecting this past week(s). If anything, there are less, as we have been on vacations and so on.
  • I should have been more clear about referencing only the post and not the entire thread: have you seen commands, run them and reviewed the output?  (there are also other threads about exceeding the count)

    You will need to review the list of counted IP addresses and review why they are being counted which may include querying the database.   The IP addresses will age out of the count after ~7 days if there is no more countable traffic for them.
  • Hello teched,

    Thanks for the heads up. I've run the commands and the last one shows 69 ips IPv4, 0 IPv6. The problem is: there are a lot of ips that I don't recognize and I don't see how they end up there. It's the same I mentioned on the first post: there are a lot of 192.168.1.x ips that as far as I know, don't exist on my network.

    If it was one or two I could think that maybe some device has a fixed IP with those values... but being so many (probably 30 or more) doesn't make any sense. And they would have to be "properly" configured to locate the firewall: as I said, my network goes from 192.168.0.0 to 192.168.7.255, the firewall being 192.168.7.254.

    I can't ping to any one of the ips there that are "out of range" from the normal ones. My DHCP server does not assign IPs in the 192.167.1.x range.

    Is there a way, for instance, to trace the MAC address of those addresses? It won't probably be of much help, but I could at least see if the MAC addresses are similar between them, or something like that.
  • Is there a way, for instance, to trace the MAC address of those addresses
    MAC_Find: Vendor/Ethernet/Bluetooth MAC Address Lookup and Search

    Possibly one or more of your users have brought unauthorized devices in.  I've run into that before.  Easiest to catch via a managed switch.

    A couple of years ago there was a bug in UTM wifi where devices that tried to connect against the wifi were counted against the IP count, even if the connection failed.  Perhaps this has come back with all of the wifi code changes of late.

    You may want to run some packet captures.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Hello Scott,

    I don't have anything WiFi-related enabled in UTM, as far as I can see. The Airport Extreme acts as a bridge, and it's connected to one of the ports on the Switch, where the UTM is also connected. The validation of the WiFi password all happens on the Airport Extreme, as far as I understand, so even if there were cases where users tried to connect but failed, it shouldn't have reached the UTM at all? The DHCP is another machine, a Windows 2012 R2 server. The AirPort doesn't assign addresses nor has DHCP enabled. I don't have the "guest network" enabled, and there are any other access point connected in the network.

    I have UTM version 9.310-11.

    The IPs that are "extra", they don't show in any of the reports of usage. There I can only see the real/valid IPs, as expected.

    I would understand if maybe some users got creative and changed manually the IPs to some of the "invalid" ones, but that would explain maybe 1 or 2... not the 30 or so that are shown in the active ips list.

    About the MAC_Find: my question was more how to see the MAC address of those IPs (that I can't ping nor see anywhere in my network), and afterwards then I could try looking up some info on the MAC address themselves. The problem is that I don't know how to see those address in the UTM logs/info (I can't find the IP addresses on the logs, either).

    Thanks for your help.
  • my question was more how to see the MAC address of those IPs
    Ah ok.  have you tried arp from the shell?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Hi, the DHCP logs should have the MAC addresses, if they were assigned via DHCP.

    'arp -a' will show them until they expire from the ARP cache.

    Barry
  • Just did, and it shows only 21 adresses, none of them on the 192.168.1.x range. They are only on the .0 and .2 range (as expected).
  • Hello Barry,

    The UTM doesn't have DHCP enabled. The logs show nothing. My DHCP server doesn't show those addresses being assigned (they couldn't be assigned by DHCP, as it only assigns in the 192.168.2.x range)