This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM reporting Exceeding licensing usage, but I don't have more than 50 IPs!

Hello,

This past days I've received numerous emails telling me that I'm exceeding the allowed number of IPs in my installation.

My network is using addresses from 192.168.0.1 to 192.168.7.255, but that's just to have the servers, clients and other equipment segmented. My DHCP server only assigns addresses from 192.168.2.0 to 192.168.6.255. I have checked the server and it has maybe 20 IPs assigned. All of them on the 192.168.2.x range (which is what is expected).

But checking the list of assigned IPs on Sophos, it shows a lot of, for instance, 192.168.1.x addresses. I don't have *any* machine using that range in my network. It also shows some addresses in the 192.168.7.x range that doesn't exist (I can't do ping to any of those addresses).

I have already cleaned the list of active IPs, first thing I did on the morning, andjust 5 minutes ago I received another email, and the list shows again what, as far as I can see, are non-existent IPs on my installation.

What can be happening? I'm sure there are no users accessing, for instance, my WiFi, but just to be sure, I have already changed the password. Today it's been actually very few users connected, counting VMs and so on, maybe 10 different IPs.

Thanks for your help


This thread was automatically locked due to age.
  • You may just need to wait the one week for those errant addresses to be auto removed from the list.

    As far as where they came from, it's pure guess work at this point, unless you can find them in logs on the UTM or managed switches in your environment.  Maybe somebody brought up a Hypervisor with multiple VMs temporarily, earlier in the week.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Yes... I guess I don't have any other option at this point. It's no big deal, at least not right now, but it certainly makes me wonder where all those IPs came from. As far as I know there haven't been any new devices, virtual or otherwise, being connected to the network on the past days.

    I can't find anything about those addresses on the only switch I have, but I'll keep looking.

    I'll have to endure the licensing emails until the ips are cleared [:)]

    Thanks!
  • At your own risk:

     $ psql reporting -U reporting -c "SELECT * FROM accounting WHERE (current_date - 7 


    You can also take a look at the SQL statement in the debug output of the showcount command.

    The packetfilter and ips logs (and log archives) may contain MAC the addresses.
  • Hello teched,

    I ran the command and can see on the resultset the "offending" IPs. They are all source ips, with the destination IP being my UTM address. They are all on ports 123 or 6881, most of them on the 123 port. I do have the NTP enabled on the UTM for my internal network. 6881 is the port I have configured on my NAS as the BitTorrent DHT port.

    I can't find any of those IPs, though, on the logfiles. I've downloaded the packetfilter, web filtering and ips for the days shown on the resultset and there are no traces of those IPs.

    Now... I might say something monumentally stupid next, but bear with me, I'm no expert nor anywhere near on network stuff (as it would probably show)...

    My Internet Provider appears to use some kind of NAT for the "last mile". I mean: when they installed the ONT (it's fiber optic) by default I got a private IP. I don't remember right now the exact IP/netmask, just remember it being private. It was probably on the 10.x range. I'm 99.9% sure it wasn't on the 192.168.x.x range. As I needed to be able to connect from the outside to my internal network I asked for a public IP, which they were happy to charge me for. I have been like that for a while (several months). There were no physical changes, as far as I know they just changed something on their configuration for my ONT and I got a public IP. The address they gave me, as shown on the UTM, is something like this: ***.yyy.zzz.www/24. There is a "default GW" in ***.yyy.zzz.1. I don't remember the public addresses given by, for instance, the ADSL modems having this netmasks or similar, but I don't have a real clue of how this things work.

    So... and bear with my if this is stupid, could it be that some other customer which is inside the NAT of my provider, has this addresses (the 192.168.1.x) in their internal network and somehow the traffic is getting into my firewall, even if it's being dropped/discarded?

    Thanks!
  • So... and bear with my if this is stupid, could it be that some other customer which is inside the NAT of my provider, has this addresses (the 192.168.1.x) in their internal network and somehow the traffic is getting into my firewall, even if it's being dropped/discarded?
    This is possible, although the getting into the firewall would be due to a misconfiguration.  Some cable providers setup their networks this way, as a private LAN that multiple customers are on.  Go  to Definitions & Users > Network Definitions > Network Definitions and click on the blue circle with an "i" in it, to the right of the "Any" object.  This will show you where it is being used.  Go to those areas and see if you can replace Any with something more specific.  For example, when you want to allow something from or to the internet, use "Internet IPv4" and/or "Internet IPv6" instead of "Any".  I've seen people open up their proxies to the world via the use of "Any".
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • This is possible, although the getting into the firewall would be due to a misconfiguration. 


    Yes, I had the feeling that if this is happening it would be an error, not the way it should work. (But an error on my provider's config, or in my configuration?)

     Go  to Definitions & Users > Network Definitions > Network Definitions and click on the blue circle with an "i" in it, to the right of the "Any" object.  This will show you where it is being used.  Go to those areas and see if you can replace Any with something more specific.  For example, when you want to allow something from or to the internet, use "Internet IPv4" and/or "Internet IPv6" instead of "Any".  I've seen people open up their proxies to the world via the use of "Any".


    Ok, I do have some rules using Any. I didn't know about the "Internet IPv4" (which is what I'm using, my provider doesn't deploy IPv6 yet, as far as I know). In general I could/should substitute the Anys for Internet IPv6? For instance, if I have: "Network Protection → Firewall → Rules → DNS from Internal (Network) to Any" I could change that to Internet IPv4 without problems? Or in the NAT rules, to publish some services (for instance, BitTorrent)?

    Thanks a lot!
  • Ok, I do have some rules using Any. I didn't know about the "Internet IPv4" (which is what I'm using, my provider doesn't deploy IPv6 yet, as far as I know). In general I could/should substitute the Anys for Internet IPv6? For instance, if I have: "Network Protection → Firewall → Rules → DNS from Internal (Network) to Any" I could change that to Internet IPv4 without problems? Or in the NAT rules, to publish some services (for instance, BitTorrent)?
    Correct.  If your ISP only uses IPv4, then use the Internet IPv4 object.  It's just a little extra security precaution.  You want to be as specific as possible with firewall rules and anywhere in the WebAdmin interface where there is an "Allowed Networks" box.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1