SonicWall hardware failover e transparent mode
A T T E N Z I O N E !
Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.
Nell’eventualità, peraltro remota, che qualcuno si trovi a dover affrontare gli stessi problemi io che ho avuto oggi, annoto a futura memoria mia e di chi passa di qui:
- Sui firewall SonicWall della serie Pro, è possibile attivare l’hardware failover contemporaneamente al transparent mode, sebbene dal manuale di configurazione la cosa non sembri possibile.
- In questo caso gli indirizzi IP di management vanno specificati comunque e appartengono, come l’interfaccia LAN trasparente, alla zona WAN. (Sembra un controsenso ma è così). Prima di attivare il transparent mode, ricordarsi di abilitare il management (HTTP e/o HTTPS) anche sull’interfaccia WAN: non so se si riesce ad accedere all’interfaccia di configurazione quando il firewall è in transparent e questa opiione è disabilitata.
- Occorre fare molta attenzione alla definizione della rete dietro all’interfaccia trasparente. Spesso per installare queste configurazioni, si mettono i nuovi firewall temporaneamente in cascata con il vecchio che andranno a sostituire, per non fermare troppo il lavoro. Nel momento in cui la rete suddetta si trova “dal lato sbagliato” (cioè connessa fisicamente al lato WAN), si scatena una specie di tempesta (credo ARP, ma non ho avuto modo di capirlo) che interferisce pesantemente con tutto il network. E’ consigliabile creare un address object con un unico IP per fare le prove, e cambiare la rete subito prima della messa in produzione.
- Una cosa che non sembra funzionare nella configurazione HF + transparent, è il preemptive mode. Nel momento in cui il firewall primario cerca di riprendersi il ruolo attivo, il firewall backup in carica logga una serie di tentativi di spoofing provenienti dall’indirizzo dell’interfaccia di management del primario, e non gli permette di riprendersi il ruolo attivo. Il preemptive mode va disattivato; non è un problema se le due unità sono identiche, lo può essere se sono di serie diverse.
- Come ciliegina sulla torta, tra la rete locale ed i firewall ho installato un CSM 2100 CF, che dovrebbe fare content filtering (mah…). Anche questa unità è configurata in transparent mode, e tutta la catena sembra funzionare senza grossi problemi (per ora).
Related posts
Di: Andrea - 09/01/2007
Print This Post
12 Commenti
Scrivi un commento
Additional comments powered by BackType
whitecoma — Il 09/01/2007 alle 23:22
Ma il watchguard?? E’ il sostituito o abbondare è meglio che deficere?
Tanto come abiliti il filtro sui contenuti tempo 10 secondi che dall’alto, molto in alto, ti chiamano che “non va internet!!!” e poi erano su tettonebarone.org o simili…
Davide Salerno — Il 09/01/2007 alle 23:43
Off Topic
Mi è arrivato il router della Fon…
Andrea — Il 10/01/2007 alle 00:53
Il Watchguard dovrebbe andare in pensione….
Gianla — Il 13/01/2007 alle 02:53
Ciao! Grazie a te ho scoperto dopo tre anni che il mio zywall2 si incantava con fastweb in fibra perchè supporta connessioni fino a 8 megabit. Chi mi può consigliare un firewall hardware per fastweb in fibra per uso domestico?
Grazie Saluti!
alberto — Il 16/01/2007 alle 17:37
perche’ il Watchguard va in pensione?
e’ gia’ superato?
Roberto — Il 06/03/2007 alle 19:23
stavo proprio cercando info sui SonicWALL PRO 2040 e 1260 dovendo collegare ad internet una lan client/server 20 client XP ed un server W2K3 e visto che li conosci mi potresti dare qualche consiglio ? Ad es. potrebbe bastare il 1260 ? Dove posso trovare info sui costi per gli aggiornamenti? grazie
Matteo — Il 09/08/2007 alle 15:26
Ciao, Netasq ha dei firewall bellini… non so se può interessare…
ci sono per tutte le esigenze e tutte le tasche.
Cafferata Cristiano — Il 14/10/2007 alle 20:40
bhé , ad oggi i sonicwall lavorano anche in layer 2 bridge ed HF simultaneamente …. non sono molti a farlo e farlo bene ! (di certo non il netasq di cui sopra !)
per 20 PC ad oggi basta un TZ180 o meglio un TZ190 che vanta connettività ANCHE su HSDPA/UMTS !
per info su costi e servizi e rinnovi italy@sonicwall.com !
ciao
Cristiano Cafferata
BDM & SE SonicWALL Italia
Andrea — Il 14/10/2007 alle 21:14
Ciao, Cristiano! Benvenuto….
GengisKhan — Il 16/02/2008 alle 03:10
Ciao, leggo spesso il tuo blog ed oggi mi sono imbattuto in questo post, da un paio di giorni sto vivendo una piccola avventura con un sonicwall TZ170 collegato ad un router A02-RA440 i primi problemi li ho riscontrati subito appena collegato in quanto non faceva il forward delle porte su specifci ip dietro il firewall ho aggiornato il firmware, ho nattato le porte intressate dal router verso la wan del firewall e dalla wan del sonicwall verso l’ip del client collegato allo stesso(ovviamente creando le oppurtune regole).Sembra tutto funzionare ma mi sorge un altro problema come faccio ad amministare il mio router da dietro il sonicwall? evitando ogni volta di spostare fisicamente il cavo di rete per collegarlo al router e cosi accedere?
e sottointeso che il sonicwall e connesso al router tramite la porta Wan con un cavo dritto.
In dettaglio il router ha ip 192.168.1.254 il Sonicwall wan ip 192.168.1.200 lan ip 192.168.1.200.
I client hanno ip 192.168.1.X e gateway 192.168.1.200 (Ip Sonicwall).
Ps: da dietro il sonicwall l’ip del router non riesco a pingarlo.
Saluti GK
GengisKhan — Il 16/02/2008 alle 03:12
Dimenticavo qualcuno mi saprebbe dire come funziona il trasparent mode? attualmente il mio sonicwall è impostato su NAT ENABLE.
Saluti GK
GengisKhan — Il 16/02/2008 alle 16:09
avevo scritto due post riguardanti un sonicwall ma sono spariti come mai?
Saluti GK