Scenario: un cliente cambia connettività, il nuovo contratto prevede un unico IP statico ed un router in comodato di cui viene fornita la password; ci sono un paio di servizi da pubblicare, senza DMZ.
In questa situazione, dato che non voglio toccare il firewall e men che meno subnettare, il doppio NAT è obbligatorio. Nulla di che, la solita configurazione: disattivo il firewall del router, imposto come default server l’IP WAN del firewall e metto un paio di regole di NAT per pubblicare i servizi (probabilmente quest’ultima mossa è inutile). Come ho già detto, non tocco il firewall; e infatti appena connesso funziona tutto a dovere.
Questo accade venerdì mattina. Istruisco il cliente e gli spiego quali cavi vanno sostituiti la sera, in modo da lasciare il tempo per la propagazione delle modifiche al DNS e non perdere mail durante l’orario di lavoro.
Tengo controllato il sabato e la domenica e mi pare tutto a posto: DNS propagati, il server risponde sulla 25/TCP.
Lunedì mattina mi chiamano: “L’ultimo messaggio è entrato domenica alle 18, poi più nulla”. In effetti, malgrado la porta 25/TCP risulti aperta, al telnet non risponde il banner del mail server, ma un laconico cursore lampeggiante. Allo stesso modo risultano inaccessibili gli altri servizi pubblicati, al punto da impedirmi l’accesso remoto.
Un simile comportamento è un segnale di problemi alle tabelle di NAT. Escludo il firewall, di cui mi fido, visti gli anni di onorato servizio. Una volta dal cliente ripristino la connettività entrante semplicemente riavviando il router.
Nella pagina di configurazione avanzata del NAT, ho trovato il valore massimo di connessioni per client, che defaultava a 512. Troppo poche, evidentemente, visto che l’unico host connesso al router è un dispositivo che fa NAT a sua volta, e lo fa per una piccola rete locale con un mail server molto attivo. Ho impostato il valore a 2048 e per adesso il problema non si è ancora ripresentato.
Per la cronaca il router è uno ZyXel P-2602R-D1A.
Tags: TCP/IP, TecnicaRelated posts
Problema simile capitato a me.
Dopo riavvio router, servizi funzionanti per circa 2minuti, dopo il buio.
Router della stessa famiglia, ma modello differente.
Avevo comprato il primo circa 3anni fa. Dopo 2anni e mezzo ha smesso di funzionare, dal niente. Compro lo stesso, considerando che mi ero trovato bene.
Noto le prime differenze nella configurazione, che mi lascia un pò perplesso.
Alcuni servizi non possono essere riavviati, si deve riavviar il router intero (se non sei disposto a staccar i cavi a mano).
Gestione NAT, come da te discritta. Sul deludente andate. Purtroppo non tutti i modelli accettano 2048. Io devo fermarmi a 1024. Per adesso mi basta.
Idem con patate, una volta è successa anche a me questo pasticcio ed anche io ho risolto alzando quella soglia da ta citata
dice il saggio: non si tocca mai un firewall di venerdì!
Per la cronaca: personalmente sto cominciando a stufarmi di zyxel. Passato glorioso, ma troppi buchi neri negli ultimi tempi, troppe cazzatine che saranno cazzatine ma risultano bloccanti. Questa è una, poi ci sono quelli con la sk wi-fi che funziona solo per l’autenticazione WAP e poi non gira più un pacchetto che uno …. 3com mi ha salvato la vita faccia un certo numero di volte negli ultimi tempi.
defaultava? =:|
Una domanda. mi capita spesso in queste situazioni di sentire di gente che con router con NAT e FW fa una rotta statica e rigira tutto il traffico sul FW. A me sembra una cosa inutile, visto che poi alla fine bisogna solo pubblicare un paio di porte. Tu cosa ne pensi?
Se posso darvi un consiglio anche io usavo zyxel fino a poco tempo fa
ed ho avuto diversi problemi, da quando sono passato a Linksys rimpiango di non averli presi prima ed i fattori topo sono:
1) Tecnologia Cisco
2) Prezzi Ottimi
3) Assistenza 24/24
Se il sistema del router/NAT è linux, di solito può essere utile abbassare anche il numero di socket TCP privi di processi aperti ( orphaned socket ).
Sul mio router (nessuno dei modelli citati) di solito la procedura è questa :
- login sul router mediante ssh
- avvio la shell
- “echo $val > /proc/sys/net/ipv4/tcp_max_orphans” ; nel mio caso il valore di default è 2048. Di solito lo abbasso a 1024 o 512 ($val).
Per aumentare il numero di connessioni di cui il kernel ( e quindi anche netfilter e NAT) tiene traccia , bisogna agire sul parametro contenuto in /proc/sys/net/ipv4/ip_conntrack_max
Per aumentare il numero di connessioni massime (cosa di cui personalmente non ho bisogno) accettabili in ingresso, si può modificare il parametro contenuto in /proc/net/core/somaxconn ma non credo abbia pertinenza con il “caso”
Circa 3 mesi di uptime massimo per un router/NAT domestico sono abbastanza , che dite ??