Commenti a: ICMP Redirect Message: come convivono due router sulla stessa rete

Di: oscarivan

oscarivan — Mon, 21 Nov 2011 14:03:38 +0000

RISOLTO: sul MonoWall bisognava attivare questo flag:

Bypass firewall rules for traffic on the same interface

Grazie in ogni caso.
Ciao.

Di: oscarivan

oscarivan — Mon, 21 Nov 2011 13:12:54 +0000

Ciao Andrea,
ho un problema come quello da te segnalato sopra, ho una rete con due firewall per due connessioni internet diverse.
192.168.0.1 –> internet teleunit [ASA5505]
192.168.0.2 –> internet telecom [MonoWall]

Il mio problema è che il 192.168.0.1 è un asa5505 con una vpn attiva che va sul 192.172.0.0/16, i client che hanno come gateway quello, non hanno problemi ad andarci.
Il problema nasce quando i client hanno il gateway 192.168.0.2, ho impostato una rotta statica su questo, che manda tutte le richieste verso 192.172.0.0/16 verso il gw 192.168.0.1 ma ho il problema che facevi notare tu, quando faccio un ping verso il client vpn funziona, ma come cerco di fare una connessione ssh dopo la password rimango bloccato.
Quale sarebbe la entry che dovrei mettere sul ASA?

Impostando la rotta statica su un client con gw 192.168.0.2 funziona tutto, ma vorrei fare qualcosa di pulito senza dover toccare nessun client.[La rete non supera i 20 client]

Grazie, ciao.

Di: RedHansock

RedHansock — Tue, 17 Jun 2008 16:38:13 +0000

Ma perche litigate su sta cosa? Mettete giu un proxy ed avete risolto la questione.

E se non volete proprio toccare i client fate scaricare il file di config dal proxy quando uno si vuole connettere.

e cmq nessuno di voi ha risolto la questione dei dns uffa…

Di: Fabio

Fabio — Tue, 11 Dec 2007 22:18:12 +0000

Le ho usate in 4-5 situazioni e sono su (nella implementazione più datata) da circa due anni e non mi hanno mai dai dato noie. In effetti passando da dhcp sono comode e veloci da settare (e modificare) e come dicevo fino ad ora hanno funzionato egregiamente.

Di: Ricerche IT » Blog Archive » Distribuire route statiche con DHCP

Ricerche IT » Blog Archive » Distribuire route statiche con DHCP — Mon, 10 Dec 2007 20:36:52 +0000

[...] questo post di Andrea Beggi, e proseguendo la lettura dei relativi commenti, viene descritta una situazione in [...]

Di: Giuliano

Giuliano — Mon, 10 Dec 2007 08:52:31 +0000

Spider: secondo me i “profili di Active Directory” e “push delle rotte tramite DHCP” hanno molte meno probabilità di funzionare dell’ICMP redirect. E di certo non semplificano le cose! Oltretutto, sempre secondo me, la configurazione della rete deve stare, appunto, sugli apparati di rete. Quindi è bene che “quando entri in una rete del genere” tu non debba guardare A/D o cosa c’è sui client per capire come sono state concepite le cose…

–
Giuliano

Di: spider

spider — Thu, 06 Dec 2007 18:26:27 +0000

Daje. Te l’ho belle detto e altri suggerimenti sono arrivati.
Comunque: uso dei profili di Active Directory, push delle rotte tramite DHCP (come è stato suggerito da altri), utilizzo di un layer 3 su uno switch di core (se supportato), mettere il VPN concentrator su un’altra interfaccia del router internet, oppure se il VPN concentrator è anche firewall con più interfacce ethernet (tipo i SofaWare o i Netscreen) fare il contrario (il router internet su un segmento del VPN, che diventa quindi anche un firewall).
Non è questione di fare una guerra di religione contro gli ICMP Redirect perché mi stanno antipatici. E’ questione di tenere il tutto il più pulito e semplice possibile. Meno “eccezioni” ci sono, meno dovrai sbatterti in caso di problema.

Di: Andrea

Andrea — Thu, 06 Dec 2007 16:53:50 +0000

Ok, sono opinioni. Mi spieghi la tua soluzione al problema senza usare il RIP?.

Di: spider

spider — Thu, 06 Dec 2007 16:41:58 +0000

Andrea, se la rete è grande (>50 host), non ci sono scuse per usare quella configurazione.
Se la rete è piccola (molto piccola), amen.
E a proposito di single point of failure, che succede adesso se si rompe il default gateway? Succede che non vai più manco sulla VPN, che invece funzionerebbe.
Sono aggressivo? Bah, può darsi. Sono uno di quelli che quando entra in una rete del genere, magari per inserire un firewall, e si trova in quel casino (perché *è* un casino), le maledizioni a chi ha fatto quella configurazione le manda, e non manca di far presente al cliente, che di solito capisce, il motivo di cotanto imprecare.

Di: Andrea

Andrea — Thu, 06 Dec 2007 16:11:57 +0000

Spider, grazie per l’augurio. Per il resto mi sembra che tu abbia un atteggiamento inutilmente aggressivo in questioni tecniche che dovrebbero esulare dalle convinzioni “religiose”.
Delle reti più grandi esiste una documentazione, spesso corredata da schemi.
Non mi sento uno smanettone perché applico una RFC.
Non ho capito cosa vuol dire concretamente “configuro la mia rete per non doverne avere bisogno, e alla fine la tolgo.”, lasciando stare il RIP, che non è il caso. I router devono rimanere due, se ne aggiungo un’altro, le rotte statiche ce le devo comunque mettere, anche se mi risparmio l’ICMP. E si tratta comunque di una altro router da gestire, cioè un ulteriore point of failure.

Di: spider

spider — Thu, 06 Dec 2007 15:52:03 +0000

Sì certo, tutto funziona.
Solo che quando tu vincerai la lotteria e te ne andrai a goderti la vita alle Bahamas perché ti piace stare in un posto caldo, quello che prenderà il tuo posto impazzirà a capire come funziona quella rete. Non quando funziona, ma quando ci sarà un problema di routing.
Secondo me la differenza tra uno smanettone e un professionista è che il promo fa funzionare le cose, il secondo le fa bene. Con questo non ti sto dando dello smanettone, magari quella rete ha tre client e allora rompersi le balle con RIP o DHCP o Active Directory può non valere la pena. Ma il fatto è che lo proponi come “soluzione” una cosa che non lo è, al massimo è una toppa.
Lo schema che suggerisci va bene per utilizzi temporanei: sto migrando da un provider a un altro, con un periodo di convivenza. Sul vecchio metto una rotta statica in modo che tutto il traffico sia reindirizzato sul nuovo, e con calma cambio le configurazioni dei client. Oppure, seguendo il tuo caso specifico, installo la VPN, per farla funzionare metto quella rotta statica sul gateway, configuro la mia rete per non doverne avere bisogno, e alla fine la tolgo.
Poi, ovviamente, fai come ti pare. Mi dispiacerebbe però che mentre sei alle Bahamas ti arrivassero le maledizioni del tuo successore

Di: Giuliano

Giuliano — Wed, 05 Dec 2007 09:21:21 +0000

L’ICMP redirect è comodissimo, ha lo svantaggio di generare un po’ di traffico ICMP, appunto.
La via del routing dinamico non mi pare praticabile, certamente non sui client.
Secondo me la cosa più “sensata” (ma non a costo zero) sarebbe che almeno lo switch centro-stella avesse funzionalità “Layer 3″. Il default gateway verrebbe spostato dal firewall al centro-stella e solo su quest’ultimo si configurerebbero le route statiche…

–
Giuliano

Di: Fabio

Fabio — Tue, 04 Dec 2007 22:49:59 +0000

le route statiche sono passabili ai client anche come opzioni DHCP

Di: Andrea

Andrea — Tue, 04 Dec 2007 16:22:37 +0000

Mi sembra più semplice la mia soluzione: non tocchi i client. E comunque non hai la garanzia che robe come AS/400 funzionino.
Ma soprattutto, quello che propongo funziona bene, visto che ho parecchie installazioni che vanno avanti così da anni senza il minimo problema.
Le static route esistono apposta.

Di: spider

spider — Tue, 04 Dec 2007 15:45:08 +0000

Andrea, visto che escluderei anche le rotte statiche sui client (per lo stesso motivo di difficile gestione – a meno che non esista un’infrastruttura Active Directory nel qual caso puoi farlo tramite i profili) puoi usare un protocollo di routing dinamico; il più semplice da configurare e praticamente supportato da tutti è RIP (magari v2). Lo attivi sui due router e sui client, lo configuri una volta e non ci pensi più.

Di: Andrea

Andrea — Tue, 04 Dec 2007 10:46:24 +0000

Spider, cosa faresti tu nel caso in questione?

Di: spider

spider — Tue, 04 Dec 2007 10:37:55 +0000

Errata corrige: non lo sottolineavo nel post che linkavi, ma in quello sulla regola di loopback.

Di: spider

spider — Tue, 04 Dec 2007 10:34:46 +0000

Come ho avuto modo di sottolineare nel post che linki, affidarsi all’esistenza degli ICMP redirect è una sciocchezza. Può essere usato in casi particolari e solo temporaneamente. Perché se hai provato a sniffare il traffico che viene generato in una configurazione del genere, ti sarai accorto che col cavolo che la route cache viene creata: ogni pacchetto viene inviato al gateway giusto, questo invia l’icmp redirect, e l’host rispedisce il pacchetto al gateway modificato. Per ogni pacchetto.
Ma anche funzionasse quello che continuo a chiedermi è: perché uno dovrebbe volere una configurazione del genere, se non perché non è stato capace di crearne un’altra più pulita, gestibile, scalabile e soprattutto debuggabile?

Di: Cius

Cius — Tue, 04 Dec 2007 09:09:49 +0000

E ti pareva che gli AS non dovessero distinguersi. Interessante, grazie.

Di: Francesco

Francesco — Tue, 04 Dec 2007 08:56:15 +0000

Salve,
articolo interessantissimo, ma alla fine quello che mi ha colpito è stato l’uso di un termine desueto: “fottìo”. Mi riporta indietro nel tempo, mia madre, che comunque non è vecchissima, ha 60 anni, lo usa frequentemente, questa mattina, solo con una parola, mi hai restituito ad una dimensione … familiare.

Un saluto