C’è sempre qualcosa che ci si dimentica di fare.
Scenario: un firewall con due interfacce WAN collegate a due router ADSL e configurate in failover. Cade la linea principale e la rete perde connettività: cosa è successo?
Ad una prima indagine mi accorgo che tutti gli host accedono regolarmente ad internet via linea di backup ma non funziona la risoluzione dei nomi, quindi è praticamente tutto fermo. La rete è servita da un Windows 2003 server che, tra gli altri, ha i ruoli di DNS server, mail server e webmail server.
La causa della risoluzione non funzionante è il server che, scopro, non ha connessione ad internet. Come è possibile che tutta la rete acceda ad internet tranne il server? Verificato che il firewall non abbia policy restrittive e spulciati i log relativi, mi concentro sulla sua tabella di NAT.
Dato che il server è pubblicato per i servizi SMPT e HTTP, esiste una regola esplicita che natta l’IP privato sull’IP pubblico della WAN primaria, e fin qui tutto bene. Dopo una telefonata chiarificatrice con un collega, mi rendo conto che manca completamente la regola che NATti il server anche sull IP pubblico della linea di backup. Modifico la regola principale esplicitando l’interfaccia di outbound, che prima era ANY, e creo un’altra regola per il NAT sull’IP di backup, sulla relativa interfaccia. Come per magilla, la connettività riappare e il server DNS ricomincia a fare il suo mestiere.
Le VPN verso le sedi remote vengono riattivate facendo modificare alle filiali l’IP del peer da cui la connessione viene accettata, e specificando nel “local ID peer” l’IP pubblico della connessione di backup perché il router relativo, in comodato d’uso, fa a sua volta un NAT. Al momento del ripristino della linea principale, si effettuerà un rollback delle modifiche.
Per scongiurare problemi in futuro, rimangono da fare i seguenti passi:
- configurare un record backup MX nel DNS del dominio di posta, in modo che i messaggi possano essere anche ricevuti, oltre che inviati, quando è attivo il failover;
- aggiungere una regola di NAT sulle interfacce opportune per pubblicare l’IP privato del server anche sull’indirizzo pubblico della linea di backup.
Perché tutto ciò non è stato testato prima della messa in produzione? Per i soliti motivi: uno dei due provider tardava a fornire la connettività di backup e l’altro ha sbagliato il contratto modificando in corso d’opera la classe degli IP pubblici assegnati; Il cliente aveva bisogno di lavorare da subito e non c’è mai stato modo di fare un collaudo vero e proprio.
Tags: firewall, NAT, router, TCP/IP, TecnicaRelated posts
Print This Post
Su FriendFeed, questo post ha ricevuto 0 like e 0 commenti. show12 Commenti
Scrivi un commento
Additional comments powered by BackType
pablogilberto — Il 16/10/2009 alle 18:31
evviva il sistemista olè olè olè !
spippolazione — Il 16/10/2009 alle 22:17
Un classico: intanto accendilo e fallo partire, poi sistemiamo.
sich…
samuele — Il 16/10/2009 alle 22:30
“poi sistemiamo.”
infatti è per questo che si chiamano sistemisti
ulisse31 — Il 18/10/2009 alle 12:42
un classico. Serve per ieri, fallo funzionare, non importa come. Ovvio che se le cose non si fanno bene poi problemi di questo tipo sono all’ordine del giorno (TUTTI i giorni) -__-
spippolazione — Il 18/10/2009 alle 15:40
“sistemisiti” e’ diverso da “sistematori”
Raffaele Costa — Il 27/10/2009 alle 19:46
Che bello trovare qualcuno che scrive di cose tecniche con competenza senza utilizzare (o utilizzando con parsimonia) quegli orribili ibridi italo-inglesi che sveltiscono si la scrittura ma sono una mazzata alla lingua italiana.
NATTARE, FORWARDARE, DOWNLODARE etc. etc.
Sarebbe divertente fare un piccolo glossario.
Che ne pensi ?
So long.
lol — Il 30/10/2009 alle 18:47
Che firewall era sono interessato ???
luckyfat — Il 11/11/2009 alle 09:13
@samuele
da Wikipedia:
La sistemistica o ingegneria dei sistemi è la disciplina che si occupa di identificazione, progettazione, costruzione, e mettere in opera sistemi che rispondano agli obiettivi prefissati (sistemi funzionali).
Da me:
La Sistemistica è la disciplina che tenta di effettuare deployment di appliances forwardando soluzioni it.
Le soluzioni dei sistemisti vengono spesso Nattate dall’interno del proprio cervello (Privato) all’ esterno(Pubblico) Joinando e Sjoinando piu volte fino Pingare tutti.
ma che ho detto di male?
spora — Il 18/11/2009 alle 22:37
Scherzi? è come quando io mi dimentico di darmi lo smalto alla mano destra!
JhonD — Il 09/12/2009 alle 23:55
“La rete è servita da un Windows 2003 server che, tra gli altri, ha i ruoli di DNS server, mail server e webmail server.”
Già è strano che voi abbiate 1 server che fornisce questi 3 servizi.
Diciamo che non è proprio una best practice ecco.
Se va giù quel server non vengono risolti più i nomi e non va più nemmeno la posta.
Configurazione minima: 2003 frontend per la webmail, 2 server di posta in cluster e 1 o 2 dns server linuz
Scusa ma pure io sono un sistemista
Andrea — Il 10/12/2009 alle 16:58
Se sei così bravo da convincere il clinete a comprarsi altri 4 server, accomodati. Se sei un sistemista dovresti avere esperienza del mondo reale.
DzU — Il 21/01/2010 alle 13:04
Ciao Andrea,
a proposito dell’architettura da te descritta, mi manca una parta.
I due provider che ti hanno fornito linea principale e linea di backup, ti hanno fornito 2 classi di indirizzi ip differenti.
Nel momento in cui cade la prima linea e entra in funzione la seconda, come fai ad aggiornare gli indirizzi ip pubblici assegnati ai server automaticamente?
Non so se mi sono spiegato bene.