Andrea Beggi

This revolution is for display purpopes only.

C’è sempre qualcosa che ci si dimentica di fare.

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Scenario: un firewall con due interfacce WAN collegate a due router ADSL e configurate in failover. Cade la linea principale e la rete perde connettività: cosa è successo?

Ad una prima indagine mi accorgo che tutti gli host accedono regolarmente ad internet via linea di backup ma non funziona la risoluzione dei nomi, quindi è praticamente tutto fermo. La rete è servita da un Windows 2003 server che, tra gli altri, ha i ruoli di DNS server, mail server e webmail server.

La causa della risoluzione  non funzionante è il server che, scopro, non ha connessione ad internet. Come è possibile che tutta la rete acceda ad internet tranne il server? Verificato che il firewall non abbia policy restrittive e spulciati i log relativi, mi concentro sulla sua tabella di NAT.

Dato che il server è pubblicato per i servizi SMPT e HTTP, esiste una regola esplicita che natta l’IP privato sull’IP pubblico della WAN primaria, e fin qui tutto bene. Dopo una telefonata chiarificatrice con un collega, mi rendo conto che manca completamente la regola che NATti il server anche sull IP pubblico della linea di backup. Modifico la regola principale esplicitando l’interfaccia di outbound, che prima era ANY, e creo un’altra regola per il NAT sull’IP di backup, sulla relativa interfaccia. Come per magilla, la connettività riappare e il server DNS ricomincia a fare il suo mestiere.

Le VPN verso le sedi remote vengono riattivate facendo modificare alle filiali l’IP del peer da cui la connessione viene accettata, e specificando nel “local ID peer” l’IP pubblico della connessione di backup perché il router relativo, in comodato d’uso, fa a sua volta un NAT. Al momento del ripristino della linea principale, si effettuerà un rollback delle modifiche.

Per scongiurare problemi in futuro, rimangono da fare i seguenti passi:

  • configurare un record backup MX nel DNS del dominio di posta, in modo che i messaggi possano essere anche ricevuti, oltre che inviati, quando è attivo il failover;
  • aggiungere una regola di NAT sulle interfacce opportune per pubblicare l’IP privato del server anche sull’indirizzo pubblico della linea di backup.

Perché tutto ciò non è stato testato prima della messa in produzione? Per i soliti motivi: uno dei due provider tardava a fornire la connettività di backup e l’altro ha sbagliato il contratto modificando in corso d’opera la classe degli IP pubblici assegnati; Il cliente aveva bisogno di lavorare da subito e non c’è mai stato modo di fare un collaudo vero e proprio.

12 Commenti

spippolazione | #

Un classico: intanto accendilo e fallo partire, poi sistemiamo.

sich…

samuele | #

“poi sistemiamo.”

infatti è per questo che si chiamano sistemisti 😀

ulisse31 | #

un classico. Serve per ieri, fallo funzionare, non importa come. Ovvio che se le cose non si fanno bene poi problemi di questo tipo sono all’ordine del giorno (TUTTI i giorni) -__-

spippolazione | #

“sistemisiti” e’ diverso da “sistematori” 🙂

Raffaele Costa | #

Che bello trovare qualcuno che scrive di cose tecniche con competenza senza utilizzare (o utilizzando con parsimonia) quegli orribili ibridi italo-inglesi che sveltiscono si la scrittura ma sono una mazzata alla lingua italiana.
NATTARE, FORWARDARE, DOWNLODARE etc. etc.
Sarebbe divertente fare un piccolo glossario.
Che ne pensi ?
So long.

lol | #

Che firewall era sono interessato ???

luckyfat | #

@samuele
da Wikipedia:
La sistemistica o ingegneria dei sistemi è la disciplina che si occupa di identificazione, progettazione, costruzione, e mettere in opera sistemi che rispondano agli obiettivi prefissati (sistemi funzionali).

Da me:
La Sistemistica è la disciplina che tenta di effettuare deployment di appliances forwardando soluzioni it.
Le soluzioni dei sistemisti vengono spesso Nattate dall’interno del proprio cervello (Privato) all’ esterno(Pubblico) Joinando e Sjoinando piu volte fino Pingare tutti.
ma che ho detto di male?

spora | #

Scherzi? è come quando io mi dimentico di darmi lo smalto alla mano destra!

JhonD | #

“La rete è servita da un Windows 2003 server che, tra gli altri, ha i ruoli di DNS server, mail server e webmail server.”

Già è strano che voi abbiate 1 server che fornisce questi 3 servizi.
Diciamo che non è proprio una best practice ecco.

Se va giù quel server non vengono risolti più i nomi e non va più nemmeno la posta.

Configurazione minima: 2003 frontend per la webmail, 2 server di posta in cluster e 1 o 2 dns server linuz 😉

Scusa ma pure io sono un sistemista

Andrea | #

Se sei così bravo da convincere il clinete a comprarsi altri 4 server, accomodati. Se sei un sistemista dovresti avere esperienza del mondo reale. 🙂

DzU | #

Ciao Andrea,
a proposito dell’architettura da te descritta, mi manca una parta.

I due provider che ti hanno fornito linea principale e linea di backup, ti hanno fornito 2 classi di indirizzi ip differenti.
Nel momento in cui cade la prima linea e entra in funzione la seconda, come fai ad aggiornare gli indirizzi ip pubblici assegnati ai server automaticamente?

Non so se mi sono spiegato bene.