ARGOMENTO:

Vi sottopongo un problema che mi sta facendo uscire matto da stamattina. La situazione è la seguente: c'è una rete in cui un firewall Juniper fa anche da router aDSL ed è il gateway per le LAN che vi sono connesse. In particolare al firewall sono connesse le reti 10.7.0.0/29, 192.168.1.0/24 e 192.168.250.0/24. C'è inoltre un router Cisco, con due interfacce ethernet, che si connette da una parte alla rete 10.7.0.0/29 e dall'altra alla rete 192.168.1.0/24. Questo router Cisco è anche il terminale per una VPN per l'accesso remoto; i client remoti ricevono un indirizzo nel pool 192.168.100.1-6 e "vedono" le LAN 192.168.1.0/24 e 192.168.250.0/24. Il firewall Juniper è configurato per inoltrare il traffico IPSec proveniente dall'esterno verso il router Cisco. Sul firewall è configurata una route statica che dice che la rete 192.168.100.0/29 (quella dei client VPN) si raggiunge attraverso il router Cisco al next-hop 192.168.1.2. Tutto funziona alla grande: i client remoti pingano tutti gli host delle LAN, e questi raggiungono i client remoti senza problemi. Il guaio è che i client remoti non riescono a fare traffico TCP verso gli host della rete 192.168.1.0/24, tranne che per il firewall ed il router Cisco. Il traffico TCP verso la LAN 192.168.250.0/24 funziona regolarmente. Stranamente, se le sessioni TCP iniziano dalla LAN 192.168.1.0/24 verso i client remoti, non ci sono problemi. La figura seguente illustra la situazione:



Il traffico verde è traffico ICMP e funziona sempre:

• dal client remoto agli host della lan 192.168.1.0
• dal client remoto agli host della lan 192.168.250.0
• da tutti gli host della lan al client remoto

Il traffico blu è TCP/IP e funziona:

• dalle LAN interne verso il client remoto
• dal client remoto alla lan 192.168.250.0

Il traffico rosso invece non passa, ed è traffico TCP/IP che inizia dal client remoto verso gli host della LAN 192.168.168.0/24, a meno che gli host non siano il firewall o il router stesso. Facendo un po' di packet sniffing sugli end-point, si vede che il client remoto invia un pacchetto TCP SYN che raggiunge l'host della LAN; quest'ultimo invia un SYN/ACK che però non raggiunge mai il client remoto. Se però configuro direttamente una route statica sull'host della LAN dicendo che può raggiungere gli host remoti passando per 192.168.1.2 (l'IP inside del router Cisco), allora il traffico TCP passa regolarmente. Questo mi ha portato a localizzare il problema sul firewall, che per qualche motivo non "gira" il traffico TCP di ritorno dalla LAN al router Cisco. I motivi che mi vengono in mente per questo strano comportamento sono questi:

1. il firewall vede che il gateway per raggiungere il client remoto sta sulla stessa lan dell'host che sta rispondendo alla sessione TCP, e quindi pensa bene di non inoltrare il traffico; questo però non spiega perché il traffico iniziato dalla LAN 192.168.168.0/24 arriva correttamente a destinazione. Quindi...
2. ...il firewall vede arrivare dei pacchetti TCP con flag SYN/ACK diretti verso il client remoto senza aver prima visto il SYN proveniente dal client (perché non attraversa il firewall), e quindi droppa il pacchetto e tanti saluti.

Scusate se sono stato lunghissimo, ma non ho il dono della sintesi. Vi viene in mente qualcosa?