Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Vi sottopongo un problema che mi sta facendo uscire matto da stamattina. La situazione è la seguente: c'è una rete in cui un firewall Juniper fa anche da router aDSL ed è il gateway per le LAN che vi sono connesse. In particolare al firewall sono connesse le reti 10.7.0.0/29, 192.168.1.0/24 e 192.168.250.0/24. C'è inoltre un router Cisco, con due interfacce ethernet, che si connette da una parte alla rete 10.7.0.0/29 e dall'altra alla rete 192.168.1.0/24. Questo router Cisco è anche il terminale per una VPN per l'accesso remoto; i client remoti ricevono un indirizzo nel pool 192.168.100.1-6 e "vedono" le LAN 192.168.1.0/24 e 192.168.250.0/24. Il firewall Juniper è configurato per inoltrare il traffico IPSec proveniente dall'esterno verso il router Cisco. Sul firewall è configurata una route statica che dice che la rete 192.168.100.0/29 (quella dei client VPN) si raggiunge attraverso il router Cisco al next-hop 192.168.1.2. Tutto funziona alla grande: i client remoti pingano tutti gli host delle LAN, e questi raggiungono i client remoti senza problemi. Il guaio è che i client remoti non riescono a fare traffico TCP verso gli host della rete 192.168.1.0/24, tranne che per il firewall ed il router Cisco. Il traffico TCP verso la LAN 192.168.250.0/24 funziona regolarmente. Stranamente, se le sessioni TCP iniziano dalla LAN 192.168.1.0/24 verso i client remoti, non ci sono problemi. La figura seguente illustra la situazione:
Il traffico verde è traffico ICMP e funziona sempre:
Il traffico blu è TCP/IP e funziona:
Il traffico rosso invece non passa, ed è traffico TCP/IP che inizia dal client remoto verso gli host della LAN 192.168.168.0/24, a meno che gli host non siano il firewall o il router stesso. Facendo un po' di packet sniffing sugli end-point, si vede che il client remoto invia un pacchetto TCP SYN che raggiunge l'host della LAN; quest'ultimo invia un SYN/ACK che però non raggiunge mai il client remoto. Se però configuro direttamente una route statica sull'host della LAN dicendo che può raggiungere gli host remoti passando per 192.168.1.2 (l'IP inside del router Cisco), allora il traffico TCP passa regolarmente. Questo mi ha portato a localizzare il problema sul firewall, che per qualche motivo non "gira" il traffico TCP di ritorno dalla LAN al router Cisco. I motivi che mi vengono in mente per questo strano comportamento sono questi:
Scusate se sono stato lunghissimo, ma non ho il dono della sintesi. Vi viene in mente qualcosa? |
Si prega Accedi a partecipare alla conversazione. |