Home

"I'm brave but I'm chicken shit"

C’è sempre qualcosa che ci si dimentica di fare.

Scenario: un firewall con due interfacce WAN collegate a due router ADSL e configurate in failover. Cade la linea principale e la rete perde connettività: cosa è successo?

Ad una prima indagine mi accorgo che tutti gli host accedono regolarmente ad internet via linea di backup ma non funziona la risoluzione dei nomi, quindi è praticamente tutto fermo. La rete è servita da un Windows 2003 server che, tra gli altri, ha i ruoli di DNS server, mail server e webmail server.

La causa della risoluzione  non funzionante è il server che, scopro, non ha connessione ad internet. Come è possibile che tutta la rete acceda ad internet tranne il server? Verificato che il firewall non abbia policy restrittive e spulciati i log relativi, mi concentro sulla sua tabella di NAT.

Dato che il server è pubblicato per i servizi SMPT e HTTP, esiste una regola esplicita che natta l’IP privato sull’IP pubblico della WAN primaria, e fin qui tutto bene. Dopo una telefonata chiarificatrice con un collega, mi rendo conto che manca completamente la regola che NATti il server anche sull IP pubblico della linea di backup. Modifico la regola principale esplicitando l’interfaccia di outbound, che prima era ANY, e creo un’altra regola per il NAT sull’IP di backup, sulla relativa interfaccia. Come per magilla, la connettività riappare e il server DNS ricomincia a fare il suo mestiere.

Le VPN verso le sedi remote vengono riattivate facendo modificare alle filiali l’IP del peer da cui la connessione viene accettata, e specificando nel “local ID peer” l’IP pubblico della connessione di backup perché il router relativo, in comodato d’uso, fa a sua volta un NAT. Al momento del ripristino della linea principale, si effettuerà un rollback delle modifiche.

Per scongiurare problemi in futuro, rimangono da fare i seguenti passi:

  • configurare un record backup MX nel DNS del dominio di posta, in modo che i messaggi possano essere anche ricevuti, oltre che inviati, quando è attivo il failover;
  • aggiungere una regola di NAT sulle interfacce opportune per pubblicare l’IP privato del server anche sull’indirizzo pubblico della linea di backup.

Perché tutto ciò non è stato testato prima della messa in produzione? Per i soliti motivi: uno dei due provider tardava a fornire la connettività di backup e l’altro ha sbagliato il contratto modificando in corso d’opera la classe degli IP pubblici assegnati; Il cliente aveva bisogno di lavorare da subito e non c’è mai stato modo di fare un collaudo vero e proprio.


Pubblicato

in

da

Commenti

12 risposte a “C’è sempre qualcosa che ci si dimentica di fare.”

  1. Avatar pablogilberto

    evviva il sistemista olè olè olè ! 🙂

  2. Avatar spippolazione

    Un classico: intanto accendilo e fallo partire, poi sistemiamo.

    sich…

  3. Avatar samuele
    samuele

    “poi sistemiamo.”

    infatti è per questo che si chiamano sistemisti 😀

  4. Avatar ulisse31
    ulisse31

    un classico. Serve per ieri, fallo funzionare, non importa come. Ovvio che se le cose non si fanno bene poi problemi di questo tipo sono all’ordine del giorno (TUTTI i giorni) -__-

  5. Avatar spippolazione

    “sistemisiti” e’ diverso da “sistematori” 🙂

  6. Avatar Raffaele Costa

    Che bello trovare qualcuno che scrive di cose tecniche con competenza senza utilizzare (o utilizzando con parsimonia) quegli orribili ibridi italo-inglesi che sveltiscono si la scrittura ma sono una mazzata alla lingua italiana.
    NATTARE, FORWARDARE, DOWNLODARE etc. etc.
    Sarebbe divertente fare un piccolo glossario.
    Che ne pensi ?
    So long.

  7. Avatar lol
    lol

    Che firewall era sono interessato ???

  8. Avatar luckyfat
    luckyfat

    @samuele
    da Wikipedia:
    La sistemistica o ingegneria dei sistemi è la disciplina che si occupa di identificazione, progettazione, costruzione, e mettere in opera sistemi che rispondano agli obiettivi prefissati (sistemi funzionali).

    Da me:
    La Sistemistica è la disciplina che tenta di effettuare deployment di appliances forwardando soluzioni it.
    Le soluzioni dei sistemisti vengono spesso Nattate dall’interno del proprio cervello (Privato) all’ esterno(Pubblico) Joinando e Sjoinando piu volte fino Pingare tutti.
    ma che ho detto di male?

  9. Avatar spora

    Scherzi? è come quando io mi dimentico di darmi lo smalto alla mano destra!

  10. Avatar JhonD

    “La rete è servita da un Windows 2003 server che, tra gli altri, ha i ruoli di DNS server, mail server e webmail server.”

    Già è strano che voi abbiate 1 server che fornisce questi 3 servizi.
    Diciamo che non è proprio una best practice ecco.

    Se va giù quel server non vengono risolti più i nomi e non va più nemmeno la posta.

    Configurazione minima: 2003 frontend per la webmail, 2 server di posta in cluster e 1 o 2 dns server linuz 😉

    Scusa ma pure io sono un sistemista

  11. Avatar Andrea

    Se sei così bravo da convincere il clinete a comprarsi altri 4 server, accomodati. Se sei un sistemista dovresti avere esperienza del mondo reale. 🙂

  12. Avatar DzU
    DzU

    Ciao Andrea,
    a proposito dell’architettura da te descritta, mi manca una parta.

    I due provider che ti hanno fornito linea principale e linea di backup, ti hanno fornito 2 classi di indirizzi ip differenti.
    Nel momento in cui cade la prima linea e entra in funzione la seconda, come fai ad aggiornare gli indirizzi ip pubblici assegnati ai server automaticamente?

    Non so se mi sono spiegato bene.