Ricerche IT

Di recente mi è capitato di avere un problema in una piccola rete locale in cui un Cisco ASA svolge le funzioni di “secondo firewall” per la VPN, mentre il primo firewall (di marca ignota, su una rete che non gestisco io, è una storia lunga…) serve per dare connettività Internet alla rete locale: dopo aver installato il firewall Cisco, ed aver verificato che la VPN era funzionante, alcuni IP della rete rispondevano solo a sprazzi, compreso il primo firewall, cioè quello che permette la navigazione su Internet.

Un’analisi della rete locale con l’utility arping per Linux, conferma che il problema è dovuto al fatto che se tento una richiesta ARP su un qualsiasi indirizzo IP sulla rete locale, mi rispondono sia l’host legittimo, sia il firewall ASA, in parole povere, l’ASA si comporta da proxy ARP.

Non ho mai usato il meccanismo di proxy ARP, ma soprattutto in quella situazione, con un altro firewall che funge da router per la rete locale, non ha senso utilizzare un proxy ARP, per cui, ho proceduto a disabilitare il proxy ARP sia sull’interfaccia LAN (inside), sia sull’interfaccia WAN (outside) del router con questi due comandi:

sysopt noproxyarp inside
sysopt noproxyarp outside

Dati questi due comandi, e dopo un’altra analisi con arping, ho potuto verificare che avevo una sola risposta per ogni richiesta ARP verso un indirizzo IP esistente, e quindi il problema si può definire risolto.

Link di riferimento: http://tech.zsoldier.com/2011/10/cisco-asa-esxvsphere-and-duplicate-ips.html

Trackback URI | Comments RSS