- Modificato
Ciao a tutti,
vi volevo raccontare una storia davvero curiosa che mi sta accadendo ed approfittarne per chiedervi qualche consiglio.
Tutto parte quando tento di configurare un tunnel IPSec tra l'utenza TIM Business, del tipo TIM comunica gestita, con un host su AS Virgin Media e un host su AS BT a Londra. Dopo innumerevoli tentativi non riesco a fare salire in nessun modo la connessione e nei vari tentativi di risoluzione faccio un Nmap sull'host TIM e orrore... tutte le porte filtrate, anche la 80 e la 443 sul quale abbiamo pubblicato il server web. E infatti il sito web va puntualmente in timeout. Provo vari Nmap da vari host in diversi AS in giro per il mondo e nulla, qualunque AS in italia da le porte aperte regolarmente, e la maggior parte degli host su AS esteri le da filtrate. A rendere la cosa ancora più strana è che la cosa si presenta in maniera random, ossia stesso host su stesso AS (esempio BT) nel 90% dei casi da filtered ma nel 5% dei casi raramente da la porta regolarmente aperta. Impazzisco, perchè queta cosa non ha alcun senso, soprattuto perchè il ping va sempre a buon fine, cosa che esclude problemi di routing a livello BGP.
Ovviamente la prima cosa che faccio terminati i mei test è stato contattare il supporto TIM Comunica, che fortunatamente ha un numero dedicato e non si passa da 187 o 191, anche perchè il router, un Huawei AR129 è loro e gestito in maniera inderogabile da loro in tutto, policy comprese. Una volta riuscito a spiegare e convincerli della problematica viene aperta la segnalazione e vengo ricontattato da Network di TIM. Fun fact, la prima cosa che mi dice il tecnico di Network è: la problematica che riporta lei è impossibile che si verifichi, è semplicemente una cosa impossibile. Gli spiego con calma che per quanto impossibile sta succedendo e gli mostro gli nmap effettuati e gli do la possibilità di farne anche lui live da host esteri. Riscontra anche lui il problema e inizia una lunga, anzi lunghissima giornata di test. Proviamo a cambiare Subnet IP assegnataci, nulla, proviamo a cambiare direttamente la classe della Subnet IP assegnataci, nulla. Effettua un upgrade e ripristino del firmware del router, nulla. Effettua un cambio di porta, ne proviamo varie, nulla. Alle 18, dopo una giornata di test, l'ultimo disperato tentativo, bypassare il router mettendo un IP in bridge su una porta fisica, esponenendo così l'host a internet direttamente, e taac, funziona, tutto va regolarmente. Proviamo allora a rimettere le cose come erano prima ma cambiando il tipo di nat, ad esempio NAT 1:1, nulla, tutto sempre bloccato dall'estero.
L'interpretazione della cosa da parte del tecnico è che evidentemente il Huawei AR129 non riesce a gestire correttamente il NAT, nessun tipo di NAT che abbiamo provato, e che quindi quando la latenza diventa leggermente maggiore (ad esempio per una connessione da un AS estero e non da un AS italiano) manda la connessione in timeout risultando in una porta filtrata. Secondo lo specialista è dovuto ad una errata interpretazione delle RFC da parte di Huawei.
Soluzione proposta da TIM? Cambio di router dall'AR129 ad un Tiesse Imola ed incrociare le dita che le cose così funzionino, anche se lo specialista non nutre grandi speranze. Altre soluzioni? Usare un router Cisco, solo che TIM non può offrircelo perchè di fascia superiore. Quindi diventa un problema nostro...
l'idea che mi è venuta è farmi fare un bridge di due IP su due porte LAN e usare un USG-3P come router per gestire il NAT di quei due IP e i server che ci starano dietro. Solo che non sono sicuro che la soluzione sia proprio il top.
Voi che ne pensate di tutta questa storia? Pensate che lo specialista abbia ragione e il problema sia il Huawei? Avete altre idee su come potere risolvere? Pensate che la mia idea possa reggere?
Grazie in anticipo