Risoluzione dei problemi ARP di Sophos Firewall dopo la migrazione
Dopo una migrazione del firewall, può accadere che il nuovo Sophos Firewall sia generalmente online, ma che singoli indirizzi IP pubblici o alias non siano comunque raggiungibili. Questo è particolarmente tipico dopo un passaggio da un altro produttore a Sophos Firewall o dopo una migrazione da hardware XG a XGS. Gli indirizzi IP rimangono gli stessi, ma l’indirizzo MAC sull’interfaccia WAN cambia.
Se un router a monte, un CPE del provider o uno switch ha ancora vecchie voci ARP nella cache, continuerà a inviare pacchetti al vecchio indirizzo MAC. Questo fa sembrare che solo determinati indirizzi IP alias, destinazioni DNAT o test di ping non funzionino. Per la pianificazione generale della migrazione, si adatta anche l’articolo Qual è la differenza tra un firewall XG e XGS?.
Sintomi tipici
I problemi ARP dopo una migrazione si manifestano generalmente subito dopo il cambio o dopo un ripristino su nuovo hardware.
Indicazioni tipiche:
- L’interfaccia WAN del Sophos Firewall è online.
- L’indirizzo IP principale funziona, ma singoli indirizzi IP alias no.
- Il ping su determinati IP pubblici fallisce, mentre altri IP sulla stessa interfaccia rispondono.
- Le regole DNAT o WAF sembrano configurate correttamente, ma non raggiungono il server interno.
- Un servizio è raggiungibile internamente, ma esternamente è disturbato solo su determinati IP pubblici.
- Dopo un po’ di tempo, funziona improvvisamente perché una cache ARP scade automaticamente.
È importante distinguere: non tutti i problemi di raggiungibilità dopo una migrazione sono problemi ARP. Devono essere controllate anche le regole del firewall, le regole NAT, le zone, la configurazione degli alias, il routing del provider e le rotte di ritorno.
Perché l’ARP può causare problemi dopo una migrazione
L’ARP risolve gli indirizzi IPv4 in indirizzi MAC. In un segmento locale di livello 2, un dispositivo chiede: Qual è l’indirizzo MAC associato a questo indirizzo IP? La risposta viene memorizzata nella cache ARP, in modo che non ogni pacchetto debba generare una nuova richiesta ARP.
Durante una migrazione del firewall, l’indirizzo IP spesso rimane lo stesso, ma l’indirizzo MAC cambia. Questo può essere problematico:
- Il router del provider conosce ancora l’IP pubblico con il vecchio indirizzo MAC.
- Uno switch o router a monte mantiene voci ARP obsolete.
- Un IP alias è stato correttamente configurato sul nuovo firewall, ma il vicino continua a inviare al vecchio hardware.
- Solo una parte degli IP è stata già appresa di nuovo, quindi alcuni indirizzi funzionano e altri no.
Con singoli indirizzi IP alias, questo è particolarmente irritante, perché la connessione di base sembra funzionare. Si tende a controllare rapidamente NAT, regole del firewall o routing, anche se l’errore si verifica già prima a livello 2.
Controllare prima del comando CLI
Prima di attivare attivamente l’ARP, la configurazione di base dovrebbe essere corretta. Altrimenti, un ARP-ping coprirà solo un altro problema.
Controllare:
- Sotto Network > Interfaces, verificare se l’indirizzo IP o l’indirizzo IP alias interessato si trova sull’interfaccia corretta.
- Controllare la zona dell’interfaccia, ad esempio
WAN. - Verificare gateway, maschera di sottorete e logica della rete alias.
- Sotto Rules and policies > NAT rules, controllare se la regola DNAT punta all’IP pubblico corretto.
- Sotto Rules and policies > Firewall rules, verificare se esiste una regola appropriata per il traffico.
- Nel Log Viewer, controllare se i pacchetti arrivano effettivamente al firewall.
- Se necessario, con Sophos Firewall Packet Capture in WebAdmin, verificare se i pacchetti in entrata sono visibili sull’interfaccia WAN.
Se nel Packet Capture non arrivano pacchetti per l’IP pubblico interessato, il problema probabilmente si trova prima del firewall: router del provider, switch a monte, cache ARP o routing presso il provider. Se i pacchetti arrivano ma vengono scartati, si dovrebbero prima controllare NAT, regole del firewall e zone. Per la logica delle interfacce e delle zone, aiuta Configurare zone e interfacce di Sophos Firewall.
Eseguire ARP-Ping tramite la Device Console
Sophos Firewall può attivare un ARP-Ping con IP sorgente e interfaccia definiti tramite la Device Console. Questo è utile quando un IP alias deve essere reso noto attivamente nella rete dopo la migrazione.
Importante: Il comando dovrebbe essere eseguito solo quando è chiaro quale IP sorgente, quale interfaccia e quale destinazione nel segmento locale devono essere utilizzati. Valori errati non aiutano e possono falsare l’analisi. Prima di apportare modifiche a una migrazione produttiva, dovrebbe essere disponibile un Backup di Sophos Firewall aggiornato.
Il comando viene eseguito nella Device Console, non nella Advanced Shell:
system diagnostics utilities arp ping source <alias-ip> interface <interface> <target-ip>
Esempio:
system diagnostics utilities arp ping source 198.51.100.21 interface Port2 198.51.100.1
In questo esempio, 198.51.100.21 è l’IP alias interessato su Port2. 198.51.100.1 è una destinazione raggiungibile nello stesso segmento di livello 2, tipicamente il gateway upstream o il CPE del provider. In questo modo, il firewall genera traffico ARP con l’IP sorgente corretto tramite l’interfaccia corretta.
Se SSH non è ancora configurato, Connettersi a Sophos Firewall tramite SSH descrive come accedere alla Device Console. Durante le migrazioni, SSH non dovrebbe essere consentito in modo permanente e ampio dal WAN. È meglio un accesso amministrativo temporaneo e limitato da una rete fidata.
Procedura consigliata
1. Raccogliere gli indirizzi IP interessati
Per prima cosa, si documenta quali indirizzi IP funzionano e quali no. Per gli indirizzi IP alias, si dovrebbe confrontare direttamente l’elenco con la configurazione dell’interfaccia.
Annotare:
- Interfaccia, ad esempio
Port2 - Indirizzo IP principale e indirizzi IP alias
- Gateway upstream o CPE del provider
- Regole NAT o WAF interessate
- Risultato di ping, test delle porte e Packet Capture
2. Delimitare il problema ARP
Da un sistema di test esterno, verificare l’IP pubblico interessato. In parallelo, avviare il Packet Capture su Sophos Firewall sull’interfaccia WAN.
Interpretazione:
- Nessun pacchetto arriva all’interfaccia WAN: Controllare upstream, ARP, routing del provider o dispositivo a monte.
- I pacchetti arrivano ma vengono scartati: Controllare regola del firewall, NAT, zona o servizio.
- I pacchetti arrivano e vanno internamente, ma manca la risposta: Controllare rotta di ritorno, server interno, SNAT o firewall del server.
- Solo IP alias interessato, IP principale funziona: Controllare specificamente cache ARP o configurazione alias.
3. Eseguire ARP-Ping per ogni IP alias interessato
Per ogni IP alias interessato, eseguire l’ARP-Ping con l’IP sorgente appropriato e l’interfaccia corretta. Dopo, non si dovrebbero cambiare immediatamente molte altre cose, ma prima testare se il comportamento cambia.
Esempio con segnaposto:
system diagnostics utilities arp ping source <betroffene-alias-ip> interface <wan-interface> <upstream-gateway>
Se sono interessati più indirizzi IP alias, il comando viene eseguito singolarmente per ogni indirizzo. Questo rende la verifica comprensibile e impedisce di non sapere più quale misura ha aiutato.
4. Validare la raggiungibilità
Dopo l’ARP-Ping, si dovrebbe ripetere lo stesso test:
- Ping o test della porta TCP dall’esterno.
- Packet Capture sull’interfaccia WAN.
- Filtrare il Log Viewer sull’IP di destinazione interessato.
- Controllare regola NAT e firewall, se ora i pacchetti arrivano.
Se l’upstream apprende correttamente le informazioni ARP, i pacchetti per l’IP alias dovrebbero ora arrivare al nuovo firewall. Se il servizio pubblicato funziona poi, dipende anche da NAT, regole del firewall, server interno e percorso di ritorno.
Se l’ARP-Ping non aiuta
Se l’ARP-Ping non porta miglioramenti, non si dovrebbero provare comandi a caso. È utile una delimitazione strutturata.
Ulteriori controlli:
- Il dispositivo upstream può ancora mantenere voci ARP obsolete.
- Il provider deve ricaricare la cache ARP o il CPE.
- L’IP alias si trova sull’interfaccia sbagliata o in una rete errata.
- L’IP pubblico è instradato dal provider anziché appreso direttamente nel segmento locale tramite ARP.
- La regola DNAT punta all’indirizzo pubblico sbagliato.
- La regola del firewall non consente il traffico.
- Il server interno risponde tramite un altro gateway.
- In caso di HA o cambio hardware, è stato previsto l’indirizzo MAC sbagliato.
Un riavvio del CPE del provider o di un router a monte può svuotare le cache ARP, ma non dovrebbe essere la prima misura. In ambienti produttivi, è più pulito raccogliere prima prove con Packet Capture e Log Viewer.
Coinvolgere specificamente il provider o l’upstream
Se sull’interfaccia WAN non arrivano pacchetti per l’IP pubblico interessato, la richiesta al provider o ai responsabili upstream dovrebbe essere il più concreta possibile. Una segnalazione generale come “il firewall non è raggiungibile” porta spesso a cicli inutili. È meglio una breve prova tecnica che mostri quale IP è interessato e cosa è stato verificato su Sophos Firewall.
Informazioni utili:
- IP pubblico o IP alias interessato: Il provider può controllare specificamente la voce ARP o di routing.
- Interfaccia WAN e nuovo indirizzo MAC: Mostra quale associazione è prevista dopo la migrazione.
- Gateway upstream o indirizzo CPE: Delimita quale dispositivo vicino deve apprendere l’indirizzo.
- Momento del test ARP-Ping: Facilita il confronto con i log del provider o lo stato del CPE.
- Risultato del Packet Capture: Dimostra se i pacchetti raggiungono effettivamente Sophos Firewall.
- Regola DNAT e firewall verificata: Impedisce che il caso venga rapidamente classificato come problema di regola locale. L’indirizzo MAC dell’interfaccia WAN può essere documentato nell’interfaccia WebAdmin sotto Network > Interfaces. Se il provider deve svuotare una cache ARP o ricaricare un CPE, dovrebbe essere riferito all’IP specifico o all’interfaccia interessata. Un riavvio generale di tutti i dispositivi coinvolti è sensato solo se responsabilità, finestra di manutenzione e impatto sono chiari.
Checklist
- Documentati gli indirizzi IP principali e alias interessati.
- Verificati interfaccia, zona, gateway e configurazione alias.
- Verificate le regole NAT e firewall per l’IP interessato.
- Il Packet Capture mostra se i pacchetti arrivano all’interfaccia WAN.
- ARP-Ping eseguito solo con IP sorgente, interfaccia e IP di destinazione corretti.
- Raggiungibilità esterna testata nuovamente dopo ogni modifica.
- Se necessario, contattati provider o responsabili upstream con IP specifico, indirizzo MAC, momento del test e osservazione del Packet Capture.