Naar de inhoud
Avanet

Sophos Firewall - ARP-probleem na firewallmigratie oplossen

Sophos Firewall

Bij het omzetten van een firewallconfiguratie kan het in zeldzame gevallen gebeuren dat sommige alias-IP-adressen niet meer op ICMP-aanvragen (ping) reageren, terwijl andere alias-adressen wel pingbaar blijven. Dit fenomeen treedt vooral op wanneer door de omzetting het MAC-adres van de firewall verandert.

Een typische configuratie in moderne netwerken bevat meerdere alias-IP-adressen op een enkele WAN-interface. Deze alias-adressen worden vaak gebruikt om verschillende diensten vanaf een fysieke interface te beheren. Bij een firewallwissel, bijvoorbeeld van een andere fabrikant naar Sophos Firewall of ook bij het wisselen van hardwaremodel binnen het Sophos-ecosysteem, verandert vaak het MAC-adres van de externe interface. Deze wijziging kan problemen veroorzaken in de ARP-tabel (Address Resolution Protocol) van aangrenzende routers of switches, die de alias-IP-adressen nog aan oude MAC-adressen koppelen en deze niet automatisch bijwerken.

De techniek achter het probleem

Het ARP-protocol is verantwoordelijk voor het omzetten van IP-adressen naar MAC-adressen. Wanneer een host een IP-adres in het netwerk wil bereiken, stuurt hij een ARP-aanvraag om het bijbehorende MAC-adres te vinden. De ARP-cache bewaart deze koppelingen tijdelijk om de netwerkbelasting te verminderen en de resolutie te versnellen. Als het MAC-adres van een firewall echter verandert terwijl het IP-adres gelijk blijft, kunnen conflicten ontstaan omdat naburige apparaten mogelijk nog steeds proberen de IP-adressen met het oude MAC-adres te koppelen.

In zo’n situatie kan het gebeuren dat sommige IP-adressen nog pingbaar zijn, terwijl andere niet reageren. Dat komt doordat de ARP-tabel op naburige apparaten de koppeling voor bepaalde IP-adressen al correct heeft bijgewerkt, terwijl voor andere IP-adressen nog verouderde informatie aanwezig is.

ARP-ping voor het bijwerken van de ARP-tabel

Om dit probleem op te lossen, kun je op Sophos Firewall via SSH een specifiek commando uitvoeren waarmee je voor elk alias-IP-adres een handmatige ARP-ping uitvoert. Dit commando dwingt de firewall om een ARP-aanvraag vanaf het betrokken alias-IP-adres te initiëren, waardoor de ARP-tabel op naburige apparaten wordt bijgewerkt.

system diagnostics utilities arp ping source interface

Stel dat een van de niet-pingbare alias-IP-adressen 212.60.60.121 is en dit op interface Port2 is geconfigureerd. Het commando om de ARP-tabel voor dit adres bij te werken, is:

system diagnostics utilities arp ping source 212.60.60.121 interface Port2 212.60.60.120

Dit commando stuurt een ARP-aanvraag vanaf alias-IP-adres 212.60.60.121 via interface Port2 naar zichzelf. Daardoor worden alle naburige apparaten gedwongen hun ARP-tabellen met het juiste MAC-adres voor dit IP bij te werken.

Stap-voor-stap-handleiding voor troubleshooting:

  1. **Via SSH met Sophos Firewall verbinden:**Eerst wordt een SSH-verbinding met de firewall gemaakt. Daarvoor kun je een tool zoals PuTTY of de ingebouwde SSH-console gebruiken.
  2. Niet-pingbare alias-IP-adressen identificeren: In de volgende stap controleer je welke alias-IP-adressen op de WAN-interface niet pingbaar zijn.
  3. **ARP-ping-commando uitvoeren:**Voor elk niet-pingbaar alias-IP-adres voer je het hierboven genoemde ARP-ping-commando uit. Let erop dat je het specifieke alias-IP-adres en de bijbehorende interface correct gebruikt.
  4. **Resultaten controleren:**Nadat het commando is uitgevoerd, controleer je of de eerder niet-pingbare alias-IP-adressen nu op ping-aanvragen reageren.
  5. **Netwerkapparaten opnieuw starten (indien nodig):**In sommige gevallen kan het helpen om aangrenzende netwerkapparaten zoals routers of switches opnieuw te starten, zodat de ARP-tabellen volledig worden bijgewerkt.