Problema trunk Ip in cornet o sip tra due centrali H3000

[Davide_Baratelli]

mi puoi dare la mappatura degli indirizzi ip e le rotte delle varie sedi perchè io sono convinto che ci sia qualcosa che non va nelle rotte ...

ciao
Davide

[Kimera]

Anzitutto manca uno schema chiaro della topologia di rete (logica più che fisica...essendo le sedi coinvolte solo due...quella fisica è abbastanza ovvia).

Due i casi: o ci sono delle VPN instaurate tra le due o più sedi, dunque delle VPN Box-To-Box giò instaurate da ciascun Router/Firewall in ciascuna sede verso ciascuna altra sede coinvolta OPPURE tali VPN non ci sono (e non vengono sostituite dalle VPN che le due HG1500 potrebbero fare) e le HG1500 sono (indirettamente) su IP Pubblico tramite i rispettivi Router/Firewall (NAT) <-- soprattutto visto il modo in cui avete fatto i test "...Spostato l'hg 1500 di como e l'hg1500 di arezzo direttamente su indirizzo pubblico...".

A questo punto:

(A) se con le VPN instaurate l'Host che si comporta in modo anomalo (fatto salvo che le VPN siano trasparenti al traffico da/per le sedi provate, quindi in entramb i versi sulla tratta provata...ed il Ping è solo uno dei test...dovreste spazzolare tutte le 65535 porte ad esempio con Nmap da sede 1 verso sede 2 e viceversa usando due Host che abbiano tutto il traffico incoming/outgoing (Firewall sull'Host disabilitato) libero oppure testando proprio (dal)le singole HG1500) è l'HG1500 di Como allora vorrei vedere, parametro per parametro (anche sulla parte Firewall della HG1500 e dell'HiPath 3000), le differenze tra il sistema di Como e quello di Prato.

(B) se SENZA le VPN instaurate (quindi i due sistemi su IP Pubblico statico) l'Host che si comporta in modo anomalo è sempre l'HG1500 di Como ricadiamo sempre nel test di cui sopra A PATTO che stavolta, non essendoci la VPN, i due Router che realizzano il NAT siano configurati in modo identico (così da poter partire con il test dicendo che i Router non sono).

(C) se (A) e (B) non danno degli esiti dai quali potete riscontrare il problema...potrebbero essere le due connessioni (xDSL) ?

Il tutto a patto che, come dice Baratelli, i settings IP e le varie Routes siano perfettamente stabilite nei due sistemi.

Saluti, Kimera.

Edit: avete provato con Nmap da Prato a Como e viceversa contro le rispettive HG1500 quando sono sotto VPN ? una porta risponde in vari modi (non solo Opened/Closed) a seconda di come il Firewall che la protegge (HG1500 ? Router/Firewall della sede ?) è programmato per proteggerla da pacchetti che possono giungere dalla LAN e dalla WAN...occhio anche qui).

[Alessio Simetel]

Grazie Kimera,
Lo scan delle porte ha dato come risultato che l'unica porta che risponde se scansiono l'ip dell'hg1500 è la 443, questo sia se utilizzo l'indirizzo privato dietro il fw (172.51.100.1, 255.255.0.0), sia che se utilizzo direttamente l'indirizzo pubblico dietro il router (31.194.44.81). Lo strano che ho notato è questo. Se testo una porta che è realmente chiusa ottengo correttamente la risposta negativa, se scansiono le porte del hg (1720 o 12062) non torna indietro niente. Sniffando i pacchetti gli invite arrivano correttamente sull'hg di como che però, se il pacchetto proviene da Prato, non risponde. Se il pacchetto invece arriva dalla stessa subnet (172.51.10.254 255.255.0.0) o da un qualunque host della sede in piemonte (172.56.0.0 255.255.0.0) invece risponde. L'indirizzo dell'hg di  prato è 172.25.100.1 255.255.0.0, l'indirizzo dell'hg di arezzo è 172.24.100.1 255.255.0.0. I GW dei vari siti sono: PO 172.25.1.254, AR 172.24.1.254, CO 172.51.1.254. Ribadisco che in ogni sede c'è un unico router, ognuno di essi con la sola rotta statica di default 0.0.0.0 0.0.0.0, un unico fw, l'infrastruttura all'interno di ogni sede è tutta a livello 2 e che tutto il resto del traffico funziona correttamente, compreso quello interno tra le varie sedi per cui per me non può essere un problema di routing o di rotte, anche perchè lo sniffing dice che è il centralino che non risponde se il pacchetto proviene da quelle due particolari subnet. Oltretutto se al posto del hg sulla stessa porta dello switch, ci metto un pc con lo stesso indirizzo, la stessa subnet e lo stesso GW in ascolto sulle porte 1720 e 12062, lo raggiungo senza problemi e il pacchetto di risposta torna indietro. Io ci sto diventando matto, mi sono consultato anche con persone espertissime di reti (addirittura sono riuscito a coinvolgere un responsabile tecnico di un provider) che dai test eseguiti anche lui ha dichiarato che senza dubbio il problema è nel centralino, che però è già stato cambiato una volta interamente e altre 3 volte è stata sostituita l'hg, il centralino che è attualmente montato è stato prima testato sulla sede di prato verso arezzo e funziona.
Ho analizzato i pacchetti di ack che provengono da prato e quelli che provengono da locale, secondo me sono perfettamente identici, sia come header, come payload e come dimensione (592 byte), chiaramente variano solo gli indirizzi.
L'unica differenza che ho trovato tra le due sedi è che se faccio un test del MTU sull'indirizzo pubblico (sul privato tramite vpn non succede) è che su prato risponde anche se faccio un ping -l 1500, su como invece no, ma considerando che le macchine lavorano sul privato secondo me non c'entra niente.
Grazie a tutti.

[Lucky]

Beh, direi che l' unico modo é vedere le configurazioni, con tutta la fantasia che uno possa avere credo che siamo arrivati al fondo del barattolo.

Direi disegnetto e files di configurazioni o garantire l' accesso da remoto, magari anche router e firewall, ma dubito che per questi te le diano.

Ciao

P.s.: ultima possibilità far benedire la centrale in chiesa.

[Alessio Simetel]

La configurazione va bene sicuramente, considerando che il centralino che attualmente è montato a como è stato testato sulla sede di prato mettendolo in trunk verso arezzo e l'altro già esistente di prato e funzionava. Poi è stato caricato in macchina, portato a como, acceso, modificato solo gli indirizzi (da 172.25.100.2 a 172.51.100.1 e il gw da 172.25.1.254 a 172.51.1.254), attaccato al muro e non va.
In ogni caso la configurazione è stata rifatta non so quante volte... Ora a questo punto è molto semplice dire che è un problema della rete, anche perchè fintanto che utilizzavano una rete mpls tutto funzionava, dal momento che sono passati a una adsl con vpn ha smesso (solo su como, sulle altre funziona lo stesso), però dall'altra parte tutti i test portano a un problema sul centralino. Il router è stato cambiato con un modello diverso (da un tiplink a un cisco configurato da me), per cui escludo anche quello, il fw si occupa solo di fare la vpn e il nat ma comunque il problema c'è anche a monte del fw, il resto della rete è tutta a livello 2.
Forse l'unica soluzione sarà cambiare marca di centralino, ma rimarrà questo mistero.

[Kimera]

La configurazione va bene sicuramente, considerando che il centralino che attualmente è montato a como è stato testato sulla sede di prato mettendolo in trunk verso arezzo e l'altro già esistente di prato e funzionava. Poi è stato caricato in macchina, portato a como, acceso, modificato solo gli indirizzi (da 172.25.100.2 a 172.51.100.1 e il gw da 172.25.1.254 a 172.51.1.254), attaccato al muro e non va.

Scusa, dovrei bere un caffè prima di risponderti (anche all'altro post)...ma mi viene di getto...SE l'unica cosa che cambi quando sposti il PBX da Prato (dove funziona da/per Arezzo) a Como sono gli IP per (ri)adattarli alla subnet di Como...allora c'è qualche cosa che non va con la parte logica o (1) nell'HG1500/HiPath 3000 o (2) nel Router (o nella ADSL) di Como.

Sul discorso delle porte che sono programmate per fare il Reject o il Drop dei pacchetti entranti bisognerebbe indagare (chi interviene: sempre l'HG1500 a Como o anche il Router a Como). Bevo il caffè poi mi faccio un disegno e vedo di elaborare mentalmente qualche cosa.

Saluti, Kimera.

P.S. Non per essere paranoico...o moderatamente tale...ci dici anche tutte le versioni coinvolte (APS HG1500/HiPath 3000) ? Qualche screenshot dei settings rotte e Network su HiPath 3000 e su HG1500 non guasterebbero per farsi una visione di partenza solida.

[Alessio Simetel]

Grazie Kimera,
Intanto allego schema a blocchi del sistema, cercherò di farmi girare uno degli indirizzi pubblici verso la porta 443 degli hg di Como, di Prato e di Arezzo per avere accesso da remoto, chiaramente sul fw e sui router non ci possiamo entrare. Il router di como è comunque già stato provato a cambiare con un Cisco 877 configurato da me, adesso ci è stato rimesso il loro TP-Link TD8816.
Ti ricordo anche che abbiamo provato a mettere un pc configurato con lo stesso IP, la stessa Subnet e lo stesso Gateway, collegato alla stessa porta fisica del core switch, del HG1500, in ascolto sulle porte 1720 e 12062 e si raggiunge senza problemi.
Appena possibile posterò anche la configurazione dei 3 HG1500.
Grazie ancora e Saluti.

[Davide_Baratelli]

Se i default gateway nelle hg e nella centrale sono corrette in tutte le sedi secondo me il problema può essere solo nelle rotte delle vpn.   Ma riesci ad accedere via web all'hg di altre sedi da quella di prato ?

[ziotibia81]

Avete controllato che nei pc della rete non ci siano ci siano routes statiche aggiuntive al gateway di default?

sul pc che rispondeva al telnet mettendo l'ip del centralino sarebbe utile controllare il risultato del comando:

route print

A me una volta è successa una cosa simile:

Sede A - ip centrale 192.168.1.100 gw 192.168.1.254
VPN -> firewall -> internet -> firewall -> VPN
Sede B - ip centrale 192.168.2.100 gw 192.168.2.254

I sintomi erano pressochè uguali.
Ho provato ad aggiungere delle routes statiche sui 2 HG:

Sede A - aggiunta route rete 192.168.2.0 SN 255.255.255.0 gw 192.168.1.254
Sede B - aggiunta route rete 192.168.1.0 SN 255.255.255.0 gw 192.168.2.254

E tutto ha inizato a funzionare.
Tralantro la cosa non ha assolutamente senso se ci mettiamo a guardare le specifiche del protocollo ip,
ma sembrava quasi che la centrale scartasse i pacchetti provenienti da reti diverse non espressamente specificate nelle
regole di routing.

[Alessio Simetel]

Grazie del suggerimento,
proverò a inserire delle rotte statiche sui 2 hg anche se ti garantisco che nessuna rotta statica è presente sui client delle 2 reti, anche perchè esiste un solo gw per sede e tutti gli indirizzi dei client sono distribuiti dal fw (DHCP server).
Ti farò sapere.

[ziotibia81]

Ho parlato con un altro installatore e mi ha confermato che anche lui, in casi simili, è stato costretto ad inserire delle rotte statiche (ripeto, teoricamente totalmente inutili essendoci un solo GW) sugli HG.

[Davide_Baratelli]

Io non ho capito se da prato raggiungi via web le altre HG e i centralino con il managerE e viceversa ?

[Alessandro - Telcom]

10 - ipotizzato il viaggio a Lourdes?

[Lucky]

Dai Ale, almeno io li faccio risparmiare, ho proposto la benedizione nella chiesa locale.

[ziotibia81]

[..]esiste un solo gw per sede e tutti gli indirizzi dei client sono distribuiti dal fw (DHCP server).[..]

Occhio che su alcuni firewall particolari esistono delle regole di sicurezza "strane" per cui accade questo:

- Il client richiede l'ip via dhcp
- il firewall rilascia l'ip e aggiunge una regola di forwarding che abilita il forwarding per i pacchetti aventi come MAC address sorgente il MAC a cui è appena stato rilasciato l'ip.
- La regola di forward viene aggiornata alla scadenza o al rinnovo del lease.

Quindi se prendi un pc "nuovo" gli metti un ip a mano non naviga. Poi prendi un pc che ha otteuto il DHCP, gli metti a mano lo stesso ip che hai usato per l'altro pc e questo naviga.

Però se è già stato verificato che i pacchetti arrivano ai rispettivi HG credo che sia il caso delle rotte "inutili".