Gli "Ospiti" della Sala Macchine

VPN? E chi le usa?

Ordunque, con il Provider presso il quale avevo lavorato (vedi per esempio questa storia, oppure quest'altra, ma anche questa, questa e molte altre...) ho ancora ottimi rapporti visto che un Server di un'associazione italiana che amministro nonche' il cluster e il vServer di test della ditta dove lavoro sono presso di loro.

Due mesi fa fecero dei cambiamenti al loro Firewall (debitamente avvisati visto che hanno dovuto staccare la rete per un'oretta a tutti).

Una settimana fa circa, ricevo un'E-Mail da loro dicendomi che c'erano ancora dei piccoli cambiamenti al loro Firewall da fare e che tra le 4 e le 5 del 04.06.2009 tutti i Servers sarebbero stati irraggiungibili.

Vabbe', poco male! A quell'ora dormo io e dormono sicuramente anche i nostri clienti, quindi non c'e' problema. E se anche ci fosse, non ci posso fare niente, quindi stiamo pure rilassati.

Stamani mi sveglio, faccio colazione e leggo la posta. E vedo, tanto per cominciare, che il Server dell'associazione di cui sopra e' irraggiungibile. Nagios mi ha gia' mandato parecchie E-Mails.
Vabbe', non risponde neanche al ping. Telefonero' al Provider e vedremo cos'e' successo.

Mi avvio quindi al lavoro (bestemmiando come uno squadrone di turchi, perche' con 'sta storia che stasera e domani Obama verra' a Dresden stanno dirottando tutti i tram e congestionando le strade di tutta la citta'. Per non parlare dell'obbligo di tenere porte e finestre chiuse [che se io voglio sparare a qualcuno che mi frega di rompere un vetro?] e con la CIA sguinzagliata per Dresden che fa controlli fuori dalla loro giurisdizione! Non e' ancora arrivato e a me sta gia' sulle palle 'sto tipo!) e arrivato in ufficio e vedo parecchie cose che non mi piacciono manco un po'.

Per cominciare un paio di E-Mails dal Provider dove mi avvisano che hanno fatto dei "piccoli cambiamenti" e che, per cortesia, dovrei aprire loro il Firewall ai pacchetti ICMP dalla rete 10.10.0.0/24. (Loro controllano l'esistenza in vita dei root-Server con Nagios semplicemente pingandoli. Sono root-Server e quindi non possono fare di piu'. Prima le richieste arrivavano da un certo IP pubblico e ora da uno di questa rete privata).

Io cerco di svegliarmi e bestemmio liberamente in 54 lingue, lasciando parecchio scioccati i tipi che stavano facendo le pulizie.

Mi attacco quindi al telefono e parlo con il Provider. Mi risponde un tecnico, assunto dopo la mia dipartita. Per semplicita', chiamiamolo CL.

CL: $ISP, buongiorno, sono CL. Cosa posso fare per lei?
IO: Salve, sono LB di $dialoghi_aperti. Abbiamo un po' di Server da voi e qualche problema.
CL: Si, mi dica!
IO: Cosa vuol dire che adesso devo aprire l'ICMP alla rete 10.10.0.0/24?
CL: Eh, si! Abbiamo fatto dei cambiamenti stanotte e ora le richieste di Nagios arrivano da li.
IO: E questo mi starebbe anche bene, ma io ho una VPN configurata proprio per usare questa rete che, guarda caso, e' quella di default di OpenVPN. Sinceramente non ho una gran voglia di riconfigurare TUTTE le VPN per il vostro Nagios.
CL: Non deve fare niente, basta che apra il Firewall a quella rete e tutto e' a posto.
IO: Guardi, non vedo motivi per i quali dovrei chiudere il Firewall alla VPN che usiamo proprio per evitare di aprire porte al mondo.
CL: E allora il problema dove sta?
IO: Il problema sta che voi volete parlare con il mio Server su un'interfaccia usando un certo IP, ma quell'IP lo uso gia' io su un'altra e ovviamente, oltre a creare un po' di confusione, il Kernel mi rifiuta i pacchetti perche' arrivano dall'interfaccia sbagliata.
CL: No, guardi, non e' possibile. Quelli sono IP privati!
IO: LO SO CHE SONO IP PRIVATI! E' per quello che li uso!
CL: No, ma guardi (inserire qui 5 minuti di babbilamme assortito)... Ma, aspetti: TJ (un mio ex-collega normalmente molto sveglio, che si occupa proprio dei Firewalls) mi fa cenno che vuole parlare con lei.
IO: (stupito perche' il tipo e' venuto in ufficio solo una volta prima delle 11, e solo perche' dovevamo andare al funerale di un collega) Ah, si? Bene, me lo passi!

(breve attesa)

TJ: Heila, Luca! Come va? Qual'e' il problema?
IO: Heila, bene grazie, il problema e' che voi avete deciso di usare una rete per il vostro Nagios che e' proprio quella standard usata da OpenVPN. Ti diro' di piu': immagino che oggi riceverete parecchie telefonate da gente come me, che ha un root-Server da voi e una VPN.
TJ: OpenVPN?!? Oh, $pene! E' vero. Mi sa che abbiamo fatto un piccolo errore.
IO: Si, un piccolo errore delle dimensioni delle Valles Marineris. Personalmente non ho intenzione di riconfigurare tutte le nostre VPN per far piacere a voi, almeno non nel breve termine.
TJ: No, guarda: ignora quelle E-Mail! La cappella l'abbiamo fatta noi e noi la dobbiamo risolvere!
IO: Mi fa piacere l'ammissione. Allora io cancello le E-Mails, eh?
TJ: Si, si! Mi sa che dovremo nuovamente fare un cambio al Firewall, pero'.
IO: Temo anch'io. Beh, ora vado a lavorare.

Almeno l'hanno ammesso. Pero' TJ ha parecchi anni di esperienza di reti alle spalle. E proprio la settimana scorsa mi ha detto di aver partecipato ad una conferenza su IPv6 e VPN. Come hanno fatto ad arrivare a questo punto?

Bah, vedremo in futuro cosa succedera'.

Per la cronaca, i problemi all'altro Server (quello dell'associazione italiana) era semplicemente dovuti al fatto che una persona che aveva un Host su DynDNS (che uso per aprire il Firewall a IP dinamici) ha deciso (senza avvisarmi!!) di cancellare quell'Host. E il mio script di firewall (che ogni 10 minuti mantiene aggiornata la tabella per gli IP dinamici) si e' schiantato.

E meno male che ho sempre un accesso di emergenza su tutti i miei servers, che altrimenti non l'avrei ancora risolta.

Decisamente una giornata interessante.

Aggiornamento del 08.06.2009:
Ho appena ricevuto una telefonata da TJ... Ha cercato per due giorni in Internet per trovare una rete (privata) che non fosse usata di default da nessun programma.
Ora tutte le richieste arrivano da li e possono chiudere un centinaio di Tickets dei vari proprietari di root-Servers che usano OpenVPN.

Luca Bertoncello
08/06/2009 12:20

Previous elenco Next

le storie degli ospiti sono in ordine sparso, quindi 'precedente' e 'successiva' possono portare su storie di altri autori

Comments are added when and if I (or the story's author) has the time to check them and after removing junk, phishing and so on. So don't hold your breath. Besides, if your comment doesn't get posted, don't write me about it. Evidently it wasn't worth it.

Pigrizia

-AT- anonymous By Luca Bertoncello - posted 04/06/2009 14:47 - reply

-AT- Luca Bertoncello By anonymous - posted 04/06/2009 20:37 - reply

.... By Gabriele Corrieri - posted 08/06/2009 13:17 - reply

Ciao Luca, ci risparmi la fatica di TJ di due giorni e posti la rete che TJ ha trovato? Si sa mai che dovesse servire ... qui non si butta niente

Ciao--
Gabriele

-AT- Gabriele Corrieri By Luca Bertoncello - posted 08/06/2009 15:27 - reply

-AT- Luca Bertoncello By Gabriele Corrieri - posted 08/06/2009 18:42 - reply

-AT- Gabriele Corrieri By Luca Bertoncello - posted 08/06/2009 20:05 - reply

> e perchè mai dovrebbe? perchè due giorni del suo lavoro sono stati resi pubblici? Io non sono così tanto conservativo ... almeno non in tutto ...

In effetti non glie l'ho mica chiesto se potevo pubblicarlo... Ma, visto che e' anche lui un Linux-User e ha gia' sviluppato OpenSource, prendiamolo per consenso implicito...

> Grazie Luca per lo sharing

Semmai grazie TJ

Ciao--
Luca Bertoncello

Previous tales' list Next

This site is made by me with blood, sweat and gunpowder, if you want to republish or redistribute any part of it, please drop me (or the author of the article if is not me) a mail.