sidetech

(元)インフラエンジニアの寄り道メモ。

結局NATとVRRPにハマって更にFTPSに悩む。

くそー。あんだけ検証したのになぁ・・・。とは言え不安があったのも確かでした・・・。
マスカレードの処理をはずしただけでこうも色々と影響するとは・・・とほほ。

仕方ないので、全て遠隔でVRRP記述の解除を行ってスタンドアロン化してバックアップ機は待機にもならないただのルーターに・・・。VIPから実IPに変更するのに全て遠隔操作だったんでちょっとドキドキしました[E:coldsweats01]
結局ですね、VRRPとNATの戦いは・・・
 
ここでの、「 VRRPとNATとの連携」の記事の通りとなってですね・・・。
やっぱりARPがどっかすっ飛んじまうようです。
NECのIXシリーズだとなんとか出来そうなんですけど・・・ふーむ。
 
うーん。Juniper機器でなんも気にせずやってた事だったもんで盲点でした。
機器構成変更しよ・・・。
 
あとね、同時にハマったのがFTPSです。
通常はtcp/990を使うらしいのですが、今回はtcp/21とFTPと同じ。。。
ImplicitモードかExplicitモードかで動きがちゃうとのこと・・・。
そもそもYAMAHA RTXでFTPSを解釈出来るのか?tcp/990だったらYAMAHA標準のニーモニックではないので、パススルーしそうなんですが、特に文献がなさそう。。。
で、多分tcp/21を使うと強制的にYAMAHAFTPニーモニック処理がはいっちゃうんじゃないかと推測。
そして、別の環境でも同様の通信障害報告があり・・・そちらはJuniper SRX。ポリシーログを見ている限りでは通信しているように見えるのに・・・何故だ。
そして、FTPSの通信が問題なく成功しているルートはPaloalto3020を使ったルート。
 
ここで仮説による整理
・Juniper SRXについてはALGの問題が絡んでいると推測。
YAMAHA RTXについてはtcp/21を避けるために標準ポートでやってみる感じ
 
Juniperの方はKBで解決出来そうだった。
 
>The FTPS implicit mode is currently not supported.
 
わーぉ[E:coldsweats02]
ただ、Explicitであれば対応できそう。つまりは最初にALGが判断するための情報が必要という事なんだろうな・・・。
 
#set security alg ftp ftps-extension
 
コマンドでしか出来ないっぽいね・・・。適用した所、通信が出来るようになったと連絡有り。
 
あとは、YAMAHAではどうなるのか・・・結果次第では・・・[E:despair]
 
しかし、RFCからなくなった手法はほんとにもうやめて欲しいっす[E:bearing]