Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Raggiungibilità url da rete Zurich #4766

Open
ludovicointravaia opened this issue Jan 15, 2025 · 24 comments
Open

Raggiungibilità url da rete Zurich #4766

ludovicointravaia opened this issue Jan 15, 2025 · 24 comments

Comments

@ludovicointravaia
Copy link

Buongiorno,
stiamo rilevando problemi nel raggiungimento dei seguenti url dalla rete Zurich Italia:

https://modipa.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C019-servizioAccertamentoEsistenzaVita/v1
https://modipa-val.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C019-servizioAccertamentoEsistenzaVita/v1

Nel dettaglio rileviamo per entrambi i siti un errore di "Connection Timeout" come se le richieste, provenienti dalla nostra LAN, fossero bloccate a livello di firewall.
Vorremmo chiedere, per piacere, un controllo che le chiamate provenienti dalla nostra subnet sorgente (195.28.240.32/28) verso l'ip che caratterizza gli url sopra esposti non sia bloccata per qualche ragione a noi non nota.
Evidenziamo che gli url sono raggiungibili da internet e, da verifiche effettuate sui nostri firewall, le chiamate vengono correttamente instradata verso i vostri apparati ma non ricevono l'ACK di ricezione dei pacchetti.

Vi chiederemmo, per piacere, di prendere quanto prima in considerazione la presente segnalazione.
Vi ringrazio per l'attenzione

Ludovico Intravaia
Technical Specialist BU Italy - IT Operations
IT & Digital Trasformation – COO dept

Mobile: +39. 337.1296707
E-mail: [email protected]
@amollicone1982
Copy link
Collaborator

Le url sono esposte su internet e non hanno nessuna regola firewall. Dovreste vedere sulla vostra rete perchè non uscite

@ludovicointravaia
Copy link
Author

Buongiorno, posso chiedere se è cambiato il certifiato a partire da ottobre 2024?
Nel caso è possibile averlo?

@ludovicointravaia
Copy link
Author

Buongiorno, abbiamo bisogno di un confronto e di un'attività a 4 mani in una riunione.
Dai nostri test, come rilevabile in calce, vediamo un reset della connessione.
La ca-bundle.ct che è stata utilizzata è stata creata prendendo il crt della vostra root e della vostra intermediate.
Il mio parere è che con una riunione dove siamo coinvolti sia noi che voi riusciamo a sveltire le analisi; in tal senso vi chiedo, per piacere, un riscontro.

[new_reporting@gcfpi-08bba5b99 ~]$ curl -v --tlsv1.2 --cacert ./static_curl/ca-bundle.crt --ciphers ECDHE-RSA-AES256-GCM-SHA384 https://modipa.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C019-servizioAccertamentoEsistenzaVita/v1

  • Trying 217.175.50.35:443...
  • Connected to modipa.anpr.interno.it (217.175.50.35) port 443
  • ALPN: curl offers h2,http/1.1
  • Cipher selection: ECDHE-RSA-AES256-GCM-SHA384
  • TLSv1.2 (OUT), TLS handshake, Client hello (1):
  • CAfile: ./static_curl/ca-bundle.crt
  • CApath: none
  • Recv failure: Connection reset by peer
  • OpenSSL SSL_connect: Connection reset by peer in connection to modipa.anpr.interno.it:443
  • Closing connection
    curl: (35) Recv failure: Connection reset by peer

@amollicone1982
Copy link
Collaborator

Buongiorno,
il certificato server è cambiato a marzo 2024. Ma avete provato in validazione?

@ludovicointravaia
Copy link
Author

Buongiorno,
Posso chiedere un meeting nel pomeriggio per sveltire le analisi e capire dove stia l'intoppo?
Abbiamo fatto diversi test nel corso della mattinata (11.26 l'ultimo dei test fatti): è possibile verificare cosa si vede arrivare sui vostri firewall a fronte dei nostri test?
Abbiamo fatto un test dalle macchine di PROD e riceviamo un connection timeout. IP Sorgente 195.28.240.36
Abbiamo fatto un secondo test facendo un tunnel su delle macchine che dovrebbero avere la raggiungibilità (soruce ip: 52.210.28.55) ma abbiamo l'errore sopra evidenziato
Grazie

@amollicone1982
Copy link
Collaborator

Avete provato in validazione? (modipa-val)

Partirei da li'. perche se avete un problema a raggiungere validazione è più facile trovare l'errore

@ludovicointravaia
Copy link
Author

Posso chiedere per piacere la possobilità di avere una breve riunione con voi?

@amollicone1982
Copy link
Collaborator

possiamo anche fare la riunione ma non potrei farle controlli lato firewall inline.

@ludovicointravaia
Copy link
Author

Buongiorno, vorrei metterla in contatto con il nostro esperto di rete in modo da poter sveltire le analisi.
Posso chiederle gentilmente, per piacere, un momento temporale dove risulta disponibile?
La ringrazio

@amollicone1982
Copy link
Collaborator

amollicone1982 commented Jan 17, 2025
edited
Loading

io non mi occupo della parte di rete. come lo ho scritto sopra è necessario programmare i test con la nostra parte infrastrutturale che ha accesso ai firewall.
Se mi confermate che arriverete solo dall'ip 195.28.240.36 faccio richiesta di atttivazione della trace per capire se arrivate

Vi consiglio comunque di fare un passaggio per l'ambiente di validazione e vedere se avete lo stesso errore.

@amollicone1982
Copy link
Collaborator

Aggiungo che altri soggetti avevano problemi simili ai vostri dovuti al provider internet
buona giornata

@thefixxxer75
Copy link

Buongiorno.
La verifica è richiesta per entrambi gli IP Sorgenti dai quali abbiamo testato
IP Sorgente 195.28.240.36
IP Sorgente 52.210.28.55
Mentre dal primo riceviamo un timeout, dal secondo riusciamo a connetterci ma poi ci cassa con un reset by peer.
Sarebbe possibile vedere lato vs. i logs del Firewall per gli IP di cui sopra? E capire se - anche applicativamente - avete dei logs parlanti che ci permettano di capire cosa sta succedendo?
Grazie

@ludovicointravaia
Copy link
Author

Abbiamo provato anche in validazione ottenendo lo stesso errore. Davvero, per favore, vorremmo avere la possibilità di avere una riunione per velocizzare le analisi. Vi ringrazio

@thefixxxer75
Copy link

tra l'altro su VAL noto che la CA è interna e di test....

SSL Certificate:
Signature Algorithm: sha256WithRSAEncryption
RSA Key Strength: 2048

Subject: modipa-val.anpr.interno.it
Altnames: DNS:modipa-val.anpr.interno.it
Issuer: Sogei Certification Authority Test

E qui sotto il risultato del test verso ambiente val

_ 17/01/2025   14:07.29   /home/mobaxterm  curl -v --tlsv1.2 --cacert /drives/c/temp/ca-bundle.crt https://modipa-val.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C019-servizioAccertamentoEsistenzaVita/v1

  • Trying 217.175.50.187:443...
  • Connected to modipa-val.anpr.interno.it (217.175.50.187) port 443
  • ALPN: curl offers http/1.1
  • TLSv1.3 (OUT), TLS handshake, Client hello (1):
  • CAfile: /drives/c/temp/ca-bundle.crt
  • CApath: none
  • TLSv1.3 (IN), TLS handshake, Server hello (2):
  • TLSv1.2 (IN), TLS handshake, Certificate (11):
  • TLSv1.2 (OUT), TLS alert, unknown CA (560):
  • SSL certificate problem: unable to get local issuer certificate
  • Closing connection
    curl: (60) SSL certificate problem: unable to get local issuer certificate
    More details here: https://curl.se/docs/sslcerts.html_

possiamo organizzare la call con Infrastrutture? Fateci sapere asap vs. disponibilità odierna e organizziamo al volo

@amollicone1982
Copy link
Collaborator

Ho richiesto la trace per gli ip segnalati.
Appena è attiva vi chiederò di fare delle prove su
https://modipa.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C019-servizioAccertamentoEsistenzaVita/v1

@ludovicointravaia
Copy link
Author

Per piacere, noi siamo in call qui.
Se ci raggiungete facciamo le cose insieme e velocizziamo il tutto. L'ottimo è avere la partecipazione del vostro gruppo di rete.

Microsoft Teams Serve aiuto?

https://teams.microsoft.com/l/meetup-join/19%3ameeting_Yjc5Nzg1YjItNDEwNC00MjgxLWEyN2UtNWZlYTkyZGMzOTUy%40thread.v2/0?context=%7b%22Tid%22%3a%22473672ba-cd07-4371-a2ae-788b4c61840e%22%2c%22Oid%22%3a%228c9ad2af-939b-4151-83e5-50e091d91313%22%7d

ID riunione: 358 646 260 060

Passcode: E6Ct36PM

@amollicone1982
Copy link
Collaborator

amollicone1982 commented Jan 17, 2025
edited
Loading

Potete provare adesso. Avvertitemi appena fatte

@thefixxxer75
Copy link

ho provato dal 52.210.28.55 ma ricevo sempre lo stesso errore (test effettuato verso https://modipa.anpr.interno.it

@ludovicointravaia
Copy link
Author

ho provato da 195.28.240.36 (che a Dicembre funzionava):

was8dar@b0d03er2 (LNP1-P_Darwin_WAS1) V1004 :/home/was8dar 127
$ curl -v --tlsv1.2 https://modipa.anpr.interno.it/govway/rest/in/MinInternoPortaANPR-PDND/C019-servizioAccertamentoEsistenzaVita/v1

  • Expire in 0 ms for 6 (transfer 0x110057cb0)
  • Expire in 1 ms for 1 (transfer 0x110057cb0)
  • Expire in 0 ms for 1 (transfer 0x110057cb0)
  • Expire in 1 ms for 1 (transfer 0x110057cb0)
  • Expire in 0 ms for 1 (transfer 0x110057cb0)
  • Expire in 0 ms for 1 (transfer 0x110057cb0)
  • Expire in 2 ms for 1 (transfer 0x110057cb0)
  • Expire in 0 ms for 1 (transfer 0x110057cb0)
  • Expire in 0 ms for 1 (transfer 0x110057cb0)
  • Expire in 2 ms for 1 (transfer 0x110057cb0)
  • Expire in 1 ms for 1 (transfer 0x110057cb0)
  • Expire in 1 ms for 1 (transfer 0x110057cb0)
  • Expire in 4 ms for 1 (transfer 0x110057cb0)
  • Expire in 1 ms for 1 (transfer 0x110057cb0)
  • Expire in 1 ms for 1 (transfer 0x110057cb0)
  • Expire in 2 ms for 1 (transfer 0x110057cb0)
  • Trying 217.175.50.35...
  • TCP_NODELAY set
  • Expire in 200 ms for 4 (transfer 0x110057cb0)
  • Connection failed
  • connect to 217.175.50.35 port 443 failed: A remote host did not respond within the timeout period.
  • Failed to connect to modipa.anpr.interno.it port 443: A remote host did not respond within the timeout period.
  • Closing connection 0
    curl: (7) Failed to connect to modipa.anpr.interno.it port 443: A remote host did not respond within the timeout period.

@amollicone1982
Copy link
Collaborator

questo è quello che mi hanno risposto:
Si, unica traccia registrata per 52.210.28.55 che evidenzia problemi di rete da parte del client nel trasferire la request al servizio:

Fri Jan 17 2025 14:52:06 [0x80e00161][mpgw][error] source-https(GovWay_ANPR_Erogatore_HTTPS_FSH): tid(123315471)[52.210.28.55]: Request processing failed: Network Error, from URL: 52.210.28.55:42456

Da 195.28.240.36 non è arrivato nulla.

@thefixxxer75
Copy link

Abbiamo fatto ulteriori verifiche lato FW Zurich

potete controllare se avete un layer ulteriore davanti al vs Firewall (un WAF/DDos) in quanto vediamo uscire i pacchetti 195.28.240.45 che arrivano tranquillamente a voi mentre quelli della 240.36 - a quanto ci avete riferito - non li vedete arrivare.
Quindi, presumibilmente, avete un "AKAMAI-like" o cmq qualcosa che interviene in automatico e blocca il traffico PRIMA che arrivi al firewall.
Potete cortesemente chiedere ad infrastrutture delucidazioni in merito e mettere - nel caso - in whitelist TUTTA la 195.28.240.32/28 (nostra subnet di uscita in internet) in modo da evitare che si venga bloccati a fronte di multiple richieste verso di voi?

Attendiamo vs. riscontro

@thefixxxer75
Copy link

e per favore whitelistate anche la 195.28.240.45/32

@amollicone1982
Copy link
Collaborator

Salve, potreste riprovare?

@ludovicointravaia
Copy link
Author

Buongiorno,
Il nostro sospetto è che l'indirizzo con cui ci manifestiamo verso la vostra rete sia stato, per qualche ragione, posto in blacklist.
A riprova di questo fatto abbiamo cambiato l'indirizzo con cui ci manifestiamo usandone un altro della medesima subnet ed il flusso ora ha ripreso a funzionare.
Vi chiederemmo quindi pertanto un controllo sui vostri sistemi (non so se avete un WAF o qualcos'altro a monte dei vostri firewall) e di mettere in whitelist TUTTA la 195.28.240.32/28

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@thefixxxer75 @amollicone1982 @ludovicointravaia