Conflitto di indirizzo IP con macchine Windows7

[digitel]

Ciao
Ho questo problema che non so come risolvere:

Ho collegato in rete lan un secondo router cisco 877 che utilizzo solo come backup quando il primo 877 o la sua adsl si guastano.

Nel secondo cisco ho una configurazione veramente minima:
Un indirizzo della stessa classe di LAN assegnato alla Vlan1 che e' configurata con nat inside
La ATM0.1 con nat outside
Un nat pool con l'indirizzo IP pubblico di Telecom Italia
Una access list permit any any che punta alla VLAN1

Nulla di piu'.


Il problema :
Finche' non connetto fisicamente il secondo router allo switch di rete, tutte le macchine funzionano perfettamente
Quando lo connetto e accendo una qualsiasi macchina Windows7 (o disabilito e riabilito la scheda di rete) , in queste macchine viene rilevato un conflitto di indirizzo IP che spulciando sul visualizzatore eventi di Windows7 e' riconducibile al MAC address del secondo cisco 877
N.B. tutti i p.c. sono configurati con INDIRIZZO IP STATICO , quindi non c'e' possibilita' di conflitti di sorta.

Le macchine windows7 che hanno un solo indirizzo IP settato sulla scheda di rete, continuano comunque a funzionare nonostante l'errore ,a quelle che hanno piu' indirizzi IP associati alla scheda di rete vengono bloccati tutti gli indirizzi IP secondari.

Ho letto qualcosa riguardo a conflitti di proxy arp ma non ne ho di presenti, qualcosa su ip device tracking ma non l'ho abilitato sugli 877

Avete qualche info in piu' o qualche suggerimento su come affrontare e risolvere il problema ?????

Grazie mille

[scolpi]

se attivi hsrp tra i 2 877 e usi il virtuale come dg per i client? Ovviamente devi poi rendere attivo il primo route e usare il trakking (anche se non ho mai provato se funziona su un'interfaccia atm) per gestire l'eventuale fault dell' atm. Fermo restando che questo non fa capire il perchè di quel comportamento anomalo.

Il server dhcp lo fa il router? Se si con il debug non rivela niente di anomalo?

[digitel]

Ciao

No, assolutamente nessun sistema di fault tolerance automatico, hsrp ecc.

Quando uno non va, attacco fisicamente l'altro e lo imposto come default gateway su qualche macchina

Il DHCP server risiede su un windows server2003 ma viene utilizzato solo per qualche guest occasionale, tutte le macchine sono con ip statico.

n.b. le macchine con windowsXP NON presentano tale problema....

non capisco pero' perche' quelle con win7 non si lamentino con l'877 principale ma solo con il secondario (che ripeto veramente non ha quasi nulla di configurato tranne Vlan1 Atm e nat)....

Misteri del networking......

[scolpi]

Questo si verifica anche dopo che dal nuovo 877 fai un ping verso un client? Mi spiego meglio, se il client x presenta il problema, allora dal router pinghi il client x, questo poi come si comporta? Se funziona il problema è legato al gratuitos arp.

Se sui due route dai un

Codice: Seleziona tutto

sh run all | i arp

che ottieni?

Io per esempio sul mio 877 ho:

Router_ADSL#sh run all | i arp
no ip gratuitous-arps
ip proxy-arp
ip proxy-arp
ip proxy-arp
ip proxy-arp
ip proxy-arp
ip prooxy-arp

Come vedi è disabilitato, probabilmente l'877 che hai come muletto lo ha disabilitato e deduco che anche lo stack tcp di win7 lo abbia disabilitato, mentre xp no e così si spiega il perchè sol win7 ha problemi.

Spero di averci azzeccato

[digitel]

Dando il comando:

sh run all | i arp

il router primario (quello che non da problemi ) non mi restituisce NULLA

il router di "backup" che crea problemi con WIN7 mi restituisce :

ip arp queue 512
ip proxy-arp
ip proxy-arp
ip proxy-arp

Come mi devo comportare ???

Grazie mille

[scolpi]

Mi sarei aspettato che sul 877 di back up fosse disabilitato il gratuitous-arps, invece non lo è. Essendo abilitato, il router appena la vlan va up lui fa una richiesta arp in modo che i vari client nella rete possano aggiornare la propria tabella arp.

Ovviamente averlo abilitato espoane la rete a problemi di sicurezza visto che un qualsiasi client può fare una richiesta arp e spacciarsi come DG per la rete facendo così un attacco man-in-the-middle.

Io intanto lo disabiliterei col comando:

Codice: Seleziona tutto

no ip gratuitous-arps

ora ai client non dovrebbe + arrivare un arp con ip del DG associato ad un mac address diverso e magari era proprio questo che causava il messaggio di errore. Ora, dovrò essere il client però ad aggiornare la sua arp e cercando in internet il timeout della cache arpe su win7 varia tra i 15 e i 45 secondi.

http://support.microsoft.com/kb/949589

Non so però se il timer scada anche se l'applicazione che sta girando sul client sta tentando di andare in internet e quindi continua ad usare la corrispondenza mac e ip del 877 originale.

Mi sa che è un problema difficile da risolvere senza mettere le mani su win e io onestamente di win me ne intendo poco