Journal RFC 3251 : 10.0.0.0/24 est désormais routable sur internet

Posté par (page perso) .
Tags : aucun
1
1
oct.
2012

Je fais un bête test de redondance de VPN : je coupe une connexion, et je regarde si l'autre prend le relai.
Pour vérifier vite-fait si tout est ok, je fait laisse tourner un ping sur le Windows du client.
Super content car il n'y a vraiment aucune coupure. C'en est même étonnant.

Je vais manger un morceau en attendant de voir ça de plus près, car vraiment la coupure ne se sent pas. Je sens le coup foireux.
Je reviens un peu plus tard. Le ping est toujours en route. Il indique que l'autre extrémité répond sans problème… alors que j'ai coupé tout le VPN avant d'aller manger.

C:\Documents and Settings\Administrateur.xxxxx>tracert 10.99.99.2

Détermination de l'itinéraire vers 10.99.99.2 avec un maximum de 30 sauts.

  1    <1 ms    <1 ms    <1 ms  xxxxxx.xxxxxxx.local [192.168.0.5]
  2    27 ms    26 ms    26 ms  xxxxxxxxx.rev.sfr.net [xxxxxxxxxxxx]
  3    27 ms    27 ms     *     85.74.20.93.rev.sfr.net [93.20.74.85]
  4    81 ms    27 ms    26 ms  85.74.20.93.rev.sfr.net [93.20.74.85]
  5    40 ms    40 ms    40 ms  V3793.nic1-co-2.gaoland.net [84.96.251.158]
  6    42 ms    42 ms    41 ms  46.16.88.91.rev.sfr.net [91.88.16.46]
  7    42 ms    42 ms    42 ms  134.16.88.91.rev.sfr.net [91.88.16.134]
  8    41 ms    41 ms    41 ms  138.16.88.91.rev.sfr.net [91.88.16.138]
  9    66 ms    67 ms    67 ms  10.99.99.2

Itinéraire déterminé.

Vous le croyez ça ?!
Ça fonctionne également avec 10.0.0.1 et quelques autres. Je n'ai pas tout testé.

Orange fait également cela sur diverses LS depuis des années. Mais en mieux : il y a souvent des boucles. Les paquets tournent en rond jusqu'à atteindre le TTL. Très fort.

  • # Utiliser moins d'IPv4

    Posté par (page perso) . Évalué à 6.

    C'est une technique courante pour éviter l'allocation de /30 pour les interconnexions entre routeurs. Cela permet d'éviter de gaspiller des adresses IP.

    • [^] # Re: Utiliser moins d'IPv4

      Posté par . Évalué à 10.

      C'est une technique courante pour éviter l'allocation de /30 pour les interconnexions entre routeurs.

      STOP !

      Que quand on fasse un traceroute sur toto.tutu.test un des routeurs externe au LAN soit sur une adresse de la RFC1918 c'est pas super propre mais ça passe. Par contre quand on essaye de faire un traceroute directement sur l'adresse elle même ça devrait répondre "no route to host" en IP et partir en timeout en ICMP. Sinon il y a une vraie erreur de routage.

      • [^] # Re: Utiliser moins d'IPv4

        Posté par (page perso) . Évalué à 3.

        # traceroute 172.26.1.70
        traceroute to 172.26.1.70 (172.26.1.70), 30 hops max, 60 byte packets
         1  192.168.0.1 (192.168.0.1)  5.011 ms  4.984 ms  4.969 ms
         2  1.106.94.80.static.monaco.mc (80.94.106.1)  41.296 ms  36.545 ms  36.544 ms
         3  192.168.18.229 (192.168.18.229)  44.240 ms  44.909 ms  44.895 ms
         4  172.26.1.66 (172.26.1.66)  39.930 ms  40.445 ms  41.146 ms
         5  172.26.1.70 (172.26.1.70)  59.096 ms  59.100 ms  59.739 ms
        
        

        Mmmmhhh. Ça c'est du réseau qu'il est propre, hein ;-)

        Envoyé depuis mon PDP 11/70

  • # Normal

    Posté par . Évalué à 2.

    Interco en IP privée. Comme le dit Vincent, c'est tout à fait classique. Ca ne veut pas dire pour autant que tu peux joindre 10.99.99.2 de chez toi. En gros, ton paquet IP qui véhicule l'ICMP contient l'IP 10.99.99.2 en source et ton IP en destination.

  • # C'est mal!

    Posté par . Évalué à 7.

    La RFC 6752 "Issues with Private IP Addressing in the Internet" est semble-t-il de circonstance.

  • # Chipotage

    Posté par . Évalué à 7.

    La plage non routable c'est pas 10.0.0.0/24 mais 10.0.0.0/8.
    Pour info il y a aussi 172.16.0.0/12 (255.240.0.0) et 192.168.0.0/16 (255.255.0.0) (merci Wikipedia)

    • [^] # Re: Chipotage

      Posté par . Évalué à 5.

      C'est pas du chipotage, moi aussi ça m'a fait mal aux yeux de voir un /24 au lieu d'un /8 :p.

      • [^] # Re: Chipotage

        Posté par (page perso) . Évalué à 7.

        Effectivement, elle est bien gratinée celle là.
        Surtout dans un journal qui râle contre le non respect des règles…

    • [^] # Re: Chipotage

      Posté par (page perso) . Évalué à 1.

      et 100.64.0.0/10

      • [^] # Re: Chipotage

        Posté par (page perso) . Évalué à 1.

        Rajoutons les 3 plages pour la documentation 192.0.2.0/24, 198.51.100.0/24 et 203.0.113.0/24.

  • # pas normal

    Posté par (page perso) . Évalué à 2.

    Les ips ne devraient pas pouvoir sortir, ni rentrer d'ailleurs. ( routeur mal paramétrer )

    Système - Réseau - Sécurité Open Source

  • # C'est pas (encore) Internet

    Posté par . Évalué à 8.

    Si j'ai bien lu ton traceroute, tu n'es pas sur Internet, tu es sur "Internet par SFR". Même si c'est moche, et surement un bug que ca soit annoncé, tu es toujours sur leur réseau privé, et ils utilisent l'adressage qu'ils veulent pour toute la partie interco qui n'a pas a être annoncée ou connue de l'extérieur.

    • [^] # Re: C'est pas (encore) Internet

      Posté par . Évalué à 3.

      Mais cette partie pourrait être "masqué" à l'utilisateur, par du GRE par exemple.

      • [^] # Re: C'est pas (encore) Internet

        Posté par (page perso) . Évalué à 2.

        GRE ne cachera rien.
        Ce serait plutôt une utilisation des VRF (avec ou sans MPLS).

        Mais au sein d'une même AS, c'est n'est pas affolant de voir des IPv4 privée qui sont routable.
        C'est plus quand une AS leak que c'est génant (et encore, normalement le netadmin en entrée de son réseau).

        • [^] # Re: C'est pas (encore) Internet

          Posté par . Évalué à 10.

          LCEB* : Foutaises !

          * Le Compte Est Bon

        • [^] # Re: C'est pas (encore) Internet

          Posté par . Évalué à 5.

          Avec GRE tu peux cacher une partie du chemin.

          Si tu traverse A-B-C-D-E, mais que tu fais un tunnel entre A et E, toute les IP des intercos de B, C et D seront "masqué".

          Sont ils obligé de diffuser les IPs t'intercos ? C'est un choix d'administration comme un autre.

          Après, j'ai hésité aussi à mentionner les VRF/MPLS, parce que ça fait un peu "grosse artillerie" pour certain, même si en fait, c'est relativement simple (sous réserve que le matos le gère bien sûr).

          • [^] # Re: C'est pas (encore) Internet

            Posté par . Évalué à 1.

            Bon tu peux ignorer mon post plus bas /o\
            Bonjour la complexité si tu dois faire ça partout dans ton réseau, surtout si tu t'appelles Orange, SFR ou Free et que t'as des milliers de routeurs dans ton réseau… Et le GRE, c'est pas forcément la panacée à gérer pour des routeurs hardware.

      • [^] # Re: C'est pas (encore) Internet

        Posté par . Évalué à 4.

        Au prix d'une baisse de la MTU, des perf et d'une surchage d'administration. Ca vaut pas le coup

      • [^] # Re: C'est pas (encore) Internet

        Posté par . Évalué à 1.

        Je ne comprends pas ce que GRE serait censé apporter pour ce cas là, tu peux détailler ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.