Bonjour le FRnOG, Nous avons constaté depuis quelques semaines que nous ne pouvons plus joindre un prefixe d’Orange: 90.1.0.0/16 (AS3215) depuis notre AS (AS50446). Auncun problème pour joindre d’autres prefixe d’Orange (ex: 193.248.0.0/16, 194.51.0.0/16…) (rtt, loss, jitter normal). Pour joindre l’AS3215 nous passons par Cogent et Verizon.
Après recherche, il s’avère que le 90.1.0.0/16 d’Orange a été splité en 2 prefix /17 (90.1.0.0/17 et 90.1.128.0/17) le 24/01/20 et que l’annonce du /16 a disparu. (cf le routing history venant de RIPE stats: https://stat.ripe.net/widget/routing-history#w.resource=90.1.0.0&w.starttime=2018-12-08T00:00:00&w.endtime=2020-03-23T00:00:00) Ces 2 x /17 ne sont pas vu par tout le monde. Déjà via les RCCs du RIPE, la liste des peers voyant les 2x /17 passent de 219 peers contre 269 peers voyant le /16 avant le 24/01. Et en comparant les looking glass de quelques opérateurs: • Le LG d’Opentransit confirme bien qu’il y a 2 x /17 d’annoncés et plus le /16 (https://lg.opentransit.net/) • Les LG de Tata et Telia ne voient pas les /17 (https://lg.telia.net/?type=bgp&router=s-ipx-i1&address=90.1.128.0/17 et http://lg.beta.as6453.net/prefix_bgpmap/mtt/ipv4?q=90.1.128.0/17) • Le LG de Cogent ne voit pas les 2 x /17 et ils ne me sont pas annoncés en BGP (https://www.cogentco.com/fr/network/looking-glass) • Verizon m’annonce les 2 x /17 en BGP. • Le route server de HE voit bien les 2 x /17 (telnet route-server.he.net) Si on regarde les ROA/RPKI, elle est défini pour 90.1.0.0/16 et pas les 2x /17. Elle est considéré comme invalide pour les 2x /17 (pas inconnu, mais bien invalide!). (https://rpki-validator.ripe.net/announcement-preview?asn=AS3215&prefix=90.1.128.0%2F17) Hypothèse: Orange a splité un /16 en 2 x /17 sans mettre à jour la RPKI et leurs annonces se retrouvent filtrées par certains opérateurs. Dans mon cas, c’est problématique, nous avons 2 fournisseurs de transit pour joindre l’AS3215: Cogent et Verizon. Verizon m’annonce bien les 2x /17 mais pas Cogent. La route la plus courte pour Orange pour joindre notre AS passe par Cogent. Donc pour joindre le prefix 90.1.0.0/16, nous sortons via Verizon et Orange essaye de nous répondre par Cogent qui (je suppose) drop le paquet… Comme précisé au début, aucun problème pour joindre d’autres prefix d’Orange via Cogent. Vous auriez un bon contact chez Orange pour démêler ça? (Je ne suis pas client chez eux, donc pas moyen d’ouvrir un ticket). Cordialement, Alexandre BATON
smime.p7s
Description: S/MIME cryptographic signature
