C'est courant dans les grandes structures, exemple : en dehors de CA, l'ensemble des grandes banques utilisent des IP publiques de tiers en France sur une partie de leur réseau privé local.
Voilà ce que j'en dis dans un document sur le déploiement d'IPv6 à publier prochainement: La RFC 1918 offre 17 891 328 IPv4, cela ne représente jamais que 70 000 réseaux en /24. De nombreuses organisations ont déjà atteint la limite du stock, pour de multiples raisons. Affectation par entité, gaspillage et surallocation, non récupération des adresses lors du décommissionnement d’équipements ou de sites, volonté d’agréger les routes remontant à une époque où les routeurs ne supportaient qu’un faible nombre de routes, transmission à des filiales revendues mais avec lesquelles des liens persistent, … Si le NAT44 peut répondre de façon inconfortable aux liaisons vers des partenaires et des entités fraichement acquises, il est souvent impensable de découper son entreprise en différents périmètres se recouvrant ; bien que ce cas de figure existe aussi. D’autres prennent la voie de l’usurpation, et exploitent sur leur réseau interne des IP qui appartiennent à autrui avec plus ou moins de tact. On retrouve 2 camps : -Les prudents, qui mettent en œuvre du double NAT44 et créent un véritable sas compartimentant le routage en bordure d’internet. Le trafic est natté 2 fois et peut sans problème avoir la même IP en source et en destination, le NAT masquant un autre NAT, l’écran est total. Ces prudents se retrouvent bien dépourvus quand un fournisseur cloud leur recommande d’annoncer l’IP public d’un service sur leur backbone interne. Que faire si jamais cette vraie IP publique en recouvre une usurpée du LAN ? D’autant plus qu’un fournisseur peut imposer de nouvelles IP avec seulement quelques semaines de prévenance. Scénario de SF ? Du tout ! Un exemple concret parfait est l’utilisation de la solution de communication de Microsoft, TEAMS. Ce dernier recommande en effet de limiter les traitements intermédiaires à un seul NAT, pour des raisons expliquées plus haut dans ce document. -Les confiants, qui exploitent des IP qui ne seront jamais annoncées sur internet comme celles du département Américain de la Défense (DoD) : 6.0.0.0/8 7.0.0.0/8 11.0.0.0/8 21.0.0.0/8 22.0.0.0/8 26.0.0.0/8 28.0.0.0/8 29.0.0.0/8 30.0.0.0/8 33.0.0.0/8 55.0.0.0/8 214.0.0.0/8 215.0.0.0/8 Enfin, ça c’est la théorie car fin 2019 la section 1088 de la loi de budget du DoD prévoyait de vendre ces plages dans les 10 ans. Cependant l’article n’a pas passé le Sénat. Mais qu’en est-il si une copie revient un jour ? Rien à craindre dans le 117e congrès de fin 2020. https://www.congress.gov/bill/116th-congress/senate-bill/1790/text/eah#toc-H3733C370A69A4095B62B213B52530170 Si jamais ces adresses se retrouvaient en vente, nul doute qu’une partie finirait dans les mains des principaux fournisseurs cloud. Si vous approchez de la fin de la RFC 1918, vous pouvez étudier l’usage de la plage RFC 6598 100.64/10 réservée au NAT44 opérateur afin de partager des IPv4 entre abonnés avec un Carrier Grade Nat. Reste qu’il est recommandé de ne pas assigner ces adresses à des équipements opérateurs comme des routeurs MPLS ou de les exploiter sur des infrastructures cloud, sauf après validation du fournisseur. Aucun problème en revanche à exploiter cette plage pour ses campus utilisateurs par exemple. Certaines entreprises le font déjà, y compris en France. Enfin, si vous êtes joueur, vous pouvez tenter d’utiliser l’ex classe E (240/4). Celle située aux confins d’IPv4, après la section multicast. Réservée pour un usage futur qui ne viendra jamais et inutilisable chez les équipementiers qui reconnaissent d’ailleurs que le travail nécessaire pour normaliser cette plage mettrait plus de temps à atteindre l’ensemble des parcs déployés que de migrer vers IPv6. En vrai n’essayez pas, sauf en lab par pure curiosité. ----------- Il y'a aussi les riches qui s'ignorent et ont des millions de vraies IPv4 publiques, ne les annoncent pas et les utilisent en interne (oui oui ça existe encore) Jean-Charles BISECCO -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Richard MATOS Envoyé : mardi 16 mars 2021 11:16 À : frnog-tech <frnog-t...@frnog.org> Objet : [FRnOG] [TECH] Subnet ip publique sur LAN Salut la liste, J'ai un client qui utilise un plage d'adresse ip publique sur son LAN, est-ce que certains parmi vous ont rencontré ce cas de figure ? Si oui quelle solution avez-vous implémenté? Merci -- Richard MATOS --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
