RE: [FRnOG] [TECH] IPv4 privée sur internet ?!

[Michel Py]

> Cécile MORANGE a écrit :
> L’objectif du VPN est de faire ceci :
> 10.10.1.254 -> 192.168.4.250 -> 192.168.4.249 -> 10.10.2.251

Ce n'est qu'un coté des choses, il faudrait aussi voir un trace de 10.10.2.251 
vers 10.10.1.254, dans l'autre sens.

Ca me parait clair que R1 n'a pas de route vers 10.20.2.251, donc çà part par 
la route par défaut qui sort vers l'Internet.
Probablement ip route 10.10.2.0 255.255.255.0 192.168.4.249 résoudrait le 
problème à cour terme.

Bonne occasion d'apprendre un protocole de routage interne, EIGRP (mon 
préféré), OSPF, ou RIPv2.
Les routes statiques, c'est de la bidouille crade.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv4 privée sur internet ?!

[Thierry Chich]

Bonjour

Effectivement, le plus probable, c'est qu'après le routeur 10.4.191.254, 
l'IP 10.10.1.251 soit nattée.


Sinon, l'inconvénient que je vois au fait de faire un tunnel IPSEC entre 
deux routeur qui sont connectés directement en niveau 2 sur , c'est que 
pour les VPN IPSEC, il faut configurer le left next hop et le right next 
hop, et que là, ils vont être confondus avec l'adresse de destination. 
Du point de vue pédagogique, c'est pas top.


Le 05/12/2019 à 15:43, Cécile MORANGE a écrit :

Hello la liste,
Petite question (bête, probablement) sur l’infra de mon école.
En essayant de monter un VPN entre deux routeur, je me rends compte que non 
seulement mon VPN ne fonctionne pas, mais qu’il m’envoie mes IP locales sur 
internet (!).

L’objectif du VPN est de faire ceci :
10.10.1.254 -> 192.168.4.250 -> 192.168.4.249 -> 10.10.2.251
(oui on doit faire un VPN avec deux IP dans le même plage, on passera ce point)
Soit :
R1 LAN -> R1 « Wan » -> R2 « Wan » -> R2 LAN

Mais à ma grande surprise, ça me donne :
- Depuis mon PC, en 10.10.1.150 :

C:\Users\Admin>tracert 10.10.2.251
Détermination de l’itinéraire vers 10.10.2.251 avec un maximum de 30 sauts.
   1 1 ms 3 ms 3 ms  10.10.1.254 -> la patte LAN de R1
   2 2 ms 1 ms 1 ms  192.168.4.1 -> le routeur de l’école, qui fait 
gateway
   3 *** Délai d’attente de la demande dépassé.
   4 **   16 ms  10.4.191.254
   5 *   14 ms14 ms  185.43.68.29
   613 ms13 ms16 ms  185.43.68.22
   7 *** Délai d’attente de la demande dépassé.
   8 *   20 ms14 ms  te2-2-71.bbn-sde-1.nerim.net [194.79.133.1]
   9   109 ms   110 ms   118 ms  194.79.131.86
  10 *  112 ms   114 ms  194.79.131.109
  1189 ms92 ms29 ms  te2-3-173.bbn-cbe-1.nerim.net [194.79.128.126]
  12 *  111 ms * 194.79.128.210
  13 *** Délai d’attente de la demande dépassé.
  14 **  110 ms  ge1-0-1-182.edg-cbe-3.nerim.net 
[194.79.131.109]
  1523 ms14 ms14 ms  te2-3-173.bbn-cbe-1.nerim.net [194.79.128.126]
Et ca boucle après.

- Depuis le Cisco 881 (R1) :

R1#traceroute 10.10.2.251 source 192.168.4.250
Type escape sequence to abort.
Tracing the route to 10.10.2.251
VRF info: (vrf in name/id, vrf out name/id)
   1 192.168.4.1 4 msec 0 msec 0 msec -> le routeur de l’école, qui fait 
gateways
   2 10.4.191.89 12 msec 12 msec 12 msec
   3 10.4.191.254 12 msec 12 msec 16 msec
   4 185.43.68.29 12 msec 12 msec 16 msec
   5 185.43.68.22 12 msec 16 msec 12 msec
   6 185.43.68.9 12 msec 12 msec 12 msec
   7 194.79.129.2 [MPLS: Labels 434/17 Exp 0] 12 msec 12 msec 12 msec
   8 194.79.131.86 [MPLS: Labels 984/16 Exp 0] 12 msec *  *
   9  *  *  *
  10  *  *  *
  11  *  *  *
  12 194.79.131.242 76 msec 112 msec 108 msec
  13  *  * 194.79.131.142 [MPLS: Labels 852/16 Exp 0] 108 msec
  14 194.79.131.141 [MPLS: Labels 13456/16 Exp 0] 112 msec *  *
  15  *  *  *
Et ca boucle après.

Ma question est pourquoi mon IP privée arrive à atterrir chez Nerim ?! (Désolé 
d’ailleurs si il y a des personnes de Nerim dans la liste, en espérant que ça 
vous impacte pas)
Il n’y a pas des protections pour drop le traffic des IPs RFC 1918 vers 
l’extérieur ?
Je trouve ça plutôt étonnant, et j’imagine que ça peut perturber le réseau de 
l’opérateur…
  
Si vous pouvez m’éclairer…

Merci d’avance !

Cordialement,

Cécile MORANGE
cont...@cecilemorange.fr
@AtaxyaNetwork


---
Liste de diffusion du FRnOG
http://www.frnog.org/

--





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv4 privée sur internet ?!

[David Ponzone]

Comme suggéré par Paul, essaie de pinger 1.1.1.1 depuis ton IP, pour voir si y 
a un NAT imprévu quelque part.
Le Cisco est géré par vous, il a donc une ACL qui translate tout ce qui est 
RFC1918.

Nerim peut aussi avoir décidé de ne pas filtrer en ingress venant des clients 
car ils ont besoin de certaines Ils privées pour des trucs internes (serveur 
d’autoprovisioning, etc…).


> Le 5 déc. 2019 à 15:43, Cécile MORANGE  a écrit :
> 
> Hello la liste,
> Petite question (bête, probablement) sur l’infra de mon école. 
> En essayant de monter un VPN entre deux routeur, je me rends compte que non 
> seulement mon VPN ne fonctionne pas, mais qu’il m’envoie mes IP locales sur 
> internet (!).
> 
> L’objectif du VPN est de faire ceci :
> 10.10.1.254 -> 192.168.4.250 -> 192.168.4.249 -> 10.10.2.251
> (oui on doit faire un VPN avec deux IP dans le même plage, on passera ce 
> point)
> Soit :
> R1 LAN -> R1 « Wan » -> R2 « Wan » -> R2 LAN 
> 
> Mais à ma grande surprise, ça me donne : 
> - Depuis mon PC, en 10.10.1.150 :
> 
> C:\Users\Admin>tracert 10.10.2.251
> Détermination de l’itinéraire vers 10.10.2.251 avec un maximum de 30 sauts.
>  1 1 ms 3 ms 3 ms  10.10.1.254 -> la patte LAN de R1
>  2 2 ms 1 ms 1 ms  192.168.4.1 -> le routeur de l’école, qui fait 
> gateway
>  3 *** Délai d’attente de la demande dépassé.
>  4 **   16 ms  10.4.191.254
>  5 *   14 ms14 ms  185.43.68.29
>  613 ms13 ms16 ms  185.43.68.22
>  7 *** Délai d’attente de la demande dépassé.
>  8 *   20 ms14 ms  te2-2-71.bbn-sde-1.nerim.net [194.79.133.1]
>  9   109 ms   110 ms   118 ms  194.79.131.86
> 10 *  112 ms   114 ms  194.79.131.109
> 1189 ms92 ms29 ms  te2-3-173.bbn-cbe-1.nerim.net [194.79.128.126]
> 12 *  111 ms * 194.79.128.210
> 13 *** Délai d’attente de la demande dépassé.
> 14 **  110 ms  ge1-0-1-182.edg-cbe-3.nerim.net 
> [194.79.131.109]
> 1523 ms14 ms14 ms  te2-3-173.bbn-cbe-1.nerim.net [194.79.128.126]
> Et ca boucle après.
> 
> - Depuis le Cisco 881 (R1) :
> 
> R1#traceroute 10.10.2.251 source 192.168.4.250
> Type escape sequence to abort.
> Tracing the route to 10.10.2.251
> VRF info: (vrf in name/id, vrf out name/id)
>  1 192.168.4.1 4 msec 0 msec 0 msec -> le routeur de l’école, qui fait 
> gateways
>  2 10.4.191.89 12 msec 12 msec 12 msec
>  3 10.4.191.254 12 msec 12 msec 16 msec
>  4 185.43.68.29 12 msec 12 msec 16 msec
>  5 185.43.68.22 12 msec 16 msec 12 msec
>  6 185.43.68.9 12 msec 12 msec 12 msec
>  7 194.79.129.2 [MPLS: Labels 434/17 Exp 0] 12 msec 12 msec 12 msec
>  8 194.79.131.86 [MPLS: Labels 984/16 Exp 0] 12 msec *  *
>  9  *  *  *
> 10  *  *  *
> 11  *  *  *
> 12 194.79.131.242 76 msec 112 msec 108 msec
> 13  *  * 194.79.131.142 [MPLS: Labels 852/16 Exp 0] 108 msec
> 14 194.79.131.141 [MPLS: Labels 13456/16 Exp 0] 112 msec *  *
> 15  *  *  *
> Et ca boucle après.
> 
> Ma question est pourquoi mon IP privée arrive à atterrir chez Nerim ?! 
> (Désolé d’ailleurs si il y a des personnes de Nerim dans la liste, en 
> espérant que ça vous impacte pas)
> Il n’y a pas des protections pour drop le traffic des IPs RFC 1918 vers 
> l’extérieur ? 
> Je trouve ça plutôt étonnant, et j’imagine que ça peut perturber le réseau de 
> l’opérateur…
> 
> Si vous pouvez m’éclairer…
> Merci d’avance !
> 
> Cordialement,
> 
> Cécile MORANGE 
> cont...@cecilemorange.fr
> @AtaxyaNetwork
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv4 privée sur internet ?!

[Clement Cavadore]

On Thu, 2019-12-05 at 15:43 +0100, Cécile MORANGE wrote:
> Ma question est pourquoi mon IP privée arrive à atterrir chez
> Nerim ?! 

De ce que je comprends de ton traceroute, ton école est cliente d'une
boite qui s'appelle Generis (AS201084), laquelle est cliente transit de
Nerim (AS13193). Et probablement que Generis a une route par défaut
vers Nerim.

Du coup, ton paquet à destination de 10.10.2.251 est routé jusqu'a ce
que Nerim ne sache plus où l'envoyer. C'est du routage "par
destination", et RFC1918 est "routable" techniquement, c'est juste
qu'on n'est pas supposé voir de paquets ayant comme source ou
destination du RFC1918 (entre autres) sur internet.


Normalement:
- ton école ne devrait pas permettre d'envoyer du RFC1918 vers
l'extérieur (mais on leur pardonne, ce n'est pas leur métier que de
faire de l'accès à Internet).

- le FAI de ton école, Generis, ne devrait pas accepter des paquets
ayant comme IP source autre chose que la (ou les) adresses(s) IP(s)
qu'il a assigné à ton école. 
Note que c'est peut être le cas, si ca se trouve ton école NATe l'IP
source, et donc le FAI voit une IP publique tentant de discuter avec
une IP privée, et ne devrait juste pas accepter de paquets a
destination de subnets RFC1918 sur les liaisons client.

- le FAI du FAI de ton école, Nerim, ne devrait pas, de la même facon,
accepter des paquets à destination de subnets RFC1918 sur les liaisons
de ses client.


Bref, rien d'anormal, juste une série de configurations un peu large au
niveau des filtres/ACL (qui sont classiques dans le milieu, je n'ai pas
vu beaucoup de monde -moi y compris- implémenter ce genre de filtres en
ingress). Aucun impact sérieux pour qui que ce soit, au passage, le
réseau de Nerim drop les paquets lorsque le TTL est dépassé.


-- 
Clément Cavadore


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv4 privée sur internet ?!

[Quentin Leconte]

Bonjour Cécile,

Peux-tu nous donner la table de routage de ton routeur R1 s'il te plait ?

--
Quentin Leconte

Le 05/12/2019 15:44, « Cécile MORANGE »  a écrit :

Hello la liste,
Petite question (bête, probablement) sur l’infra de mon école. 
En essayant de monter un VPN entre deux routeur, je me rends compte que non 
seulement mon VPN ne fonctionne pas, mais qu’il m’envoie mes IP locales sur 
internet (!).

L’objectif du VPN est de faire ceci :
10.10.1.254 -> 192.168.4.250 -> 192.168.4.249 -> 10.10.2.251
(oui on doit faire un VPN avec deux IP dans le même plage, on passera ce 
point)
Soit :
R1 LAN -> R1 « Wan » -> R2 « Wan » -> R2 LAN 

Mais à ma grande surprise, ça me donne : 
- Depuis mon PC, en 10.10.1.150 :

C:\Users\Admin>tracert 10.10.2.251
Détermination de l’itinéraire vers 10.10.2.251 avec un maximum de 30 sauts.
  1 1 ms 3 ms 3 ms  10.10.1.254 -> la patte LAN de R1
  2 2 ms 1 ms 1 ms  192.168.4.1 -> le routeur de l’école, qui 
fait gateway
  3 *** Délai d’attente de la demande dépassé.
  4 **   16 ms  10.4.191.254
  5 *   14 ms14 ms  185.43.68.29
  613 ms13 ms16 ms  185.43.68.22
  7 *** Délai d’attente de la demande dépassé.
  8 *   20 ms14 ms  te2-2-71.bbn-sde-1.nerim.net [194.79.133.1]
  9   109 ms   110 ms   118 ms  194.79.131.86
 10 *  112 ms   114 ms  194.79.131.109
 1189 ms92 ms29 ms  te2-3-173.bbn-cbe-1.nerim.net 
[194.79.128.126]
 12 *  111 ms * 194.79.128.210
 13 *** Délai d’attente de la demande dépassé.
 14 **  110 ms  ge1-0-1-182.edg-cbe-3.nerim.net 
[194.79.131.109]
 1523 ms14 ms14 ms  te2-3-173.bbn-cbe-1.nerim.net 
[194.79.128.126]
Et ca boucle après.

- Depuis le Cisco 881 (R1) :

R1#traceroute 10.10.2.251 source 192.168.4.250
Type escape sequence to abort.
Tracing the route to 10.10.2.251
VRF info: (vrf in name/id, vrf out name/id)
  1 192.168.4.1 4 msec 0 msec 0 msec -> le routeur de l’école, qui fait 
gateways
  2 10.4.191.89 12 msec 12 msec 12 msec
  3 10.4.191.254 12 msec 12 msec 16 msec
  4 185.43.68.29 12 msec 12 msec 16 msec
  5 185.43.68.22 12 msec 16 msec 12 msec
  6 185.43.68.9 12 msec 12 msec 12 msec
  7 194.79.129.2 [MPLS: Labels 434/17 Exp 0] 12 msec 12 msec 12 msec
  8 194.79.131.86 [MPLS: Labels 984/16 Exp 0] 12 msec *  *
  9  *  *  *
 10  *  *  *
 11  *  *  *
 12 194.79.131.242 76 msec 112 msec 108 msec
 13  *  * 194.79.131.142 [MPLS: Labels 852/16 Exp 0] 108 msec
 14 194.79.131.141 [MPLS: Labels 13456/16 Exp 0] 112 msec *  *
 15  *  *  *
Et ca boucle après.

Ma question est pourquoi mon IP privée arrive à atterrir chez Nerim ?! 
(Désolé d’ailleurs si il y a des personnes de Nerim dans la liste, en espérant 
que ça vous impacte pas)
Il n’y a pas des protections pour drop le traffic des IPs RFC 1918 vers 
l’extérieur ? 
Je trouve ça plutôt étonnant, et j’imagine que ça peut perturber le réseau 
de l’opérateur…
 
Si vous pouvez m’éclairer…
Merci d’avance !

Cordialement,

Cécile MORANGE 
cont...@cecilemorange.fr
@AtaxyaNetwork


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPv4 privée sur internet ?!

[Paul Rolland (ポール・ロラン)]

Hello,

On Thu, 5 Dec 2019 15:43:50 +0100
Cécile MORANGE  wrote:

> Ma question est pourquoi mon IP privée arrive à atterrir chez Nerim ?!

Es-tu sure qu'elle n'est pas NAT'ee par ton routeur, tout simplement... et
qu'elle devient donc une IP "publique" ?
Ou bien alors certains operateurs ne filtrent pas les portes clients, et
routent tout ce qui arrive ?

> (Désolé d’ailleurs si il y a des personnes de Nerim dans la liste, en
> espérant que ça vous impacte pas) Il n’y a pas des protections pour drop
> le traffic des IPs RFC 1918 vers l’extérieur ? Je trouve ça plutôt
> étonnant, et j’imagine que ça peut perturber le réseau de l’opérateur…

Qui gere ce routeur ? toi ? Dans ce cas, ca serait plutot des filtres pour
drop le traffic IP qui rentrent chez eux ;)

Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/