RE: [FRnOG] Re: [TECH] NAT et IP hors RFC-1918
Christopher Nolan, sors de ce corps ! -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Oliver varenne Envoyé : vendredi 25 septembre 2020 10:56 Cc : frnog-tech Objet : RE: [FRnOG] Re: [TECH] NAT et IP hors RFC-1918 En l'occurrence, si je suis cette personne, je reviens dans le temps AVANT que cela soit mis en place, et ainsi j'empêche la personne de le faire. Donc, en gros, tant que tu te fais pas agresser, c'est que le voyage dans le temps n'existe pas... C'est décevant ☹ Mais en meme temps, tant que tu ne le fais pas, tu n'as pas d'occasion de te faire agresser... C'est une situation inextricable ! Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! -Message d'origine- De : frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> mailto:frnog-requ...@frnog.org>> De la part de Stephane Bortzmeyer Envoyé : mercredi 23 septembre 2020 17:20 À : A Gaillard mailto:adrien...@gmail.com>> Cc : frnog-tech mailto:frnog-t...@frnog.org>> Objet : [FRnOG] Re: [TECH] NAT et IP hors RFC-1918 On Wed, Sep 23, 2020 at 04:59:35PM +0200, A Gaillard mailto:adrien...@gmail.com>> wrote a message of 49 lines which said: >- Trouver une solution à base de double NAT Attention, la personne qui viendra maintenir celà dans N années va vous maudire, et inventer le voyage dans le temps pour revenir dans le passé vous agresser. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] NAT et IP hors RFC-1918
En l'occurrence, si je suis cette personne, je reviens dans le temps AVANT que cela soit mis en place, et ainsi j'empêche la personne de le faire. Donc, en gros, tant que tu te fais pas agresser, c'est que le voyage dans le temps n'existe pas... C'est décevant ☹ Mais en meme temps, tant que tu ne le fais pas, tu n'as pas d'occasion de te faire agresser... C'est une situation inextricable ! Cordialement, Olivier Varenne Co-gérant, Commercial & Développeur T +33 (0)4 27 04 40 00 | ipconnect.fr Suivez-nous ! -Message d'origine- De : frnog-requ...@frnog.org De la part de Stephane Bortzmeyer Envoyé : mercredi 23 septembre 2020 17:20 À : A Gaillard Cc : frnog-tech Objet : [FRnOG] Re: [TECH] NAT et IP hors RFC-1918 On Wed, Sep 23, 2020 at 04:59:35PM +0200, A Gaillard wrote a message of 49 lines which said: >- Trouver une solution à base de double NAT Attention, la personne qui viendra maintenir celà dans N années va vous maudire, et inventer le voyage dans le temps pour revenir dans le passé vous agresser. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] NAT et IP hors RFC-1918
Sinon, il y a la rfc 6598, ou nat4 qui m'avait semblé être juste faite pour ça. My 2 cts Ludovic Téléchargez Outlook pour Android<https://aka.ms/ghei36> From: frnog-requ...@frnog.org on behalf of Thierry Chich Sent: Thursday, September 24, 2020 4:44:20 PM To: 'A Gaillard' ; 'Stephane Bortzmeyer' Cc: 'frnog-tech' Subject: RE: [FRnOG] Re: [TECH] NAT et IP hors RFC-1918 Bonjour Il y a quelque chose qui m'échappe peut-être, mais normalement, on devrait avoir besoin des 2 procédés en même temps. Admettons que j'ai un réseau A qui veut joindre un réseau B partageant exactement le même subnet. Sans double NAT, ça ne peut pas fonctionner. Et sans NAT-DNS non plus. Pour rendre cela plus maintenable, il y a des fonctionnalités sympathiques disponibles soient dans les routeurs cisco, soit dans iptables qui permettent de nater en une seul ligne de commande tout un réseau entier en faisant un décalage d'octet. 192.168.0.0/16 est natté sur 172.16.0.0/16 par exemple. La machine 192.168.210.12 deviendra 172.16.210.12. En le faisant deux fois de suite, on peut tout à fait faire mapper des plans d'adressage recouvrant. Et comme dnsmasq a une fonction assez similaire pour transformer en vol les résolutions DNS, ça peut constituer une solution pour une situation qui n'est évidemment pas idéale et ralalalalal pourquoi on ne passe pas à IPv6, je vous le demande. Je précise que si j'ai bien testé la solution à base de iptables et que j'ai vu fonctionner le système avec des ASR cisco, en revanche, je n'ai pas implanté le système avec DNSmasq, donc je ne peux pas vraiment garantir que c'est opérationnel. Cordialement Thierry -Message d'origine- De : frnog-requ...@frnog.org De la part de A Gaillard Envoyé : mercredi 23 septembre 2020 17:41 À : Stephane Bortzmeyer Cc : frnog-tech Objet : [FRnOG] Re: [TECH] NAT et IP hors RFC-1918 Exact pour vos 2 remarques : 1. En effet on ne pourra jamais régler le problème d'overlap pour ces machines, mais j'aimerais bien trouver une solution pour que les machines du réseau adressées normalement ne voient pas cet overlap : Ce n'est pas l'objectif du DNS-NAT in fine ? 2. Tu as raison Stéphane, je retire la solution de double NAT de la liste pour éviter de devoir longer les murs dans les prochains jours ! Adrien. Le mer. 23 sept. 2020 à 17:20, Stephane Bortzmeyer a écrit : > On Wed, Sep 23, 2020 at 04:59:35PM +0200, A Gaillard > wrote a message of 49 lines which said: > > >- Trouver une solution à base de double NAT > > Attention, la personne qui viendra maintenir celà dans N années va > vous maudire, et inventer le voyage dans le temps pour revenir dans le > passé vous agresser. > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] NAT et IP hors RFC-1918
Bonjour Il y a quelque chose qui m'échappe peut-être, mais normalement, on devrait avoir besoin des 2 procédés en même temps. Admettons que j'ai un réseau A qui veut joindre un réseau B partageant exactement le même subnet. Sans double NAT, ça ne peut pas fonctionner. Et sans NAT-DNS non plus. Pour rendre cela plus maintenable, il y a des fonctionnalités sympathiques disponibles soient dans les routeurs cisco, soit dans iptables qui permettent de nater en une seul ligne de commande tout un réseau entier en faisant un décalage d'octet. 192.168.0.0/16 est natté sur 172.16.0.0/16 par exemple. La machine 192.168.210.12 deviendra 172.16.210.12. En le faisant deux fois de suite, on peut tout à fait faire mapper des plans d'adressage recouvrant. Et comme dnsmasq a une fonction assez similaire pour transformer en vol les résolutions DNS, ça peut constituer une solution pour une situation qui n'est évidemment pas idéale et ralalalalal pourquoi on ne passe pas à IPv6, je vous le demande. Je précise que si j'ai bien testé la solution à base de iptables et que j'ai vu fonctionner le système avec des ASR cisco, en revanche, je n'ai pas implanté le système avec DNSmasq, donc je ne peux pas vraiment garantir que c'est opérationnel. Cordialement Thierry -Message d'origine- De : frnog-requ...@frnog.org De la part de A Gaillard Envoyé : mercredi 23 septembre 2020 17:41 À : Stephane Bortzmeyer Cc : frnog-tech Objet : [FRnOG] Re: [TECH] NAT et IP hors RFC-1918 Exact pour vos 2 remarques : 1. En effet on ne pourra jamais régler le problème d'overlap pour ces machines, mais j'aimerais bien trouver une solution pour que les machines du réseau adressées normalement ne voient pas cet overlap : Ce n'est pas l'objectif du DNS-NAT in fine ? 2. Tu as raison Stéphane, je retire la solution de double NAT de la liste pour éviter de devoir longer les murs dans les prochains jours ! Adrien. Le mer. 23 sept. 2020 à 17:20, Stephane Bortzmeyer a écrit : > On Wed, Sep 23, 2020 at 04:59:35PM +0200, A Gaillard > wrote a message of 49 lines which said: > > >- Trouver une solution à base de double NAT > > Attention, la personne qui viendra maintenir celà dans N années va > vous maudire, et inventer le voyage dans le temps pour revenir dans le > passé vous agresser. > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] NAT et IP hors RFC-1918
Bonjour Adrien, Énormément d'entreprises utilisent le double nat sur la chaine d'accès à internet. Exemple Français: la majorité des banques utilisent des IP publiques d'autrui en interne. Certaines uniquement pour les agences / campus, d'autres également pour leur DC... En général la majorité des structures de plus de 100k personnes et avec un historique lourd (achats, filiales,...) s'est déjà retrouvée au pied du mur. Faire du double NAT impose de centraliser la chaine d'accès internet pour l'ensemble du groupe ou d'obliger à ce que le design de cette chaine soit reproduit à l'identique si des filiales veulent leur propre accès par exemple. Typiquement, on chaine 2 lots de proxy (interne et externe) Les 2 lots se voient entre eux via des IP 1918 Le lot interne est exposé aux clients via du privé ou du faux public, pas d'importance. Le lot externe exploite de vrais IP publiques pour aller sur le web (sauf si on re nat encore l'exposition externe du proxy, ce qui est rare...), ce lot externe n'a aucune route vers le réseau interne, en dehors des proxy internes et de réseaux de management et supervision. Pour exposer des serveurs à l'extérieur, même bricolage, on double NAT (par exemple FW en entrée DMZ puis 2nde fois sur des SLB) Certaines entreprises n'ont pas pris de précautions, et ont dû mettre en œuvre ce double chainage un beau jour en urgence. D'ailleurs quand cloudflare a sorti son 1.1.1.1, certains ont découvert qu'ils routaient déjà cette IP en interne, car elle a longtemps été hard codé dans les WLC wifi Cisco. Chez les habitués de ce bricolage, on tape souvent dans les IP du DoD US, sauf que celui-ci indique dans divers documents passés au congrès qu'ils veulent vendre une bonne partie de leur IP publiques dans la dizaine d'année qui vient. En vérité ça ne devrait pas se faire beaucoup plus vite que leur nombreuses tentatives de migration vers IPv6. Nouveau problème aujourd'hui, ces grandes entreprises commencent à devoir annoncer de vraies IP publiques dans leur backbone interne (par exemple pour faire du MS Teams en UDP via des G-IX, ce qui est plus performant qu'en TCP) Mais si demain MS utilise une IP qui existe en interne ? ... et MS annonce les nouvelles IP et URL Office 365 seulement 4 à 6 semaines à l'avance. Idéalement les adeptes du "bricolage double nat" vont donc devoir lancer un script chaque semaine pour vérifier qu'aucune de leur fausse IP publique n'est nouvellement affectée dans le monde réel à l'AS de leur provider préféré (MS, Amazon, ...) histoire de déclencher l'alerte tsunami à temps (oxymore power) Et notre ami l'UDP qui force la main pour teams, il arrive à grands pas grâce à QUIC, dans quelque temps on interrogera plein d'API publiques ou de ressources cloud via QUIC, et bien sûr on naviguera avec, les équipes pare-feu et backbone vont alors pouvoir partager l'apéro avec les équipes proxy... Quic a bien un connection ID, mais il sert à la mobilité et n'est pas visible des middlebox... Ha, et si tu comptes faire du split tunneling avec le VPN, il faut veiller à surveiller le non-recouvrement de la même façon que pour les vraies routes publiques apprises en backbone. (pour du SaaS en général) Une raison plus de s'intéresser à IPv6 dans les grosses structures, sauf si on veut garder un réseau qui ressemble à un film de Christopher Nolan. Concernant le NAT-DNS dont tu parles, il est utile pour exposer un serveur d'une entité A à une entité B avec de l'overlapp. Le principal intérêt étant que certaines solutions (F5, Palo,..) permettent de tout gérer sur la même appliance de façon consistante, car toute la "truanderie" nat et dns hérite de la même règle sur la même boite, et qu'il n'y a donc pas besoin de demander à l'administrateur DNS et aux équipes FW etc de se synchroniser. C'est extrêmement utilisé, notamment quand les structures A et B n'ont plus trop de comptes à se rendre, mais que la force des choses les oblige à collaborer. Ce mode limite fortement les interactions nécessaires et le nombre de gestes à droite et gauche. Reste un cas qui pose problème, le SIP. Il y'a bien des ALG pour natter aussi l'intérieur de la signalisation SIP, mais bon... On va vers un monde où on aura de meilleures performances à la maison (IPv6 + QUIC) qu'au bureau (NAT + TCP) pour tout ce qui est web, que ça soit application, appels API,... Une sorte d'apartheid protocolaire que certains utilisateurs de Saas et leur direction ont déjà noté grâce au confinement. Jean-Charles Bisecco --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] NAT et IP hors RFC-1918
Exact pour vos 2 remarques : 1. En effet on ne pourra jamais régler le problème d'overlap pour ces machines, mais j'aimerais bien trouver une solution pour que les machines du réseau adressées normalement ne voient pas cet overlap : Ce n'est pas l'objectif du DNS-NAT in fine ? 2. Tu as raison Stéphane, je retire la solution de double NAT de la liste pour éviter de devoir longer les murs dans les prochains jours ! Adrien. Le mer. 23 sept. 2020 à 17:20, Stephane Bortzmeyer a écrit : > On Wed, Sep 23, 2020 at 04:59:35PM +0200, > A Gaillard wrote > a message of 49 lines which said: > > >- Trouver une solution à base de double NAT > > Attention, la personne qui viendra maintenir celà dans N années va > vous maudire, et inventer le voyage dans le temps pour revenir dans le > passé vous agresser. > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [TECH] NAT et IP hors RFC-1918
On Wed, Sep 23, 2020 at 04:59:35PM +0200, A Gaillard wrote a message of 49 lines which said: >- Trouver une solution à base de double NAT Attention, la personne qui viendra maintenir celà dans N années va vous maudire, et inventer le voyage dans le temps pour revenir dans le passé vous agresser. --- Liste de diffusion du FRnOG http://www.frnog.org/