Bonjour, Je confirme l'ensemble des dires. J'ai envoyé l' email a l'une des personnes *-c du inetnum concerné chez Orange. En espérant qu'il puisse résoudre le problème.
Agréable journée, -- Gary AS209097 > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de > Alexandre BATON > Envoyé : lundi 23 mars 2020 17:42 > À : frnog-t...@frnog.org > Cc : Alexandre BATON <a...@datacampus.fr> > Objet : [FRnOG] [TECH] Orange / ROA invalide 90.1.128.0/17 > > Bonjour le FRnOG, > > Nous avons constaté depuis quelques semaines que nous ne pouvons plus > joindre un prefixe d’Orange: 90.1.0.0/16 (AS3215) depuis notre AS (AS50446). > Auncun problème pour joindre d’autres prefixe d’Orange (ex: 193.248.0.0/16, > 194.51.0.0/16…) (rtt, loss, jitter normal). > Pour joindre l’AS3215 nous passons par Cogent et Verizon. > > Après recherche, il s’avère que le 90.1.0.0/16 d’Orange a été splité en 2 > prefix > /17 (90.1.0.0/17 et 90.1.128.0/17) le 24/01/20 et que l’annonce du /16 a > disparu. > (cf le routing history venant de RIPE stats: > https://stat.ripe.net/widget/routing- > history#w.resource=90.1.0.0&w.starttime=2018-12- > 08T00:00:00&w.endtime=2020-03-23T00:00:00) > > Ces 2 x /17 ne sont pas vu par tout le monde. > Déjà via les RCCs du RIPE, la liste des peers voyant les 2x /17 passent de 219 > peers contre 269 peers voyant le /16 avant le 24/01. > Et en comparant les looking glass de quelques opérateurs: > > • Le LG d’Opentransit confirme bien qu’il y a 2 x /17 d’annoncés et plus > le /16 (https://lg.opentransit.net/) > • Les LG de Tata et Telia ne voient pas les /17 > (https://lg.telia.net/?type=bgp&router=s-ipx-i1&address=90.1.128.0/17 et > http://lg.beta.as6453.net/prefix_bgpmap/mtt/ipv4?q=90.1.128.0/17) > • Le LG de Cogent ne voit pas les 2 x /17 et ils ne me sont pas annoncés > en BGP (https://www.cogentco.com/fr/network/looking-glass) > • Verizon m’annonce les 2 x /17 en BGP. > • Le route server de HE voit bien les 2 x /17 (telnet > route-server.he.net) > > Si on regarde les ROA/RPKI, elle est défini pour 90.1.0.0/16 et pas les 2x > /17. > Elle est considéré comme invalide pour les 2x /17 (pas inconnu, mais bien > invalide!). > (https://rpki-validator.ripe.net/announcement- > preview?asn=AS3215&prefix=90.1.128.0%2F17) > > Hypothèse: Orange a splité un /16 en 2 x /17 sans mettre à jour la RPKI et > leurs > annonces se retrouvent filtrées par certains opérateurs. > > Dans mon cas, c’est problématique, nous avons 2 fournisseurs de transit pour > joindre l’AS3215: Cogent et Verizon. > Verizon m’annonce bien les 2x /17 mais pas Cogent. > La route la plus courte pour Orange pour joindre notre AS passe par Cogent. > Donc pour joindre le prefix 90.1.0.0/16, nous sortons via Verizon et Orange > essaye de nous répondre par Cogent qui (je suppose) drop le paquet… > Comme précisé au début, aucun problème pour joindre d’autres prefix d’Orange > via Cogent. > > Vous auriez un bon contact chez Orange pour démêler ça? (Je ne suis pas client > chez eux, donc pas moyen d’ouvrir un ticket). > > Cordialement, > > Alexandre BATON --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/