Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Hello, Le 21 nov. 2013 à 23:39, Fabien V. list-fr...@beufa.net a écrit : Le 2013-11-21 11:52, Cedric T. a écrit : Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...); L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? La même. En plus, on vient de nous le proposer ce jour, comme pour Jérôme ... On a refusé ce fonctionnement, ne serait que parce que l'iBGP ou l'OSPF pourrait avoir à utiliser ce genre d'adresses Y a pas un SHOULDNOT quelque part dans les RFC de BGP ? Stéphane, tu peux nous le remplacer par un MUSTNOT ? ;) Enfin, moi j'dis ça, mais si vous avez un opérateur qui propose ça, je crois qu'il est temps d'aller voir ailleurs. D'ailleurs ça serait bien d'avoir des noms... Histoire que ces gens soient vu du monde FrNOG comme faisant des pratiques douteuses. My 0,02€ Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 22:25, Raphael Mazelier wrote: Et la dernière grande question existentielle : comment tu construis ton IGP ? est ce que l'adressage de ton core doit il être en @IP publique ? Les loopbacks c'est le stricte minimum. Pour les subnets d'interco c'est fortement reccomande (SHOULD *REALLY*), et ca devient imperatif s'il y a des interconnexions externes. Apres, comme je l'ai deja dit, dans le milieu corporate il n'y a quasiment que les RFC1918 qui existent. Évidement que ça parait bien, mais mine de rien, même sur un petit réseau cela fait du gaspillage pour respecter une convention. Non, le gaspillage c'est d'allouer un /24 avec la passerelle par default a la fin et le numerotage qui commence depuis le debut. J'ai herite plusieurs comme ca, don les 2 derniers que je dois garder (pour l'instant) ont a peine 5-6 addresses utilises par subnet Une solution : construire son core en IPV6 :) Modulo MPLS (LDP), dont la correspondance v6 reste en etat de draft sans implementation. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...) L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? En bref pour moi c'est une hérésie du RFC1918 sur une interco transit. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 2013-11-21 11:52, Cedric T. a écrit : Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Sans avoir lu tout le thread j'y vois deux problèmes majeurs : - j'utilise l'IP d'interco du routeur avec une ACL qui va bien pour autoriser une machine externe au réseau en cas de problème majeur (IGP pété...); L'out-of-band du pauvre certains diront ;) - je monitore le bon fonctionnement de mes transit avec un nagios sur une machine externe, alors comment faire si l'IP n'est meme pas routable ? La même. En plus, on vient de nous le proposer ce jour, comme pour Jérôme ... On a refusé ce fonctionnement, ne serait que parce que l'iBGP ou l'OSPF pourrait avoir à utiliser ce genre d'adresses Y a pas un SHOULDNOT quelque part dans les RFC de BGP ? Stéphane, tu peux nous le remplacer par un MUSTNOT ? ;) En interne, why not, c'est fait pour ca. En externe, je trouve que c'est encore plus crade que les logiques de CGN dont on parle beaucoup. troll presque vendredi on pourrait faire une RFC BGP Peering NAT ? Pour natter l'IP de ton peer en sortie du Tier x ? Et pour accéder à ton routeur, c'est comme chez CloudWatt, tu nattes l'IP du border du tier depuis le port 666 vers le port 22 de ton routeur ? /troll Bref, on va avoir des beaux trous noirs dans ces cas là quand il n'y aura pas de back2back ou d'accès différencié au cul du routeur sur l'OOB mgmt En bref pour moi c'est une hérésie du RFC1918 sur une interco transit. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/ -- - Fabien V. @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Alors déjà qu'ils te donnent un subnet RFC1918, je trouve ca limite... Ensuite, qu'ils te donnent un /31, ca en devient même risible :-) Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un subnet d'interco avec l'extérieur, c'est juste no way ! -- Clément Cavadore On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote: Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
+1 On 20 Nov 2013, at 14:53, Clement Cavadore clem...@cavadore.net wrote: Alors déjà qu'ils te donnent un subnet RFC1918, je trouve ca limite... Ensuite, qu'ils te donnent un /31, ca en devient même risible :-) Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un subnet d'interco avec l'extérieur, c'est juste no way ! -- Clément Cavadore On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote: Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 14:54, Raphael Maunier a écrit : +1 On 20 Nov 2013, at 14:53, Clement Cavadore clem...@cavadore.net wrote: Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un subnet d'interco avec l'extérieur, c'est juste no way ! On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote: j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. -- Simon. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 14:53, Clement Cavadore a écrit : Ensuite, qu'ils te donnent un /31, ca en devient même risible Non, ça à la limite, ça me va, toutes mes machines savent s'en servir, et c'est efectivement un bon moyen de ne pas gaspiller des ressources. C'est juste que du subnet privé dans la VRF Internet, WTF quoi... Ca me ferait chier de devoir modifier toutes mes route-map standard pour ça. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On 20.11.2013 14:47, Jérôme Nicolle wrote: Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ ca mérite le fouet en place publique ;-) des noms !! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 14:57, Simon Morvan a écrit : J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. Le principe des IP définie comme privées dans la RFC1918 est qu'elle ne doivent pas apparaitre sur Internet. De ce fait, on ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT ou la VRF qui porte des routes publiques. Les deux son théoriquement sensées rester à part. Sur un réseau bien tenu, tu devrais même dropper les paquets ayant pour source ou destination une telle adresse, sans même y réflechir, en ingress sur tous les ports (hors VRF privées) de ton réseau. Du coup, avec un ensemble de ficelles de configuration toutes prêtes intégrant tous les filtres pour respecter cette convention, ainsi que quelques règles de sécurité courantes, alors ça oblige à reprendre pas mal de prefix-list et d'ACL pour pouvoir utiliser un tel prefixe et abandonner la convention. Bon, ce n'est qu'une convention, les IP RFC1918 ne sont pas fondamentalement avariées, mais si on commence à ne plus respecter les règles qui font Internet, qu'est ce qui va nous tomber dessus ensuite ? Au diable les RIR, on se sert dans le pool ? Ca m'inquiette vraiment que certains d'entre nous prennent ce genre de libertés alors qu'on est tous sensés resserer la vis pour consolider un réseau de plus en plus critique... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
En 2005, pour de l'accès simple par fibre, lors d'un déménagement, un opérateur dont le nom commence par C m'avait imposé un /30 d'interco similaire sur le nouveau site. Il y a combien de lettres dans le nom de ton opérateur ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 15:10, Raphaël Jacquot a écrit : des noms !! Ne crois pas que je sois une balance ! Et puis c'est pas comme s'il était le seul On a tous fait des erreurs, hein ;) @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Tien, fait-ça : mtr 81.28.194.51 On ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT Y'a une différence entre accepter des routes RFC1918, et utiliser des IP RFC1918. Dans le cas d'une session BGP, tu peux être connecté directement à ton peer; Et dans ce cas, l'utilisation d'IP RFC1918 me parait une bonne utilisation. Bon, j'avoue, il ne faut pas généraliser ce genre de choses (les traceroutes sont moches !); Utilisé avec parcimonie, cela ne me choque pas; -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson On 20/11/2013 15:13, Baptiste Malguy wrote: En 2005, pour de l'accès simple par fibre, lors d'un déménagement, un opérateur dont le nom commence par C m'avait imposé un /30 d'interco similaire sur le nouveau site. Il y a combien de lettres dans le nom de ton opérateur ? :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 2013-11-20 15:12, Jérôme Nicolle a écrit : Le 20/11/2013 14:57, Simon Morvan a écrit : J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. Le principe des IP définie comme privées dans la RFC1918 est qu'elle ne doivent pas apparaitre sur Internet. C'est du à la raréfaction des ipv4 publiques. Même chez des gros ayant des noms d'agrume, cela se voit. Manquent d'ipv4 eux sans doute. Il aurait pu te filer une interco en ipv6 publique en /127 :) -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le Wed, Nov 20, 2013 at 03:23:29PM +0100, Alexandre Bruyelles [alexandre.bruyel...@gmail.com] a écrit: Tien, fait-ça : mtr 81.28.194.51 On ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT Y'a une différence entre accepter des routes RFC1918, et utiliser des IP RFC1918. Dans le cas d'une session BGP, tu peux être connecté directement à ton peer; Et dans ce cas, l'utilisation d'IP RFC1918 me parait une bonne utilisation. Sauf que ça (peut) finit(r) par transpirer de près ou de loin dans l'IGP. Et ce que Jerome indique (dans un autre bout du fil), c'est qu'il filtrer tout ce qui ressemble à du RFC1918 dans la partie du réseau qui parle ip publique. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 2013-11-20 08:47, Jérôme Nicolle a écrit : Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Quid d'une interco en 169.254/16? Simon -- DTN made easy, lean, and smart -- http://postellation.viagenie.ca NAT64/DNS64 open-source-- http://ecdysis.viagenie.ca STUN/TURN server -- http://numb.viagenie.ca --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 15:39, Dominique Rousseau a écrit : Sauf que ça (peut) finit(r) par transpirer de près ou de loin dans l'IGP. Plus exactement ça DOIT transpirer dans mon cas, mes ASBR ne sont pas next-hop-self coté iBGP, ce qui implique que les subnets d'intercos sont dans mon IGP. J'ai été obligé de faire ça car le CPU asthmatique d'une SUP720 a trop de mal à baculer toutes les routes rapidement en cas de perte d'un lien entre un ASBR et un autre speaker iBGP. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 14:57, Simon Morvan wrote: J'ai tendance à penser comme vous trois, mais j'aimerais tout de même connaître vos raisons. Le mien: RFC1918 = PRIVE, donc pas partage avec des entites externes. Maintenant, le pilote automatique ivre (qui est un peu par tout) n'est pas tout a fait du meme avis; pour lui les 10/8, 172.16/12 et 192.168/16 sont juste les addresses securises, car pas sur le grand mechant Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 15:23, Alexandre Bruyelles wrote: Dans le cas d'une session BGP, tu peux être connecté directement à ton peer; Et dans ce cas, l'utilisation d'IP RFC1918 me parait une bonne utilisation. Sur une interco tout autre que BGP, ca peut etre techiquement possible (ca reste quand-meme un TRES mauvaise idee), mais pour une interco BGP c'est juste pas envisageable (Hint: BGP next-hop). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
On Wed, Nov 20, 2013, at 15:49, Simon Perreault wrote: Quid d'une interco en 169.254/16? Pour une interco BGP, c'est la meme histoire avec toute addresse qui n'est pas globalement unique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Le 20/11/2013 15:12, Jérôme Nicolle a écrit : Le principe des IP définie comme privées dans la RFC1918 est qu'elle ne doivent pas apparaitre sur Internet. De ce fait, on ne dois pas accepter de routes pour ces préfixes, ni même les forwarder dans la GRT ou la VRF qui porte des routes publiques. Les deux son théoriquement sensées rester à part. Sur un réseau bien tenu, tu devrais même dropper les paquets ayant pour source ou destination une telle adresse, sans même y réflechir, en ingress sur tous les ports (hors VRF privées) de ton réseau. Du coup, avec un ensemble de ficelles de configuration toutes prêtes intégrant tous les filtres pour respecter cette convention, ainsi que quelques règles de sécurité courantes, alors ça oblige à reprendre pas mal de prefix-list et d'ACL pour pouvoir utiliser un tel prefixe et abandonner la convention. Bon, ce n'est qu'une convention, les IP RFC1918 ne sont pas fondamentalement avariées, mais si on commence à ne plus respecter les règles qui font Internet, qu'est ce qui va nous tomber dessus ensuite ? Au diable les RIR, on se sert dans le pool ? Ca m'inquiette vraiment que certains d'entre nous prennent ce genre de libertés alors qu'on est tous sensés resserer la vis pour consolider un réseau de plus en plus critique... Sur le principe on est tous d'accord q'une interco BGP en rfc1918 c'est juste abusé. (meme si techniquement faisable, j'ai du mal à croire que l'opérateur en question soit à deux @IP prés). Après il y a le débat de melanger des IP rfc1918 et des publiques dans la table de routage Internet. C'est laid on est d'accord, mais cela amène parfois a plus de complexité , aka multiplier les vrf(s)/routing instance. Je ne suis pas dogmatique sur la question, tant que tu filtre correctement en sortie. Et la dernière grande question existentielle : comment tu construis ton IGP ? est ce que l'adressage de ton core doit il être en @IP publique ? Évidement que ça parait bien, mais mine de rien, même sur un petit réseau cela fait du gaspillage pour respecter une convention. Une solution : construire son core en IPV6 :) PS : Malheureusement certain en sont rendus à faire des économies de bout de chandelles. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
Raphael Mazelier écrit: PS : Malheureusement certain en sont rendus à faire des économies de bout de chandelles. troll C'est là ou ceux qui ont joué à l'épicier depuis 15 ans se fendent la pipe. /troll Ceci étant dit, je ne suis pas d'accord avec toi. Il y a un acronyme pour ce genre de chose (les gens qui essaient de te donner une RFC1918 et bien d'autres) : SCPCP. Si Ca Passe Ca Passe. Tant que tu ne protestes pas, c'est bon. Faut arrêter les conneries, les adresses IPv4 ça se vend et ça s'achète, ce qui est acceptable pour vendre du CGN sur un mobile ou un abonnement résidentiel à pas cher ne l'est pas pour de l'interco BGP. Il y a assez d'IP pour te donner un /30 vu ce que tu paies pour le reste. J'ai une IP statique à la maison pour gratos, le vendeur de pompes usées qui essaie de te vendre une interco BGP avec une adresse privée, si t'es assez con pour dire oui c'est ton problème. Il te prend pour un con. SCPCP. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/