Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Denis Fondras]

Le Wed, Mar 17, 2021 at 06:28:38PM +0100, Erwan David a écrit :
> Et si RFC 1918 ne suffit pas, ne pas oublier que RFC 6598 définis un /10
> d'IP privées (100.64.0.0/10)
> 

Ou RFC2460 et suivants...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Gregory CAUCHIE]

> Le 17 mars 2021 à 18:14, Radu-Adrian Feurdean 
>  a écrit :
> 
> On Wed, Mar 17, 2021, at 16:07, Gregory CAUCHIE wrote:
>> 
>> Si tu n’as pas d’échange avec eux, ça ne sert à rien de les éviter. 
> 
> NON
> 1 - parce-que c'est une mauvaise pratique. L'internet fonctionne a base de 
> standards respecte par tous les participants, et RFC1918 en fait partie.
> 2 - parce-que "never say never". Tu ne sais jamais de quoi le futur sera fait.

En sortant ainsi la phrase ainsi du contexte, la réaction se comprend.

> Donc encore ine fois, ne *JAMAIS* faire ca sur une nouvelle installation. Sur 
> de l'existant, fait se mettre dans un coin de la tete qu'il faudra normaliser 
> un jour ou autre (sachant que d'habitude plus le temps passe, plus c'est 
> difficile de changer).

on est tous d’accord, ça a été dit et redit, et je me joins à tout cela, je ne 
reviendrais pas encore une fois dessus.

> Et surtout, ne *JAMAIS* dire a quelqu'un (surtout novice ou non technique) 
> que c'est une pratique acceptable. Ca ne l'est *PAS* .

Je ne suis pas le meilleur en sémantique, donc entre recommandable, acceptable, 
etc je n’ai pas d’avis. En revanche, en pur technique, pour les gens qui ont 
déjà déployé de l’IP publique en LAN, la problématique n’est pas sujette à 
débat. Soit tu as des adresses en interne que tu souhaites joindre en externe, 
et là bah le routage IP à plat t’empêche de joindre l’extérieur ; soit tu as 
des en interne des adresses IP publiques que tu n’as pas besoin de joindre en 
externe, et là pas de problème… enfin bien évidemment tant que l’utilisation de 
l’adressage publique comme de tes besoins ne change pas, ce qui n’est 
clairement pas garanti. Ce n’est en tout cas pas une histoire de pays ni de km.


> Le 17 mars 2021 à 18:28, Erwan David  a écrit :
> 
> Et si RFC 1918 ne suffit pas, ne pas oublier que RFC 6598 définis un /10
> d'IP privées (100.64.0.0/10)

La référence qui me semble plus pertinente, et qui inclus les deux RFC 
ci-dessus, est le RFC6890 "Special-Purpose IP Address Registries"   qui est 
plus complète sur ce qui est utilisable, où et comment, en source comme en 
destination, sur réseau publique, privé ou uniquement dans de la documentation.

--
Grégory

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Erwan David]

Le 17/03/2021 à 18:14, Radu-Adrian Feurdean a écrit :
>
> On Wed, Mar 17, 2021, at 16:07, Gregory CAUCHIE wrote:
>> Si tu n’as pas d’échange avec eux, ça ne sert à rien de les éviter. 
> NON
> 1 - parce-que c'est une mauvaise pratique. L'internet fonctionne a base de 
> standards respecte par tous les participants, et RFC1918 en fait partie.
> 2 - parce-que "never say never". Tu ne sais jamais de quoi le futur sera fait.
>
> Donc encore ine fois, ne *JAMAIS* faire ca sur une nouvelle installation. Sur 
> de l'existant, fait se mettre dans un coin de la tete qu'il faudra normaliser 
> un jour ou autre (sachant que d'habitude plus le temps passe, plus c'est 
> difficile de changer).
> Et surtout, ne *JAMAIS* dire a quelqu'un (surtout novice ou non technique) 
> que c'est une pratique acceptable. Ca ne l'est *PAS* .
>
Et si RFC 1918 ne suffit pas, ne pas oublier que RFC 6598 définis un /10
d'IP privées (100.64.0.0/10)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Radu-Adrian Feurdean]

On Wed, Mar 17, 2021, at 16:07, Gregory CAUCHIE wrote:
> 
> Si tu n’as pas d’échange avec eux, ça ne sert à rien de les éviter. 

NON
1 - parce-que c'est une mauvaise pratique. L'internet fonctionne a base de 
standards respecte par tous les participants, et RFC1918 en fait partie.
2 - parce-que "never say never". Tu ne sais jamais de quoi le futur sera fait.

Donc encore ine fois, ne *JAMAIS* faire ca sur une nouvelle installation. Sur 
de l'existant, fait se mettre dans un coin de la tete qu'il faudra normaliser 
un jour ou autre (sachant que d'habitude plus le temps passe, plus c'est 
difficile de changer).
Et surtout, ne *JAMAIS* dire a quelqu'un (surtout novice ou non technique) que 
c'est une pratique acceptable. Ca ne l'est *PAS* .


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Gregory CAUCHIE]

> Le 17 mars 2021 à 16:45, David Ponzone  a écrit :
> 
> Faut éviter de prendre des exemples rapides et premier degré ces temps-ci, 
> car ils sont pris comme tel.
> Ma faute.
> 
> C’est très culotté de penser que le client n’aura jamais d’échange avec une 
> IP Google ou AWS.

Idem pour moi (je me rends compte maintenant), l’objectif de mon côté était 
d’insister sur « avec qui tu as besoin de communiquer ».
Et effectivement, une entité qui ne communiquerait pas avec Google Search et 
YouTube ça semble rare. Pour AWS et GCP, à voir en revanche, les parts de 
marchés sont plus réparties, donc possible.

> Par contre un /16 au Vietnam, y a moins de risque.

Moins de risques oui, mais pas de garantie. C’est cette nuance que je voulais 
apporter.

--
Greg

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[David Ponzone]

Faut éviter de prendre des exemples rapides et premier degré ces temps-ci, car 
ils sont pris comme tel.
Ma faute.

C’est très culotté de penser que le client n’aura jamais d’échange avec une IP 
Google ou AWS.
Par contre un /16 au Vietnam, y a moins de risque.

Si le client a un /16 avec 2000 PC actifs, la renum est un boulot de titan, 
donc il faut faire peser dans la balance le risque s’il n’y a pas renum et le 
prévenir.

> Le 17 mars 2021 à 16:07, Gregory CAUCHIE  a écrit :
> 
> Bonjour,
> 
>> Le 16 mars 2021 à 11:48, David Ponzone  a écrit :
>> 
>> Aucune autre conséquence.
>> Tu peux utiliser du publique comme si c’était du privé, faut juste éviter de 
>> taper dans des IP de Google ou AWS.
> 
> Si tu n’as pas d’échange avec eux, ça ne sert à rien de les éviter. Tout 
> comme le nombre de km n’a de la même manière rien à voir dans l’histoire. La 
> question de base qui doit être posée est : as-tu en interne une IP publique 
> que tu dois pouvoir joindre en externe ? certes le NAT gère le cas du plan de 
> transfert, mais ça ne règle pas le routage interne au LAN !
> 
> Si tu as en interne une adresse publique d’un site web concernant « un truc 
> qui semble pas important et qui est hébergé à l’autre bout de la terre » mais 
> que tu as besoin d'accéder à cette page, bah ton routeur avant le NAT va te 
> router en interne plutôt qu’à la destination à l’autre bout de la terre.
> 
> De la même manière, si tu as en interne des IP publiques d’une grande banque 
> française à côté de chez toi mais que tu n’as jamais à échanger avec elle, 
> alors pas de problème de routage dans ton LAN, tu iras bien vers ta Gateway 
> etc.
> 
> À noter pour info (vu dans une entreprise du CAC40), l’utilisation de proxy 
> Internet au niveau du NAT. Cela « tunnelise » le traffic jusqu’au boîtier 
> NAT, les routeurs « LANs » n’ont pour rôle que de joindre le proxy et les 
> utilisateurs, sans connaissance de l’extérieur. Cela demande de se creuser un 
> peu sur l’archi réseau, rien d’insurmontable, mais niveau exploitation et 
> évolutivité, c’est une autre paire de manche.
> 
> --
> Greg


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Gregory CAUCHIE]

Bonjour,

> Le 16 mars 2021 à 11:48, David Ponzone  a écrit :
> 
> Aucune autre conséquence.
> Tu peux utiliser du publique comme si c’était du privé, faut juste éviter de 
> taper dans des IP de Google ou AWS.

Si tu n’as pas d’échange avec eux, ça ne sert à rien de les éviter. Tout comme 
le nombre de km n’a de la même manière rien à voir dans l’histoire. La question 
de base qui doit être posée est : as-tu en interne une IP publique que tu dois 
pouvoir joindre en externe ? certes le NAT gère le cas du plan de transfert, 
mais ça ne règle pas le routage interne au LAN !

Si tu as en interne une adresse publique d’un site web concernant « un truc qui 
semble pas important et qui est hébergé à l’autre bout de la terre » mais que 
tu as besoin d'accéder à cette page, bah ton routeur avant le NAT va te router 
en interne plutôt qu’à la destination à l’autre bout de la terre.

De la même manière, si tu as en interne des IP publiques d’une grande banque 
française à côté de chez toi mais que tu n’as jamais à échanger avec elle, 
alors pas de problème de routage dans ton LAN, tu iras bien vers ta Gateway etc.

À noter pour info (vu dans une entreprise du CAC40), l’utilisation de proxy 
Internet au niveau du NAT. Cela « tunnelise » le traffic jusqu’au boîtier NAT, 
les routeurs « LANs » n’ont pour rôle que de joindre le proxy et les 
utilisateurs, sans connaissance de l’extérieur. Cela demande de se creuser un 
peu sur l’archi réseau, rien d’insurmontable, mais niveau exploitation et 
évolutivité, c’est une autre paire de manche.

--
Greg

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Subnet ip publique sur LAN

[Michel Py via frnog]

>> Erwan David a écrit :
>> Je me souviens avoir vu une borne de développement photo à Auchan Vélizy
>> avec une étiquette portant une adresse IP du DOD...

> David Ponzone a écrit :
> Comme quoi, la NSA est partout.

Ah, c'est donc à que ça sert, le fric de mes impôts.

> Mais pourquoi Auchan Vélizy...

Ca y est j'ai tout compris : c'est pour ça qu'ils ont besoin de toutes ces /8 : 
c'est pour installer du matériel d'espionnage dans tous les supermarchés de 
France pour avoir des photos des terroristes mangeurs de baguette.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[David Ponzone]

Comme quoi, la NSA est partout.
Mais pourquoi Auchan Vélizy…..

> Le 16 mars 2021 à 20:34, Erwan David  a écrit :
> 
> Le 16/03/2021 à 18:47, David Ponzone a écrit :
>>> Le 16 mars 2021 à 18:40, JCLB  a écrit :
>>> 
>>> Enfin, ça c’est la théorie car fin 2019 la section 1088 de la loi de budget 
>>> du DoD prévoyait de vendre ces plages dans les 10 ans. Cependant l’article 
>>> n’a pas passé le Sénat. Mais qu’en est-il si une copie revient un jour ?
>>> Rien à craindre dans le 117e congrès de fin 2020.
>>> https://www.congress.gov/bill/116th-congress/senate-bill/1790/text/eah#toc-H3733C370A69A4095B62B213B52530170
>>> 
>> C’est sûrement pour ça que ça inquiète du monde de voir déjà 3 /8 du DOD 
>> annoncés par une shell company….
>> 
> 
> Je me souviens avoir vu une borne de développement photo à Auchan Vélizy
> avec une étiquette portant une adresse IP du DOD...
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Erwan David]

Le 16/03/2021 à 18:47, David Ponzone a écrit :
>> Le 16 mars 2021 à 18:40, JCLB  a écrit :
>>
>> Enfin, ça c’est la théorie car fin 2019 la section 1088 de la loi de budget 
>> du DoD prévoyait de vendre ces plages dans les 10 ans. Cependant l’article 
>> n’a pas passé le Sénat. Mais qu’en est-il si une copie revient un jour ?
>> Rien à craindre dans le 117e congrès de fin 2020.
>> https://www.congress.gov/bill/116th-congress/senate-bill/1790/text/eah#toc-H3733C370A69A4095B62B213B52530170
>>
> C’est sûrement pour ça que ça inquiète du monde de voir déjà 3 /8 du DOD 
> annoncés par une shell company….
>

Je me souviens avoir vu une borne de développement photo à Auchan Vélizy
avec une étiquette portant une adresse IP du DOD...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Subnet ip publique sur LAN

[Michel Py via frnog]

> Jean-Charles BISECCO a écrit :
> -Les confiants, qui exploitent des IP qui ne seront jamais annoncées sur 
> internet comme celles du département Américain de la Défense (DoD) :
> 6.0.0.0/8 7.0.0.0/8 11.0.0.0/8 21.0.0.0/8 22.0.0.0/8 26.0.0.0/8 28.0.0.0/8 
> 29.0.0.0/8 30.0.0.0/8 33.0.0.0/8 55.0.0.0/8 214.0.0.0/8 215.0.0.0/8

Tu peux dire tout ce que tu veux que c'est pas bien, on est devant le fait 
accompli. C'est le secret de polichinelle que PLEIN d'entreprises, opérateurs 
ou pas, utilisent ces adresses en interne. C'est le résultat direct de la 
politique débile de l'IETF : chaque fois qu'il y a eu un effort pour rendre 
240/4 (256 millions d'adresses, pas mal) disponible comme une extension de 
RFC1918, ça a été torpillé. Résultat des courses : les entreprises avaient 
besoin de plus d'adresses que RFC1918, elles les ont prisent ou elles 
pouvaient, c’est-à-dire DoD non annoncé.

Qu'on le veuille ou pas, que ça soit bien ou pas, que ça plaise ou pas, les 
adresses non annoncées de DoD c'est de facto RFC1918 bis.

La menace de les vendre n'a pas fait peur; personne n'en veut vraiment.
La vraie question est : si 30/8 était à vendre, est-ce que tu en voudrais, 
sachant que ça va être des emmerdes à n'en plus finir ?
Le DoD n'a pas besoin de l'argent, s'ils les vendaient ça serait des adresses 
de 2ème classe car utilisées par trop de monde en interne.

> Cependant l’article n’a pas passé le Sénat. Mais qu’en est-il si une copie 
> revient un jour ?

Je pense que les vendre ça va discrètement mourir dans les couloirs de DC; ça 
emmerderait trop de gens et les lobbyistes de toutes les grosses boites qui ont 
détourné DoD vont sortir de tous les petits trous partout et distribuer des 
peaux de banane. Perso j'aurais préféré que 240/4 devienne officiel, mais c'est 
trop tard.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[David Ponzone]

> Le 16 mars 2021 à 19:25, Radu-Adrian Feurdean 
>  a écrit :
> 
> On Tue, Mar 16, 2021, at 15:09, Julien Escario wrote:
> 
>> J'ai même dû couper des doigts à des petits
>> nouveaux en interne.
> 
> J'espere que c'etait par les moyens disciplinaires bien connus du code du 
> travail (genre avertissement ecrit, mise a pied disciplinaire en cas de 
> recidive). ... supposant bien-sur qu'apres chaque victime c'est assez clair 
> pour l'ensemble de l'equipe :)
> 

Pas sûr, c’est pas japonais Escario ? ::)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[David Ponzone]

C’est pour ça que j’avais demandé de quel genre de préfixe il s’agit.
Si le LAN est en /8 sur RIPE/ARIN, c’est délicat.
Si c’est un /24 actuellement sur APNIC, on a plus de chance de gagner au loto 
que d’avoir un problème gênant à cause de ça.

> Le 16 mars 2021 à 19:19, Radu-Adrian Feurdean 
>  a écrit :
> 
> On Tue, Mar 16, 2021, at 11:42, David Ponzone wrote:
>> Si c’est à l’autre bout de la Terra, peu de chance que ça pose problème un 
>> jour.
> 
> Non.
> Avec les transferts inter-RIR ouverts, aujourd'hui on est a l'abri de rien 
> (voir le cas du 44/8).
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Radu-Adrian Feurdean]

On Tue, Mar 16, 2021, at 15:09, Julien Escario wrote:

> J'ai même dû couper des doigts à des petits
> nouveaux en interne.

J'espere que c'etait par les moyens disciplinaires bien connus du code du 
travail (genre avertissement ecrit, mise a pied disciplinaire en cas de 
recidive). ... supposant bien-sur qu'apres chaque victime c'est assez clair 
pour l'ensemble de l'equipe :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Radu-Adrian Feurdean]

On Tue, Mar 16, 2021, at 11:42, David Ponzone wrote:
> Si c’est à l’autre bout de la Terra, peu de chance que ça pose problème un 
> jour.

Non.
Avec les transferts inter-RIR ouverts, aujourd'hui on est a l'abri de rien 
(voir le cas du 44/8).


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Radu-Adrian Feurdean]

On Tue, Mar 16, 2021, at 11:16, Richard MATOS wrote:
> Salut la liste,
> 
> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
> est-ce que certains parmi vous ont rencontré ce cas de figure ?
> Si oui quelle solution avez-vous implémenté?

Oui. Et la je parle du fait d'utiliser un bloc d'IP *globalement*  *uniques* 
prises au hasard (ou trainees depuis un ancien FAI) et configures sur le LAN.

En tant que FAI : faire signer au client une decharge par laquelle il reconnait 
que son LAN n'est pas conforme aux regles utilises sur Internet, et que toute 
probleme d'acces Internet est de sa seule responsabilite. Refus de prendre en 
charge son plan d'adressage sans decharge. Il y a eu qui on change, d'autres 
qui ont signe.

Si tu est le presta qui gere le LAN, lui faire signer quand-meme un decharge, 
pour 2 raisons : 1 - "au cas ou" et 2 - lui faire savoir qu'il fait du 
n'importe quoi.

Si on parle du fait d'utiliser des IP vraiment publiques, lui ayant ete 
attribues (par son FAI *actuel*, par un RIR voire meme du "legacy legit"), c'et 
inhabituel, mais ca passe (modulo gnagna securitay, gnagna firewall, .)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[David Ponzone]

> Le 16 mars 2021 à 18:40, JCLB  a écrit :
> 
> Enfin, ça c’est la théorie car fin 2019 la section 1088 de la loi de budget 
> du DoD prévoyait de vendre ces plages dans les 10 ans. Cependant l’article 
> n’a pas passé le Sénat. Mais qu’en est-il si une copie revient un jour ?
> Rien à craindre dans le 117e congrès de fin 2020.
> https://www.congress.gov/bill/116th-congress/senate-bill/1790/text/eah#toc-H3733C370A69A4095B62B213B52530170
> 

C’est sûrement pour ça que ça inquiète du monde de voir déjà 3 /8 du DOD 
annoncés par une shell company….




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Subnet ip publique sur LAN

[JCLB]

C'est courant dans les grandes structures, exemple : en dehors de CA, 
l'ensemble des grandes banques utilisent des IP publiques de tiers en France 
sur une partie de leur réseau privé local.


Voilà ce que j'en dis dans un document sur le déploiement d'IPv6 à publier 
prochainement:

La RFC 1918 offre 17 891 328 IPv4, cela ne représente jamais que 70 000 réseaux 
en /24. De nombreuses organisations ont déjà atteint la limite du stock, pour 
de multiples raisons.
Affectation par entité, gaspillage et surallocation, non récupération des 
adresses lors du décommissionnement d’équipements ou de sites, volonté 
d’agréger les routes remontant à une
époque où les routeurs ne supportaient qu’un faible nombre de routes, 
transmission à des filiales revendues mais avec lesquelles des liens 
persistent, …

Si le NAT44 peut répondre de façon inconfortable aux liaisons vers des 
partenaires et des entités fraichement acquises, il est souvent impensable de 
découper son entreprise en différents périmètres se recouvrant ; bien que ce 
cas de figure existe aussi.
D’autres prennent la voie de l’usurpation, et exploitent sur leur réseau 
interne des IP qui appartiennent à autrui avec plus ou moins de tact. On 
retrouve 2 camps :

-Les prudents, qui mettent en œuvre du double NAT44 et créent un véritable sas 
compartimentant le routage en bordure d’internet.
Le trafic est natté 2 fois et peut sans problème avoir la même IP en source et 
en destination, le NAT masquant un autre NAT, l’écran est total.
Ces prudents se retrouvent bien dépourvus quand un fournisseur cloud leur 
recommande d’annoncer l’IP public d’un service sur leur backbone interne.
Que faire si jamais cette vraie IP publique en recouvre une usurpée du LAN ? 
D’autant plus qu’un fournisseur peut imposer de nouvelles IP avec seulement 
quelques semaines de prévenance.
Scénario de SF ? Du tout ! Un exemple concret parfait est l’utilisation de la 
solution de communication de Microsoft, TEAMS. Ce dernier recommande en effet 
de limiter les traitements intermédiaires à un seul NAT, pour des raisons 
expliquées plus haut dans ce document.


-Les confiants, qui exploitent des IP qui ne seront jamais annoncées sur 
internet comme celles du département Américain de la Défense (DoD) :
6.0.0.0/8 7.0.0.0/8 11.0.0.0/8 21.0.0.0/8 22.0.0.0/8 26.0.0.0/8 28.0.0.0/8 
29.0.0.0/8 30.0.0.0/8 33.0.0.0/8 55.0.0.0/8 214.0.0.0/8 215.0.0.0/8

Enfin, ça c’est la théorie car fin 2019 la section 1088 de la loi de budget du 
DoD prévoyait de vendre ces plages dans les 10 ans. Cependant l’article n’a pas 
passé le Sénat. Mais qu’en est-il si une copie revient un jour ?
Rien à craindre dans le 117e congrès de fin 2020.
https://www.congress.gov/bill/116th-congress/senate-bill/1790/text/eah#toc-H3733C370A69A4095B62B213B52530170
Si jamais ces adresses se retrouvaient en vente, nul doute qu’une partie 
finirait dans les mains des principaux fournisseurs cloud.

Si vous approchez de la fin de la RFC 1918, vous pouvez étudier l’usage de la 
plage RFC 6598 100.64/10 réservée au NAT44 opérateur afin de partager des IPv4 
entre abonnés avec un Carrier Grade Nat.
Reste qu’il est recommandé de ne pas assigner ces adresses à des équipements 
opérateurs comme des routeurs MPLS ou de les exploiter sur des infrastructures 
cloud, sauf après validation du fournisseur.
Aucun problème en revanche à exploiter cette plage pour ses campus utilisateurs 
par exemple. Certaines entreprises le font déjà, y compris en France.

Enfin, si vous êtes joueur, vous pouvez tenter d’utiliser l’ex classe E 
(240/4). Celle située aux confins d’IPv4, après la section multicast.
Réservée pour un usage futur qui ne viendra jamais et inutilisable chez les 
équipementiers qui reconnaissent d’ailleurs que le travail nécessaire pour
normaliser cette plage mettrait plus de temps à atteindre l’ensemble des parcs 
déployés que de migrer vers IPv6.
En vrai n’essayez pas, sauf en lab par pure curiosité.

---
Il y'a aussi les riches qui s'ignorent et ont des millions de vraies IPv4 
publiques, ne les annoncent pas et les utilisent en interne (oui oui ça existe 
encore)

Jean-Charles BISECCO



-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Richard 
MATOS
Envoyé : mardi 16 mars 2021 11:16
À : frnog-tech 
Objet : [FRnOG] [TECH] Subnet ip publique sur LAN

Salut la liste,

J'ai un client qui utilise un plage d'adresse ip publique sur son LAN, est-ce 
que certains parmi vous ont rencontré ce cas de figure ?
Si oui quelle solution avez-vous implémenté?

Merci


--
Richard MATOS

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Pierre Colombier via frnog]

Pas depuis 1999 ;)

On 16/03/2021 11:16, Richard MATOS wrote:

J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
est-ce que certains parmi vous ont rencontré ce cas de figure ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Subnet ip publique sur LAN

[Michel Py via frnog]

> Richard MATOS a écrit :
> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
> est-ce que certains parmi vous ont rencontré ce cas de figure ?

C'est devenu rare, mais il y a toujours quelques cas.

> Jerome SCHEVINGT a écrit :
> Notamment parce qu'a une époque, il y avait dans les docs IBM des exemples
> avec des IP de leur plage, et les premiers admin réseau en herbe voyaient
> sur la doc tel plage et bin ils mettaient la même sur leur réseau 

J'ai fait ça avec Solaris / Sun. Aie aie pas taper pas taper, c'était en 1991 
mon premier réseau IP, à cette époque même RFC1597 (celle qui a précédé 
RFC1918) n'existait pas encore.


> Si oui quelle solution avez-vous implémenté?

NAT pareil que si c'était une IP privée.

> La question que je me pose c'est en dehors des sites internet qui utilisent 
> ces subnet
> publique et qui ne seront pas accessibles quelles sont les autres 
> conséquences ?

Pas grand-chose. Il y a plusieurs choses à regarder :

- Est-ce que les adresses en question sont annoncées dans la table de routage 
globale (regarder un looking glass) ? Si ce n'est pas le cas, ça enlève la 
plupart des problèmes potentiels. Ca n'enlève pas le risque qu'elles soient 
annoncées un jour, ceci dit.

- A qui les adresses sont alloués ? Si c'est Youtube ou Junisco, ça risque de 
poser des problèmes. Si c'est une entreprise de pompes funèbres dans un autre 
continent à 15000 kilomètres, probablement moins. C'est pas propre non plus, 
mais l'Internet vas pas s'arrêter de tourner.

Plusieurs sites à renuméroter, avec des VPN, c'est du temps et de l'argent. 
Avant de se lancer dans ce genre de chose, faut regarder s'il n'y a pas quelque 
chose de plus important à faire.

Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Willy Manga]

On 16/03/2021 14:25, Fabien H wrote:
> Solution propre : changer le LAN pour respecter la RFC

Solution *plus* propre et perenne:
- repenser le réseau de manière à inclure IPv6

- implémenter un mécanisme de transition soit à son niveau ou mieux en
fonction de ce que le FAI pourrait proposer ou à négocier

- si l'organisation est éligible, elle peut demander ses propres
ressources IPv6 au RIPE NCC

- si elle n'est pas éligible, négocier avec le FAI afin d'obtenir un
bloc IPv6 spécifique

-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Willy Manga]

On 16/03/2021 14:42, David Ponzone wrote:
> Oui enfin, ça dépend si on parle d’un /29 avec 4 PC actifs ou d’un /16 avec 
> 3000 PC actifs.
> 
> Faut surtout regarder à qui appartiennent les IP Publiques en question.
> Si c’est à l’autre bout de la Terra, peu de chance que ça pose problème un 
> jour.

Je pense qu'il vaut mieux toujours être prudent; sans compter sur le
fait qu'il y a des solutions plus perennes.


ex:AS8003 qui annonce depuis peu
- 7.0.0.0/8
- 11.0.0.0/8
- 22.0.0.0/8
Discussion (en anglais) à ce sujet ici [1]

Quand un bloc est alloué à une organisation, il vaut mieux le considérer
tel quel (et donc ne pas l'utiliser à son propre compte) même s'il n'est
pas routé sur l'Internet.

1. https://mailman.nanog.org/pipermail/nanog/2021-March/212569.html


-- 
Willy Manga
@ongolaboy
https://ongola.blogspot.com/



OpenPGP_signature
Description: OpenPGP digital signature

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Julien Escario]

Alors, pour la blague, dans le coin, on passe derrière une boite (qui a
fait faillite) qui adorait numéroter avec des subnets exotiques, comme
si ils avaient lu la RFC1918 de haut en bas mais pas de droite à gauche.

On a plein de 192.10.0.0/24, des 172.168.0.0/24.

On a même une grosse boite nationale, gérée en fédération de fédérations
qui a fait monter un réseau MPLS national et qui route dedans les subs
192.174.0.0/24 et suivants.

Ca donne une jolie table de routage en sortie du LAN :

192.178.253.0/24
192.178.254.0/24

etc. Avec des /28 au milieu sinon c'était trop simple.

Bref, les techs de base ont une fâcheuse tendance à s’asseoir sur
RFC1918 et suivants. J'ai même dû couper des doigts à des petits
nouveaux en interne.

Ah, et pour info, tous les profs de BTS info ici enseignent l'adressage
par classe. Je trimballe un document tout prêt expliquant l'état de
l'art quand je vais en RDV de suivi de mes alternants.

Sinon, vous en êtes où du déploiement IPv6, RPKI et DNSSEC/DANE ?

Julien

Le 16/03/2021 à 14:42, Jerome SCHEVINGT a écrit :
>
> Bonjour,
>
> Cela m'est arrivé plusieurs fois chez des clients sans trop de soucis.
>
> Notamment parce qu'a une époque, il y avait dans les docs IBM des
> exemples
> avec des IP de leur plage, et les premiers admin réseau en herbe
> voyaient sur la doc tel plage
> et bin ils mettaient la même sur leur réseau 
>
> a+
> Jérôme
>
> Le 16/03/2021 à 11:16, Richard MATOS a écrit :
>> Salut la liste,
>>
>> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
>> est-ce que certains parmi vous ont rencontré ce cas de figure ?
>> Si oui quelle solution avez-vous implémenté?
>>
>> Merci
>>
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
-- 
*Julien Escario*
Technicien Informatique

julien.esca...@altinea.fr
Tel direct : 03 74 39 10 21
Support : 09 70 75 44 25

Logo Altinea
*Conseils & Infrastructures
Informatiques*

Accueil : 03 74 39 10 20
9 Rue du faubourg 39570 Nogna
*www.altinea.fr *



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Jerome SCHEVINGT]

Bonjour,

Cela m'est arrivé plusieurs fois chez des clients sans trop de soucis.

Notamment parce qu'a une époque, il y avait dans les docs IBM des exemples
avec des IP de leur plage, et les premiers admin réseau en herbe 
voyaient sur la doc tel plage

et bin ils mettaient la même sur leur réseau 

a+
Jérôme

Le 16/03/2021 à 11:16, Richard MATOS a écrit :

Salut la liste,

J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
est-ce que certains parmi vous ont rencontré ce cas de figure ?
Si oui quelle solution avez-vous implémenté?

Merci





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[David Ponzone]

Aucune autre conséquence.
Tu peux utiliser du publique comme si c’était du privé, faut juste éviter de 
taper dans des IP de Google ou AWS.

> Le 16 mars 2021 à 11:44, Richard MATOS  a écrit :
> 
> Effectivement il a du NAT et multiple sous réseaux dont plusieurs sont
> routable sur internet (plage publique).
> Le vlan voix est bien sur un subnet privé.
> ils ont aussi une vingtaine de sites raccordés en ipsec...
> La question que je me pose c'est en dehors des sites internet qui utilisent
> ces subnet publique et qui ne seront pas accessibles quelles sont les
> autres conséquences ?
> Effectivement ce n'est pas si simple...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Richard MATOS]

Effectivement il a du NAT et multiple sous réseaux dont plusieurs sont
routable sur internet (plage publique).
Le vlan voix est bien sur un subnet privé.
ils ont aussi une vingtaine de sites raccordés en ipsec...
La question que je me pose c'est en dehors des sites internet qui utilisent
ces subnet publique et qui ne seront pas accessibles quelles sont les
autres conséquences ?
Effectivement ce n'est pas si simple...

Merci merci

Le mar. 16 mars 2021 à 11:32, Stephane EVEILLARD <
stephane.eveill...@outlook.fr> a écrit :

> Translation d’adresse, multiples sous réseaux, mélange voix data
>
> Même si Fabien a raison sur le fond, a savoir  refaire le Lan
>
> C’est dans la réalité pas toujours aussi simple
>
>
>
>
>
> *Cordialement / Best Regards*
>
>
>
> *Stéphane EVEILLARD*
>
>
>
>
>
>
>
>
>
>
>
> *De :* Richard MATOS 
> *Envoyé :* mardi 16 mars 2021 11:30
> *À :* Stephane EVEILLARD 
> *Cc :* frnog-tech 
> *Objet :* Re: [FRnOG] [TECH] Subnet ip publique sur LAN
>
>
>
> Il se connecte via une fibre + backup 4G, qu'est ce que tu veux savoir
> exactement sur sa connexion?
>
>
>
>
>
> Le mar. 16 mars 2021 à 11:21, Stephane EVEILLARD <
> stephane.eveill...@outlook.fr> a écrit :
>
> Bonjour
>
>
>
> C’est un phénomène plus fréquent qu’on ne pense
>
> Comment se connecte-t-il à Internet pour le moment ?
>
>
>
>
>
> *Cordialement / Best Regards*
>
>
>
> *Stéphane EVEILLARD*
>
>
>
>
>
>
>
>
>
>
>
> *De :* frnog-requ...@frnog.org  *De la part de*
> Richard MATOS
> *Envoyé :* mardi 16 mars 2021 11:16
> *À :* frnog-tech 
> *Objet :* [FRnOG] [TECH] Subnet ip publique sur LAN
>
>
>
> Salut la liste,
>
>
>
> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
> est-ce que certains parmi vous ont rencontré ce cas de figure ?
>
> Si oui quelle solution avez-vous implémenté?
>
>
>
> Merci
>
>
>
>
> --
>
> Richard MATOS
>
>
>
>
> --
>
> Richard MATOS
>


-- 
Richard MATOS

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[David Ponzone]

Oui enfin, ça dépend si on parle d’un /29 avec 4 PC actifs ou d’un /16 avec 
3000 PC actifs.

Faut surtout regarder à qui appartiennent les IP Publiques en question.
Si c’est à l’autre bout de la Terra, peu de chance que ça pose problème un jour.

> Le 16 mars 2021 à 11:32, Stephane EVEILLARD  a 
> écrit :
> 
> Translation d’adresse, multiples sous réseaux, mélange voix data
> Même si Fabien a raison sur le fond, a savoir  refaire le Lan
> C’est dans la réalité pas toujours aussi simple
> 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Subnet ip publique sur LAN

[Stephane EVEILLARD]

Translation d’adresse, multiples sous réseaux, mélange voix data
Même si Fabien a raison sur le fond, a savoir  refaire le Lan
C’est dans la réalité pas toujours aussi simple


Cordialement / Best Regards

Stéphane EVEILLARD





De : Richard MATOS 
Envoyé : mardi 16 mars 2021 11:30
À : Stephane EVEILLARD 
Cc : frnog-tech 
Objet : Re: [FRnOG] [TECH] Subnet ip publique sur LAN

Il se connecte via une fibre + backup 4G, qu'est ce que tu veux savoir 
exactement sur sa connexion?


Le mar. 16 mars 2021 à 11:21, Stephane EVEILLARD 
mailto:stephane.eveill...@outlook.fr>> a écrit :
Bonjour

C’est un phénomène plus fréquent qu’on ne pense
Comment se connecte-t-il à Internet pour le moment ?


Cordialement / Best Regards

Stéphane EVEILLARD





De : frnog-requ...@frnog.org<mailto:frnog-requ...@frnog.org> 
mailto:frnog-requ...@frnog.org>> De la part de Richard 
MATOS
Envoyé : mardi 16 mars 2021 11:16
À : frnog-tech mailto:frnog-t...@frnog.org>>
Objet : [FRnOG] [TECH] Subnet ip publique sur LAN

Salut la liste,

J'ai un client qui utilise un plage d'adresse ip publique sur son LAN, est-ce 
que certains parmi vous ont rencontré ce cas de figure ?
Si oui quelle solution avez-vous implémenté?

Merci


--
Richard MATOS


--
Richard MATOS

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Richard MATOS]

Il se connecte via une fibre + backup 4G, qu'est ce que tu veux savoir
exactement sur sa connexion?


Le mar. 16 mars 2021 à 11:21, Stephane EVEILLARD <
stephane.eveill...@outlook.fr> a écrit :

> Bonjour
>
>
>
> C’est un phénomène plus fréquent qu’on ne pense
>
> Comment se connecte-t-il à Internet pour le moment ?
>
>
>
>
>
> *Cordialement / Best Regards*
>
>
>
> *Stéphane EVEILLARD*
>
>
>
>
>
>
>
>
>
>
>
> *De :* frnog-requ...@frnog.org  *De la part de*
> Richard MATOS
> *Envoyé :* mardi 16 mars 2021 11:16
> *À :* frnog-tech 
> *Objet :* [FRnOG] [TECH] Subnet ip publique sur LAN
>
>
>
> Salut la liste,
>
>
>
> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
> est-ce que certains parmi vous ont rencontré ce cas de figure ?
>
> Si oui quelle solution avez-vous implémenté?
>
>
>
> Merci
>
>
>
>
> --
>
> Richard MATOS
>


-- 
Richard MATOS

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Fabien H]

Solution propre : changer le LAN pour respecter la RFC
Solution sale : Sur le routeur qui sert de passerelle LAN, faire des routes
statiques avec masque plus précis que le masque du LAN et envoyer vers la
Gateway Internet

Le mar. 16 mars 2021 à 11:22, Stephane EVEILLARD <
stephane.eveill...@outlook.fr> a écrit :

> Bonjour
>
> C’est un phénomène plus fréquent qu’on ne pense
> Comment se connecte-t-il à Internet pour le moment ?
>
>
> Cordialement / Best Regards
>
> Stéphane EVEILLARD
>
>
>
>
>
> De : frnog-requ...@frnog.org  De la part de
> Richard MATOS
> Envoyé : mardi 16 mars 2021 11:16
> À : frnog-tech 
> Objet : [FRnOG] [TECH] Subnet ip publique sur LAN
>
> Salut la liste,
>
> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,
> est-ce que certains parmi vous ont rencontré ce cas de figure ?
> Si oui quelle solution avez-vous implémenté?
>
> Merci
>
>
> --
> Richard MATOS
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Subnet ip publique sur LAN

[Pavel Polyakov via frnog]

Richard MATOS  wrote:

> J'ai un client qui utilise un plage d'adresse ip publique sur son LAN,

Oui mais c'est lui qui les annonce à l'Internet ces adresses ? Sinon
c'est de la connerie.

--
PP


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Subnet ip publique sur LAN

[Stephane EVEILLARD]

Bonjour

C’est un phénomène plus fréquent qu’on ne pense
Comment se connecte-t-il à Internet pour le moment ?


Cordialement / Best Regards

Stéphane EVEILLARD





De : frnog-requ...@frnog.org  De la part de Richard 
MATOS
Envoyé : mardi 16 mars 2021 11:16
À : frnog-tech 
Objet : [FRnOG] [TECH] Subnet ip publique sur LAN

Salut la liste,

J'ai un client qui utilise un plage d'adresse ip publique sur son LAN, est-ce 
que certains parmi vous ont rencontré ce cas de figure ?
Si oui quelle solution avez-vous implémenté?

Merci


--
Richard MATOS

---
Liste de diffusion du FRnOG
http://www.frnog.org/