Adresse publique sur un reseau local

[megagolgoth]

Bonjour,


Je voudrais avoir votre avis sur le problème suivant :

"Sur un réseau local, installé par un prestataire de service, il est utilisé des adresses IP publiques (@ réseau 200.11.36.0/24). Je trouve ceci assez bizarre, car cela brise quelques conventions (si ce ne sont pas des règles de base! cf RFC 1918 http://tools.ietf.org/html/rfc1918). Qu'en pensez-vous?"

Fraichement sortis de l'école, je sais qu'au niveau "crédibilité" je dois encore faire mes preuves, d'autant que mes diplômes ne font pas de moi un pur administrateur système. Au niveau de l'administration système, j'ai acquis par moi-même, une certaine compétence. Je vous sollicite donc, afin de confirmer ou d'infirmer mes conclusions, que j'explique plus bas.

Le réseau ayant été installé par un prestataire qualifié, avec tout ce que cela comporte au niveau de ses responsabilités légales, je me suis dit qu'il devait avoir une TRES bonne raison d'avoir choisis ce type d'adressage. Mais pour le moment je ne trouve cette TRES bonne raison.

L'autre possibilité, mais que j'écarte pour le moment, est qu'il aurait installé le réseau "avec les pieds".

Pour le moment le réseau fonctionne, mais je pense que ca peut devenir problématique.

Un des risques est que si un site web nommons le "pouet.zz" utilise une adresse IP qui est la meme qu'une des machines sur mon réseau local avec des IP publiques :
- Lors de l'interrogation du DNS, lorsque que je voudrais consulter pouet.zz (sur ma machine, sur le réseau local a IP publique), le DNS me renverra l'adresse IP utilisé par pouet.zz
- Mais dès que je contacterais cette IP, j'interrogerai la machine sur le réseau local, non? Le routeur sur le réseau fera de la remise locale, au lieu d'envoyer la requête sur Internet.

Après je pense qu'il y a d'autre implications, mais je ne les ai pas encore trouvé. Si vous avez des pistes....

[ccnet]

De deux choses l'une.
Soit l'entreprise est effectivement titulaire de cette ip et tout va bien, du moins formellement. On peut choisir d'utiliser des ip publiques sur un réseau local. Ce choix peut être discuté. Je n'en vois pas la pertinence pour les postes utilisateurs contrairement aux serveurs où il peut y en avoir une.

Soit ce n'est pas le cas et rien ne justifie un tel choix et le professionnalisme du prestataire initial est à remettre en cause. Les problèmes que vous évoquez pourrait effectivement se poser.

[jdh]

Tu as dit ce qu'il faut dire sur l'utilisation d'@ ip publiques.


Quelques souvenirs :

- J'ai choisi un plan de n° d'un réseau de 12 sites avec des @ ip publiques (genre 200.1.x, 200.2.x, ...) parce que je ne connaissais pas la RFC1918. Le fournisseur des lignes (des Transfix de 64k de chez FT) ne m'a rien dit ! C'était au siècle dernier : en 97. Mais j'étais jeune ...

- Un ingénieur qui faisait l'audit du firewall et de la dmz que j'avais mis en place, m'a reproché l'utilisation d'adresses ip en DMZ. A juste titre ! Les arguments étaient : gaspillage d'adresses ip (j'avais coupé en 2 sous-segments les @ip attribuées /28 en 2x /29), caractère inutile : quand un firewall analyse un paquet, cela ne coute pas de changer une adresse ip.

- Le site où je travaille (le lundi) a pour numéro 52.0.0.0/8 (nouveau depuis décembre 2008) et 128.149.1.x/24 (ancien) !


Aujourd'hui, un fournisseur ou un prestataire devrait dire quelque chose sur la RFC1918 !

En fait, agir comme cela est le résultat de la méconnaissance et d'une certaine faignantise. Deux travers graves que l'on peut/doit reprocher à un informaticien !

[megagolgoth]

Les adresses IP sont possédé par une entité nommé DESCO qui est quelques part vers le Pérou, dixit la barre anti-hameconnage Netcraft, et le traceroute de Bbox.ch ( http://www.bbox.ch/default.asp?m=15 ). Bon après j'ai pas vérifié plus que ça...

Je ne vais envoyer griller le prestataire dans l'enfer des administrateur système, mais je voudrais plutot essayer de migrer vers un truc genre 192.168.2.0/24.
Blague a part, bon ça fait plus adresse réseau "de la maison" (cf ip sur les box internet, etc...), mais ça respecte la RFC1918, et c'est plus propre.

D'après ce que j'ai compris vous considérez cette erreur comme plutôt grave, non? La RFC1918 étant dèjà LE argument qui-tiendra-toujours-la-route, j'espère faire entendre raison au prestataire.
Au passage, peut-etre tous faire migrer en DHCP, avec des réservation sur les Adresse MAC, tout cela géré avec un IPCOP.

Sinon, ca peut etre considéré comme une faute professionnel ce genre de truc?

[ccnet]

Si cette situation devait dégénérer en particulier sur le plan judiciaire (en l'état il n'y a pas de quoi, mais parfois les gens veulent absolument se facher plutôt que de résoudre les problèmes) et qu'un expert était désigné, je pense qu'il retiendrait la responsabilité pleine et entière du prestataire. Ignorer la rfc 1918 est quand même aujourd'hui un manquement grave. Je ne sais pas à quelle date remonte la configuration initiale.
Je crois aussi qu'il est sage de chercher avant tout à corriger le problème sans enfoncer le prestataire précédent, mais en posant néanmoins clairement les responsabilités. Au moins pour vous.

[jdh]

Ce n'est pas grave c'est de la méconnaissance ! Or ce qu'on attend d'un prestataire c'est la connaissance.


Actuellement, j'ai un stagiaire de 20 ans en 2me année de BTS qui connait cette RFC. Alors il serait inacceptable qu'un ingénieur vienne me proposer un plan d'adressage de ce type pour un nouveau site !

J'ai du mal à comprendre qu'une entreprise avec 2500 @ip, qui reprend 6 ou 7 nouveaux sites, ne profite pas pour mettre en place ces sites sur la base d'un plan correct ! Si on comprend que 52.0.0.0/8 désigne un site puis 53.0.0.0/8 le suivant, il serait tout aussi aisé de se repérer avec 10.52.0.0/16 puis 10.53.0.0/16 (bien sur il faut savoir se contenter de 65534 machines sur chaque site).

Si on t'a proposé ce type d'adresse pour un réseau "traditionnel" (1 routeur + qq serveurs + qq imprimantes + qq micros et portable), c'est en effet assez stupide.

Pourquoi ne pas leur demander de changer l'adressage (grâce à DHCP) en prestation gracieuse ? Un inventaire rapide (avec arpwatch ou, mieux, nmap), le changement manuel pour les machines fixes (routeur/firewall, serveurs, imprimantes), et roule ...

[megagolgoth]

Bah en général le prestataire est suffisament présent (dixit les employés) pour résoudre les problème, pis bon le probleme de se facher avec le prestataire, justice et tout ça, c'est les délais que ca prends! Donc non.

Bon la le reseau est de taille TPE (une vingtaine d'utilisateur, quelques imprimantes, 2-3 serveurs). Pour eux, les utilisateurs que ce soit comme c'est actuellement (car on m'as rien proposé c'est comme ça depuis 1an et demi), ou avec un adressage plus "propre", peu importe, et c normal .

Je suis arrivé dans la boite y'a quelques semaines, avec l'informatique (en "général", car c'est plutot depannage utilisateur, poste, serveur, reseau) comme mission annexe. Ma mission principal est plus du web/SI/marketing/comm'/mgnt de projet . Donc le prestataire est encore le notre pour quelques temps, si je me réfère au contrat. L'enfoncer violemment et gratuitement serait suicidaire... et idiot! Je vais juste lui appuyer un peu sur la tête, histoire de le réveiller...

Mais à la vue des trucs "pas propre" qu'il y a sur le reseau j'ai proposé de faire un état des lieu, et quelques proposition.
Car j'estime qu'ayant a dépanner ponctuellement les utilisateurs, gerant ler serveur web pour l'intranet, mais surtout possédant aussi un prestataire pour les trucs plus "poilu", je me devais essayer d'augmenter la qualités du système, car ici 'si y'a plus de réseau, y'a plus de boulot'.

Comme vous l'avez expliqué le non-respect de la RFC1918 est inacceptable, surtout de la part d'un professionnel.

Quand au changement d'adressage via DHCP, c'est ce que je propose, comme ça ca sera plus simple, surtout si une nouvelle machine arrive sur le reseau. Et vu que je connais assez bien IPCop, ca serait bien comme système, car je sais comment gérer le truc.

[arapaho]

- J'ai choisi un plan de n° d'un réseau de 12 sites avec des @ ip publiques (genre 200.1.x, 200.2.x, ...) parce que je ne connaissais pas la RFC1918. Le fournisseur des lignes (des Transfix de 64k de chez FT) ne m'a rien dit ! C'était au siècle dernier : en 97. Mais j'étais jeune ...

Oui, tu avais plus de 34 ans. Ceci dit, il n'y a pas d'âge pour se faire tirer les oreilles.

- Un ingénieur qui faisait l'audit du firewall et de la dmz que j'avais mis en place, m'a reproché l'utilisation d'adresses ip en DMZ. A juste titre ! Les arguments étaient : gaspillage d'adresses ip (j'avais coupé en 2 sous-segments les @ip attribuées /28 en 2x /29), caractère inutile : quand un firewall analyse un paquet, cela ne coute pas de changer une adresse ip.

Et après, nous nous étonnons de voir l'espace d'adressage v4 fondre comme neige au soleil. Tu mérites le pal.

Plus sérieusement, quelle est la règle qui impose l'utilisation des blocs d'IP réservés pour les réseaux internes ? Ces blocs ont été créés uniquement afin de limiter la distribution des blocs publics.
Ensuite, si on veux appliquer la RFC à la lettre, on peut utiliser ces blocs lorsqu'on ne souhaite pas être routé sur le net. Mais il reste totalement possible d'utiliser d'autres blocs, en toute connaissance de cause évidemment.

[jdh]

Oui mon cher Arapaho !

Parfois on créé le dessin d'un réseau sur la nappe du restaurant ! (Il manque juste le youkounkoun !)

J'installe mon premier Linux (une Yggdrasil) en 1994 et je connais pas, en 1997, la RFC1918 ! A cette époque, point de dhcp, de dns, Internet c'était souvent le modem 14400 et au mieux le 33600 ! Quelle épique époque ! Que de souvenirs avec ces Transfix 64k alors qu'aujourd'hui une adsl 1024k à la maison serait la "honte" ! En 1997, la majorité des postes de l'entreprise (du moment) tournaient encore en Win 3.11 "Workgroup" et tcp/ip n'était pas le standard (puisqu'il fallait l'ajouter) : s'il y avait un serveur c'était un Novell 3.12 (et donc ipx/spx) !

La dmz avec la moitié des @ip publiques, c'est février 1999 (une liaison louée à 64k passée à 256k courant 2000). (Et un Domino en "open relay" pendant 3 jours !)

Je peux donc être assez indulgent aujourd'hui ... sauf qu'avec G. et certains forums (Ixus ?) on trouve beaucoup de choses désormais très vite.

Un /28 cela fait 13 adresses dispo (dont 1 pour le firewall).
En coupant en 2 réseaux /29, il reste 10 adresses dispo (dont 1 pour le firewall) : bilan 3 adresses perdues ! (Et toujours ce fai qui ne dit rien quand je lui demande une route dans son routeur !)


Concernant la RFC1918, elle indique les adresses ip à utiliser pour les réseaux privés (10.0.0.0/8, 172.16-31.0.0/16 et 192.168.0.0/16).

Cela a notablement,
- comme conséquence DIRECTE, que le trafic "privé" ne doit pas être routé dans les routeurs liés à Internet (cf par exemple le "blockage rfc1918" dans pfSense);
- comme conséquence INDIRECTE d'utiliser du NAT à la périphérie;
- comme conséquence DIRECTE de ne pas communiquer avec tout adresse ip publique utilisée (si jamais l'une d'elles correspondait à un client ?);

La lisibilité d'une adresse n'est elle pas toute relative ? Par exemple peut on reconnaitre immédiatement 3232235777 comme l'adresse d'une livebox ? (Faites le test : ping 3232235777 !).
L'espace disponible dans les adresses privées n'est-il pas déjà suffisant ? (Quoique la nature a horreur du vide : regarder les breaks Volv. avec une remorque !)
Demain, avec ipv6 (déjà au sein des gsm), il n'y aura plus de NAT !



(Une citation de Clémenceau : "les dictatures militaires, c'est comme le supplice du pal : cela commence bien mais ça finit mal" !)

[arapaho]

Parfois on créé le dessin d'un réseau sur la nappe du restaurant ! (Il manque juste le youkounkoun !)

Je le fais très souvent. Par contre, j'emmène toujours le set avec moi après, pour reproduire tout cela sur un grand tableau blanc.

Un /28 cela fait 13 adresses dispo (dont 1 pour le firewall).
En coupant en 2 réseaux /29, il reste 10 adresses dispo (dont 1 pour le firewall) : bilan 3 adresses perdues !

Hum Hum

Demain, avec ipv6 (déjà au sein des gsm), il n'y aura plus de NAT !

Sympathique que le rebond se fasse la dessus. Ne soyont pas dupes, Ipv6, c'est maintenant, surement pas demain.
Et pourtant, depuis quelques temps, des FAI fournissant à leurs clients des ip privées apparaissent. Certains effectuent même plus d'une étape de NAT sur leur réseau. Qu'est ce que cela veut signifie ? Une grande méconnaissance, une grande incompétence ou encore un choix étriqué qui est justifié par le manque d'adresse IPv4 ?

[ccnet]

Demain, avec ipv6 (déjà au sein des gsm), il n'y aura plus de NAT !

Sympathique que le rebond se fasse la dessus. Ne soyont pas dupes, Ipv6, c'est maintenant, surement pas demain.

Je "fréquente" un certain nombre de (très) grandes entreprises et d'autres ... pas vu beaucoup d'ip V6. A part Renater ... c'est un peu le dernier des soucis des dsi.

[jdh]

Tu as certainement raison, ccnet.

Néanmoins, il y a un FAI qui propose un accès natif ipv6 à ses clients ADSL. (http://linuxfr.org/2009/01/22/24900.html)

Le client ipv6 existe pour XP (à télécharger), Vista (de base) (Seven idem Vista).
Sous Linux, ipv6 est disponible depuis plus longtemps encore (vous savez le ::1 dans /etc/hosts !).

Nous n'échapperons pas à des tunnels ipv6/ipv4 (échapperons rouges ?). Par exemple, pour l'excellent Shorewall : http://www.shorewall.net/6to4.htm.

Notre métier c'est de savoir ce qui va se passer même si c'est dans 2 ans, 3 ans, ...

NAT, ipsec (qui est natif) vont fonctionner de façon différente ...



(Récemment, j'ai commandé des lignes avec des contacts chez Orange et Sfr : aucun m'a parlé d'ipv6 ! Par contre ils m'ont tous parlé de virer les T2 !)

[ccnet]

Notre métier c'est de savoir ce qui va se passer même si c'est dans 2 ans, 3 ans, ...

Complètement d'accord, c'est aussi une des conditions de notre survie professionnelle.

[arapaho]

Je "fréquente" un certain nombre de (très) grandes entreprises et d'autres ... pas vu beaucoup d'ip V6. A part Renater ... c'est un peu le dernier des soucis des dsi.

Que ce soit le dernier des soucis des DSI de grandes entreprises m'étonne peu, même si c'est une erreur fondamentale (sans généraliser, il doit quand même exister 3% de bon DSI).
Par ailleurs, quel sont les soucis des DSI des grandes entreprises à part la rentabilité (en mettant évidemment de côté le flan habituel de buzzwords de ces personnes) ?

Je reste tout de même sur l'idée que IPv6, c'est aujourd'hui, pas demain. Je ne vois pas en quoi cela peut être demain. Evidemment, on peut se dire que son fournisseur ne permet pas l'obtention de cette technologie, mais quid de son réseau "privé" ? Quid d'expérimentations internes ?

Néanmoins, il y a un FAI qui propose un accès natif ipv6 à ses clients ADSL. (http://linuxfr.org/2009/01/22/24900.html)

Il existe d'autres fournisseurs: Nerim (natif), EasyNet, Tiscali, Tele2 (natif) et encore pas mal d'autres.

(Récemment, j'ai commandé des lignes avec des contacts chez Orange et Sfr : aucun m'a parlé d'ipv6 ! Par contre ils m'ont tous parlé de virer les T2 !)

Orange a déjà attendu d'être l'émetteur #1 au monde de spam pour prendre une décision relativement discutable afin de juguler cette peste. Alors, qu'ils ne proposent pas de choses intéressantes ne me surprend guère non plus.
SFR s'intéresse quand même à la chose, d'une drôle de manière, je te l'accorde: http://www.internetdedemain.fr/

[ccnet]

Je reste tout de même sur l'idée que IPv6, c'est aujourd'hui, pas demain. Je ne vois pas en quoi cela peut être demain.

Etant assez pragmatique je constate qu'il n'est pratiquement pas déployé, qu'une infime partie du trafic est en ipv6 (en encore pour transporter de l'ip V4 majoritairement). C'est tout. Je ne vois pas d'actualité d'ip V6 sur les réseaux. Que des FAI le propose, qu'il faille le faire, oui, mais la réalité pour le moment est tout autre.