Адреса RFC 1918 у відкритому Інтернеті?

Намагаючись діагностувати проблему з відмовою у моїх брандмауерах Cisco ASA 5520, я побіг прослідкувати на www.btfl.com, і, на моє здивування, деякі з хмелів повернулися як адреси RFC 1918.

Щоб було зрозуміло, цей хост не знаходиться за моїм брандмауером, і VPN не задіяний. Мені доводиться підключатися через відкритий Інтернет, щоб потрапити туди.

Як / чому це можливо?

asa# traceroute www.btfl.com

Tracing the route to 157.56.176.94

 1  <redacted>
 2  <redacted>
 3  <redacted>
 4  <redacted>
 5  nap-edge-04.inet.qwest.net (67.14.29.170) 0 msec 10 msec 10 msec
 6  65.122.166.30 0 msec 0 msec 10 msec
 7  207.46.34.23 10 msec 0 msec 10 msec
 8   *  *  *
 9  207.46.37.235 30 msec 30 msec 50 msec
 10 10.22.112.221 30 msec
    10.22.112.219 30 msec
    10.22.112.223 30 msec
 11 10.175.9.193 30 msec 30 msec
    10.175.9.67 30 msec
 12 100.94.68.79 40 msec
    100.94.70.79 30 msec
    100.94.71.73 30 msec
 13 100.94.80.39 30 msec
    100.94.80.205 40 msec
    100.94.80.137 40 msec
 14 10.215.80.2 30 msec
    10.215.68.16 30 msec
    10.175.244.2 30 msec
 15  *  *  *
 16  *  *  *
 17  *  *  *

і це робиться те саме, що і в моєму підключенні FiOS вдома:

C:\>tracert www.btfl.com

Tracing route to www.btfl.com [157.56.176.94]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  myrouter.home [192.168.1.1]
  2     8 ms     7 ms     8 ms  <redacted>
  3    10 ms    13 ms    11 ms  <redacted>
  4    12 ms    10 ms    10 ms  ae2-0.TPA01-BB-RTR2.verizon-gni.net [130.81.199.82]
  5    16 ms    16 ms    15 ms  0.ae4.XL2.MIA19.ALTER.NET [152.63.8.117]
  6    14 ms    16 ms    16 ms  0.xe-11-0-0.GW1.MIA19.ALTER.NET [152.63.85.94]
  7    19 ms    16 ms    16 ms  microsoft-gw.customer.alter.net [63.65.188.170]
  8    27 ms    33 ms     *     ge-5-3-0-0.ash-64cb-1a.ntwk.msn.net [207.46.46.177]
  9     *        *        *     Request timed out.
 10    44 ms    43 ms    43 ms  207.46.37.235
 11    42 ms    41 ms    40 ms  10.22.112.225
 12    42 ms    43 ms    43 ms  10.175.9.1
 13    42 ms    41 ms    42 ms  100.94.68.79
 14    40 ms    40 ms    41 ms  100.94.80.193
 15     *        *        *     Request timed out.

Маршрутизатори можуть підключатися один до одного за допомогою RFC1918 або інших приватних адрес, і насправді це дуже часто для таких речей, як посилання "точка-точка" та будь-яка маршрутизація, яка відбувається всередині АС.

Тільки прикордонні шлюзи в мережі насправді потребують відкритих маршрутизованих IP-адрес для маршрутизації для роботи. Якщо інтерфейс маршрутизатора не підключається до будь-якого іншого АС (або будь-якого іншого постачальника послуг, простіше кажучи), не потрібно рекламувати маршрут в Інтернеті, і лише обладнання, що належить цьому ж об'єкту, потрібно буде безпосередньо підключитися до інтерфейс.

Те, що пакети повертаються вам таким чином у traceroute, є незначним порушенням RFC1918, але фактично не потрібно використовувати NAT для цих пристроїв, оскільки вони самі не підключаються до довільних речей в Інтернеті; вони просто проходять уздовж руху.

Те, що трафік проходить (можливо, схематичним) маршрутом через декілька організацій, які він робить, є лише наслідком роботи протоколів маршрутизації зовнішніх шлюзів. Здається абсолютно розумним, що Microsoft має деяку основу, і деякі люди заглядали в нього; вам не потрібно бути оптовим провайдером для маршрутного руху.

Те, що трафік пройшов через декілька серій маршрутизаторів з приватними IP-адресами, проїжджаючи через них із відкритими IP-адресами між собою, не особливо дивно - це просто вказує (у цьому випадку) дві різні мережі по трасі направили трафік через власні маршрутизатори. яку вони вирішили пронумерувати таким чином.

Не лише RFC 1918 ... також RFC 6598 , тобто 100.64.0.0/10простір CGN. Обидва ці мережі є приватними мережами, але остання останнім часом стандартизована і менш відома.

Це не є незвичним з точки зору мікросхеми. Ви насправді не спілкуєтесь безпосередньо з тими хостами 10 і 100 просторів, ви надсилаєте пакети з інтенсивно більшими TTL на наступний хоп-роутер. Щоб уникнути занадто довгого відповіді, цей посилання у Вікіпедії підсумовує процес.

Що є незвичайним є те, що , що цей пакет проходить через простір публічного IP, а потім по тунелю через приватний IP простір для досягнення «громадської» мережі ще раз. 157.56.176.94належить корпорації Майкрософт, і пакет передає мережі, що належать MS, перш ніж потрапляти в приватну мережу ... тому Microsoft просто вирішує робити з їх мережевим простором на обох кінцях приватного простору. Вони рекламують маршрути; інші маршрутизатори просто роблять те, що їм сказано.

Як правило, ні, оператори мережі, як правило, не виставляють своїх приватних мереж по маршруту до загальнодоступного ІР-простору за межами своєї мережі. Ось чому це так незвично.

(це може бути пропущений маршрут десь на їхньому кордоні, через що пакети проходять неоптимальний шлях, який врешті-решт доходить до місця призначення, але я не є мережевим хлопцем, і, певно, хтось може скористатись кращим результатом)