Данное поведение провайдера это норма?

Question

[Sergey Ryzhkin]

На статью на Хабре не тянет, поэтому спрошу тут о ситуации.

Вопрос в следующем: "Нормально ли это?"

Настраивал ноутбук с включенным Wi-Fi, сетевая была свободная. Так случилось, что нужно было настроить сетевой принтер "по-быстрому". Не вопрос, ставлю локальный адрес на ноуте и потом на принтере. По сложившейся уже давно традиции перед назначением адреса я их пингую. Адрес просто взялся рандомно из головы, без раздумий - 192.168.40.41 и для принтера хотел сделать 192.168.40.40.
Но дальше пошло волшебство, я пинганул с ноута адрес 192.168.40.41 и он отвечал, хотя такого быть не может. У меня нет ни 40 сети, ни тем более этого адреса. Далее в дело пошел трасерт.

tracert 192.168.40.41
Трассировка маршрута к 192.168.40.41 с максимальным числом прыжков 30
 
  1    <1 мс    <1 мс    <1 мс  192.168.2.250
  2    <1 мс    <1 мс    <1 мс  192.168.1.1
  3     4 ms     4 ms     4 ms  73.*****.donpac.ru [73.*****]
  4     4 ms     4 ms     4 ms  188.***.172
  5    43 ms    37 ms    37 ms  192.168.40.41

Любопытный читатель сразу же увидит, кому из провайдеров принадлежат адреса.

Второе мое логическое действие это звонок в ТП данного провайдера, чтобы уточнить, почему я у себя в сети вижу чей-то адрес. Ответ был следующим:

Он из частной сети, на нашем оборудовании не определяется, не резолвится через 2IP и подобные сервисы. Проблема на вашем оборудовании.

Если не брать во внимание то, что ТП зачем-то пробивали адрес 192.168.40.41 на внешнем сервисе 2ip, на мой вполне логичный (как я думаю) вопрос: Причем тут мое оборудование, если на третьем шаге ваш шлюз перенаправил мой запрос сначала на другое оборудование (тоже этого провайдера), а потом и на конечный адрес, который не пойми где находится, последовал очередной ответ:

Но каким-то же образом это оборудование с данным IP-адресом отобразилось в Вашем мониторинге

С нашей стороны предоставляется по договору услуга «Доступ в Интернет»
Соответственно, маршрутизация нашего оборудования не отбрасывает шаги при трассировке и позволяет пинг
Сделала бы она это в том случае, если IP 192.168.40.41 принадлежит Вашей внутренней сети

А данный IP вполне возможно Вы можете пропинговать, если на оборудовании, которому он принадлежит, открыт доступ из внешней сети
Если Вы хотите дополнительно защитить свою сеть от предполагаемого несанкционированного подключения с этого адреса - можем предложить Вам дополнительно настроить Access-list у Вас на оборудовании и запретить любой трафик по любым портам с IP 192.168.40.41

Т.е. получается у Ростелекома (извините за спойлер), вообще никаких ограничений нет в их сети, и то что я пингую чейто адрес оборудования, которое втыкнуто в коммутатор в другом городе - это впорядке вещей. У них нет ни vlan, ни каких-то других разграничителей доступа для разных организаций или банально сегментов сети.
А проблема оказывается лечится на моей стороне при помощи ACL.

Это норма и я чего-то не понимаю?

Comments

[kprohorow]

Да, у них нет vlan и других ограничений в сети ввиду низкой квалификации обслуживающего персонала.

[White]

Зато у них нет двойного nat можно приспокойно дднс настроить и впнку запилить, и порты пробросить, и покупать статику не нужно как у некоторых, а так фаервол настроил и спи спокойно :)

Answer 1

[CityCat4]

Практически первым шагом у меня было заблокировать любой трафик с RFC1918-совместимых адресов с внешнего интерфейса и точно также его заблокировать с внутренних адресов, если он уходит на внешний интерфейс.

Судя по счетчику дропов - отброшено около 100 Мб таких пакетов :) И голова не болит. Да, могут быть и криворукие юзера и не менее криворукие провайдеры - но это уже не мое дело

Comments

[Sergey Ryzhkin]

Несомненно вещь нужная, но она должна идти как дополнение, но никак не панацея решения проблемы. Она должна перестраховывать.

[CityCat4]

Sergey Ryzhkin, Ну правильно. Провайдер может быть блокирует RFC1918-совместимый трафик. А может быть и нет. А может быть он "полосатую" сеть построил даже (был у меня случай построения в городе Красноярске местными провайдерами "полосатой" сети - они пропускали друг к другу серый трафик и пришлось с ними преизрядно повоевать, чтобы наш трафик они стали маршрутизировать как сторонний, правда это было очень давно). Поэтому я уж сам чего мне не надо заблокирую.

[Sergey Ryzhkin]

CityCat4, Я правильно понимаю, что мне просто нужно на Керио блокировать на интерфейсе который смотрит наружу входящий трафик с набора адресов ?
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

[CityCat4]

Sergey Ryzhkin, да. Ибо этот трафик не должен ходить во "внешней" сети и оказался там по недосмотру криворуких админов. Еще я обычно баню входящий от следующих сетей:

/ip firewall address-list
add address=0.0.0.0/8 comment="Reserved nets by draft-manning-dsua-03.txt. Include RESERVED-1, DHCP autoconfig, NET-TEST and MULTICAST class D and class E nets. Must be dropped on any gateway" \
    list="Reserved nets"
add address=192.0.2.0/24 list="Reserved nets"
add address=240.0.0.0/4 list="Reserved nets"

Вот неплохое описание немаршрутизируемых блоков адресов

[Вася Пупкин]

CityCat4, А можете помочь с пояснением?
У меня тоже Kerio и он еще не настроен, хочу сделать сразу правильно чтобы не столкнуться с такой же проблемой.
То что выделено синим я создал, все остальное было по умолчанию при разворачивании керио.
Правильно ли я понимаю, что для того, чтобы чья-то локальная сеть не ломилась ко мне, мне нужно просто вместо allow поставить "Запрет" и тогда все что идет с первой подсети будет отбрасываться?

Но разве это не означает что и мои адреса будут отбрасываться. Как интерфейс поймет локальный это адрес или нет. У него есть входящие и ему без разницы с локальной сети запрос пришел или с нет. Как он поймет что мой запрос не надо блокировать с 1 подсети а чужой надо.

[CityCat4]

Вася Пупкин, Я понятия не имею, как админить керио. Я использую микротик, он прекрасно различает входящие и исходящие интерфейсы. Тупые роутеры обычно называют их WAN и LAN - WAN - входящий, LAN - исходящий

[fpir]

CityCat4, Банить входящие - естн, всегда надо. Но вот банить все частные диапазоны - для провайдера эта сеть внутренняя и он может на частных адресах держать там внутренне ресурсы. Почти всегда он там держит страницу лк, чтоб при нуле вы могли это увидеть и оплатить. Ну, т.е вы можете предполагать для себя все возможные сценарии и сами решать, какие из них допустимы, но советовать это всем, да ещё и без разъяснений - ну такое себе.

[CityCat4]

fpir, О, Боже, я за ... надцать лет настолько устал обьяснять, что имею полное право банить RFC1918-адреса и на входе и на выходе и вправе ожидать соблюдения RFC от всех прочих, что ничего не скажу. Если провайдер ... неумный, то он может задействовать такие адреса, конечно. Я же говорил - был свидетелем того, как три городских провайдера Красноярска обьединились и использовали RFC1918-адреса как свою "обьединенную локалку". Всем было похрен - ну, кроме нас.

[fpir]

CityCat4,

Если провайдер ... неумный, то он может задействовать такие адреса, конечно

А они все задействуют такие адреса, только не 192.168., а 172.16. или 10. А когда кончаются деньги они такие адреса выдают по DHCP. И получив такой адрес, с вашими правилами, вы тупо со шлюзом обмениваться не сможете.
Конечно, вы можете просто позвонить в бухгалтерию, чтоб проверили оплату, или оплатить с мобильника, или сказать, что поживёте без инета, 40к лет до этого люди жили. Вы в своём праве. Я только предложил поостеречься такое советовать на широкую аудиторию с разной квалификацией.

Answer 2

[Akina]

Нет, это явное нарушение RFC.

Адрес 192.168.40.40 относится к категории немаршрутизируемых в Интернете. Любой узел, если он получил пакет на этот адрес на интерфейсе с маршрутизируемым адресом, либо если он должен согласно своей таблице маршрутизации отправить его через интерфейс с маршрутизируемым адресом, должен отказать в маршрутизации (какое при этом применить правило - deny или drop,- не описано). В трассе имеется адрес 188.***.172, не принадлежащий какой-либо немаршрутизируемой сети - следовательно, в маршрутизации пакета должно было быть отказано.

А что бардак - таки да, это в порядке вещей. Вы поснифьте свой внешний адресок да посмотрите, сколько на него попадает "грязи" - удивитесь.

Comments

[Sergey Ryzhkin]

Так в том, то и дело, что я сделал на этом акцент, еще на третьем шаге мой пакет должны были откинуть, но они ссылаются что не должны были и это в порядке вещей. Бред какой то.

[Akina]

Sergey Ryzhkin,

я сделал на этом акцент, еще на третьем шаге мой пакет должны были откинуть

Там Вы не показали адрес. А то, что этот адрес разрешается в некое имя, ни о чём не говорит, приватные адреса тоже могут разрешаться (хотя разрешение провайдерским ДНСом приватных адресов - тоже бардак).

[Wexter]

Akina, маршрутизировать этот диапазон или нет внутри своей сети провайдер решает сам, и если уж он хочет чтобы у него внутри была такая сеть - это его право и никто не может запретить ему это делать.

Хорошим тоном считается не анонсировать соседям маршруты из зарезервированных сетей, не более того

[Wexter]

Sergey Ryzhkin, они говорят правильно. это сугубо их личное дело отбрасывать или нет.
Я вам больше скажу, у многих провайдеров даже ограничение трафика по скорости не работает если пакеты идут с указанием адреса источника не в их сети

[Akina]

Wexter,

маршрутизировать этот диапазон или нет внутри своей сети провайдер решает сам, и если уж он хочет чтобы у него внутри была такая сеть - это его право и никто не может запретить ему это делать.

Провайдер маршрутизирует такие пакеты к клиенту - а это уже ни разу не его, провайдера, внутренняя сеть. И неважно, что она "серая".

Более того, существование такой маршрутизации запросто может привести к проблемам - как у клиента, так и у удалённого товарища с этим адресом. Как пример - у меня есть локалка с этой подсетью, прововский шнурок торчит в коммутаторе, на одном компе на интерфейсе два адреса - выданный провом и внутренней сети из 192.168.40.0/24 (или две сетевые), и я шарю Инет через этот комп. Сам понимаешь, к чему это приведёт... и при этом у провайдера нет никаких оснований утверждать, что такая схема недопустима (опять же если это не установлено договором).

И если в договоре с провайдером не прописано, что подсеть занята и запрещена к использованию на интерфейсе - я в своём праве использовать эти адреса, и совершенно по делу могу предъявлять прову претензии.

[Wexter]

Akina,

И если в договоре с провайдером не прописано, что подсеть занята и запрещена к использованию на интерфейсе - я в своём праве использовать эти адреса, и совершенно по делу могу предъявлять прову претензии.

Ну удачи чо, хорошо когда ты сам себе Наполеон

[shurshur]

Akina, в этом отношении провайдер и пользователь равны. То есть пользователь тоже обязан в таком случае не светить подобными адресами в сеть провайдера.

[Akina]

shurshur, есть маленькая разница. Смотри адреса у автора - ВСЕ адреса, включая провайдерский шлюз, серые. Соответственно никаких ограничений по части "не светить" стандарты на клиента не налагают. Разве что договор, который может как запретить "светить", так и установить иные ограничения, прямо или косвенно, вплоть до детального описания схемы подключения.

Вот если бы клиенту выдавался белый адрес - тогда другое дело.

[shurshur]

Akina, чепуха. Внутри своей сети провайдер может использовать какие угодно адреса из числа глобально немаршрутизируемых сетей по своему усмотрению. Он же их не анонсирует в BGP (именно это ему и запрещено). Пользователю эти адреса никак не мешают, так как пользователь не ходит через сеть провайдера на эти адреса - он ходит только на внешние адреса в интернет.

Пользователь может у себя внутри использовать что угодно. Но к сети провайдера он с этими адресами подключаться не должен. Пусть делает нат у себя.

[Akina]

shurshur,

Внутри своей сети провайдер может использовать какие угодно адреса из числа глобально немаршрутизируемых сетей по своему усмотрению.

Да пожалуйста. Не в том проблема.

Смотри. Есть моя сеть. В ней торчит в том числе узел провайдера, который для моего интернет-подключения дефолтный шлюз. И он имеет адрес 192.168.2.250, вероятно, с маской /24. Моя рабстанция имеет два адреса - из той же 192.168.2.0/24 и из 192.168.40.0/24. Я пингаю 192.168.40.41. Это адрес из подсети локального интерфейса, так что пакет направляется напрямую, а не на шлюз в подсеть. Но на текущий момент у меня в ARP узла назначения нет. Соответственно (не помню, что именно будет в данном случае) либо будет послан ARP-запрос на этот адрес, либо сразу пинг на адрес без указания МАС - типа если ответит, узнаем, а если не ответит, то какая разница. И вот теперь объясни мне, с какого перепуга шлюз провайдера, у которого вообще нет адреса из подсети 192.168.40.0/24, не только принимает этот пакет, но и маршрутизирует его?

[Sergey Ryzhkin]

И вот теперь объясни мне, с какого перепуга шлюз провайдера, у которого вообще нет адреса из подсети 192.168.40.0/24, не только принимает этот пакет, но и маршрутизирует его?

Именно, я с таким вопросом и обратился в РТК, но там мне не смогли ответить на вопрос и сказали чтобы я сам настраивал блокировки, они ничего этого делать не будут у себя.

[shurshur]

Akina, а с какого перепуга "моя сеть" с 192.168.40.41 и провайдерская сеть соединены между собой? Некоторые провайдеры за такое и заблочить могут.

[Akina]

shurshur,

с какого перепуга "моя сеть" с 192.168.40.41 и провайдерская сеть соединены между собой?

Я ни в одном договоре с провайдером не видел пункта, запрещающего прямую достижимость "серого" адреса с интерфейса шлюза провайдера. Равно как ничто не запрещает нахождения нескольких подсетей в одном сегменте. Возможная схема описана выше, и в ней нет ничего нелегитимного.

Некоторые провайдеры за такое и заблочить могут.

Типично исключительно для "местечковых" провайдеров, что-нибудь уровня домовой сети.

[shurshur]

Akina, ничто не запрещает нахождение каких угодно сетей внутри одного vlan для владельца этого vlan. Сторонние пользователи указывать владельцу vlan не могут и это вполне нормально. Провайдер имеет полное право запрещать пользователю подключать неизвестные адреса в его сеть, более того, это легко классифицируется как нарушение договора, особенно если это реально что-нибудь сломает.

Один из самых крупных провайдеров Москвы, типа должен быть "местячковый", заменил как-то в одной серьёзной организации одну железку на другую. В первой железке были отдельные vlan, вторая (как оказалось потом) просто кидала все 4 разных сети (три в разные ведомственные сети и одна в интернет с внешними IP) одним vlan к нам. Мы воткнули 4 провода... А не работает. И неочевидно почему. Коненчно же, надо было просто отключить STP, но это, блин, один из крупнейших провайдеров города, как так?

[Akina]

shurshur,

Провайдер имеет полное право запрещать пользователю подключать неизвестные адреса в его сеть, более того, это легко классифицируется как нарушение договора, особенно если это реально что-нибудь сломает.

Совершенно согласен. Маленькая тонкость - этот запрет должен быть явно описан в договоре или приложении к нему.

надо было просто отключить STP, но это, блин, один из крупнейших провайдеров города, как так?

Ну, во-первых, крупнейшесть провайдера не гарантирует от плохого документирования и вообще бардака.
Во-вторых, даже в самом крупном провайдере может оказаться криворукий сотрудник.
В третьих, для меня загадка, как в сети организации может существовать оборудование, принадлежащее провайдеру. Точка-точка - запросто, но чтобы через неё свой трафик ходил?

[shurshur]

Akina, использование произвольных адресов в сети оператора, не предоставленных этим оператором, вполне легко подвести под условия даже самого незамысловатого договора. За торчащий в сеть оператора DHCP-сервер вообще всегда блочили без разговоров.

Достаточно обычное дело, когда оператор ставит своё оборудование для предоставления своих услуг.

[fpir]

Akina,

(не помню, что именно будет в данном случае)

хост пошлёт ARP, ничего на него не получит, но на шлюз его отправить не должен, ибо своя подсеть. Послать пинг без мака он тоже не может, ибо такой пакет вообще никуда не уйдёт. Теория так-же запрещает послать пакет с маком дефолтного шлюза. И пинг должен ответить, что адрес недоступен.
Но, топикастер хотел назначить этот адрес ноуту, чтоб настроить принтер. Т.е. на данный момент это адрес из чужой подсети, и он логично ушёл на шлюз, и далее, на ещё один шлюз, с которого и пошёл про маршруту.
То, что провайдер взял адрес из часто используемого у нас диапазона - ну так на то он и часто используемый, что вы вообще хотите от админов за 40к и ТП за 25?

[Akina]

fpir,

Но, топикастер хотел назначить этот адрес ноуту, чтоб настроить принтер. Т.е. **на данный момент это адрес из чужой подсети**, и он логично ушёл на шлюз, и далее, на ещё один шлюз, с которого и пошёл про маршруту.

Это в какого перепугу чужой-то? Адрес компа 192.168.40.41, принтера 192.168.40.40 (значит маска /28 или шире, либо /31), и они в одной подсети. Так что у компа нет никаких оснований отправлять пакет на шлюз. И соответственно у шлюза нет никаких оснований маршрутизировать пакет, не через него направленный.

Но поскольку пинг ушёл вдаль через шлюз, то комп по какой-то неведомой причине всё же отправил пакет на узел своей подсети через шлюз... и, признаться, для меня загадка, почему.

[fpir]

Akina, автор взял ноут, у которого был настроен вайфай, и видимо, по проводу, хотел подключится к принтеру. Ноуту он хотел назначить айпишник 40.41 ,но прежде, чем назначить, решил его пропинговать. Тот айпишник, что он хотел назначить ноуту, чтоб убедится, что в сети такого нету, видимо были случаи. А он оказался есть. По тому, как автор утверждает, что не должно, там какая-то сеть из одной подсети, типа 1.0, и у ноута было что-то типа 1.75. Именно поэтому он утверждает, что в сети не могло быть 40.41, иначе он просто поробывал-бы 40.42. Т.е. на тот момент для ноута подсеть 40.0 была чужая.

[Akina]

fpir, гм... точно, автор-то пингал ещё до присвоения адреса из этой подсетки. Тады да.

Answer 3

[Дмитрий]

На самом деле icmp-ответ, в котором будет "серый" ip-адрес, может прилететь от любого промежуточного узла при трассировке, а не только от ближайшего роутера или из сети своего провайдера. Это связано с тем, что ip-адрес в icmp-ответе, который будет отображен в трассировке, и фактический адрес источника в ip-пакете, с которым он был отправлен с транзитного узла, - это разные сущности. Кроме того, фактический ip-адрес источника может на транзитном маршрутизаторе превратиться из "серого" в "реальный", чтобы иметь возможность быть гарантированно доставленным в интернете. Самый частый случай, приводящий к такому - какой-либо промежуточный маршрутизатор в сети провайдера может обрабатывать транзитный трафик с реальными ip-адресами, имея при лишь служебный серый ip-адрес. Протоколы маршрутизации вполне такое допускают. Так что это в принципе не проблема, хотя некоторых смущает.
P.S. В моей практике была обратная ситуация. Безопасники докопались до ситуации, когда при трассировке внутри интрасети большой организации один из промежуточных узлов отображал реальный ip-адрес, пусть даже этой организации и принадлежащий. Они требовали объяснить, почему трафик ходит через интернет :)

Answer 4

[Drno]

Это не совсем правильно. Но спорить с рт все равно бестолку.
Вы кстати тоже не позаботились защититься толком... с чего это ваш шлюз разрешил пинг на серый адрес через WAN интерфейс?)

Answer 5

[Gansterito]

Это не норма, но и не проблема.
Вы включены в ШПД сегмент Ростелеком, и там наличие серых адресов - норма. Поэтому на доступе трафик на серые IP не ограничивается, улетает куда-то в ядро, и где-то может даже найти своего получателя.

Comments

[lokkiuni]

+1, это светится какая-то внутренняя сеть провайдера, не сказать что правильно, но и не святых вон выноси. За пределы сети ростелекома (где и начинается интернет) оно не выходит, так что всё криво, но корректно. ТП пишет отписки, это тоже норма, хоть и сомнительная)

Answer 6

[Владимир Пилипчук]

Если вас на границе сети стоит маршрутизатор - просто исключите трансляцию/маршрутизацию адресов в Bogoon-подсети через интерфейс провайдера.
Неадекватных инженеров провайдеров, в последнее время, более, чем хотелось бы, это факт. Но это не очень страшно. Можно решить своими силами.
Создайте ACL или пропишите их явно (зависимости от того, что у Вас на границе)