Discussion :

[_john_doe]

Bonjour à tous,
Une question me taraude concernant le NAT et j'ai beau chercher je ne trouve pas la réponse.
Voila bêtement lorsque j'effectue un TRACEROUTE je m'attends a voir lors du 1er saut ma passerelle coté LAN (192.168.XXX.XXX), ce que je vois bien
Puis je m'attendrais à voir mon IP publique en 2eme TTL, mais ce n'est pas le cas, mon 2eme saut m'amène sur une IP en 10.XX.XX.XX (ce que je trouve surprenant car appartenant à une classe d'adresses privées selon la RFC).
Les sauts suivants sont OK de routeurs en routeurs.

1° le fait que je ne vois pas mon IP publique via le traceroute doit t'il s'interpréter comme le fait qu'il n'existe pas de saut au niveau de ma passerelle entre la carte réseau reliée au LAN et la carte réseau reliée au WAN.

2°) le 2eme saut sur un routeur en 10.XX.XX.XX m'interpelle. Des idées ?

Je m'excuse par avance auprès de ceux qui trouveraient mes questions basiques, suis en phase d'apprentissage mais je bosse dur :-)
Par avance merci pour vos réponses.

[jaffommopeff-9757]

Bonjour,

Tes questions ne sont pas basiques, elle dénote d'une volonté de comprendre en profondeur ces technologies .

Alors pour la question 1 :
Reprenons le fonctionnement du traceroute : tu envois un ping avec une durée de vie (TTL) de 1. Le premier équipement considère que le paquet et trop vieux et te répond qu'il la supprimer. Après, tu met une durée de vie de deux, le deuxième équipement, va te répondre et ainsi de suite ...
Ce sont donc bien tes équipements qui te répondes. Donc ta box ne va répondre qu'une fois, et avec l'adresse IP utilisé par l'interface d'entrée, donc l'IP LAN.
Ensuite, le paquet aura une durée de vie plus grande et passera complètement ta box.

Pour la question 2 :
Laisse moi deviner ? tu es chez SFR/numéricable ?
C'est, à ma connaissance, les seuls qui utilise un CGN (https://fr.wikipedia.org/wiki/Carrier-grade_NAT).
C'est un gros NAT pour les opérateurs. C'est a dire que tout ton immeubles/pâté de maison utilise la même adresse IP publique (et pas seulement tous les ordi chez toi).

Voila !

[_john_doe]

Merci beaucoup pour tes réponses, elles sont très claires.
Je comprends mieux maintenant pourquoi mon IP publique est statique puisqu'elle pointe sur un CGN.
Ce qui me simplifie bien la vie en terme de port forwarding et m'évite de passer par dyndns
Pour info j'avais demandé au service technique Numericable qui n'avait pas su me répondre

Je vais maintenant creuser le mappage de port UPNP qui m'intrigue
Je mets en résolu !

[sevyc64]

Laisse moi deviner ? tu es chez SFR/numéricable ?

Le phénomène est identique si le test est fait depuis un smartphone en 3G/4G quelque soit l'opérateur.
En réalité, un smartphone en 3G/4G ne se connecte pas directement à internet comme on pourrait le penser, il se connecte à un gros réseau local du fournisseur d’où l'adresse "publique" (qui n'en est pas une) du smartphone souvent en 10.0.0.0 lors qu'une connexion en 3G/4G.

Et l'explication est bien la même, le CGN

[_john_doe]

Merci sevyc64.
Du coup je suis perplexe. Supposons que mon voisin est lui aussi chez numericable, il aura donc lui aussi la même IP publique que moi (celle que l'on trouve via un site tel que quel est mon IP).
C'est le CGN en 10.x.x.x.x se trouvant derriere qui fera du NAT et du PAT pour router les paquets et nous identifieras moi et mon voisin grâce à nos ports de connexion respectifs au CGN, pour redistribuer les paquets entrant ?

Ce qui signifierait qu'en trompant le CGN avec du port spoofing mon voisin pourrais intercepter mon traffic ?

[sevyc64]

Sur le principe oui.

Dans la réalité c'est pas aussi simple. Les CGN* sont de grosses bestioles avec un niveau de sécurité élevé. Bien que tu sois sur le même réseau "local" que ton voisin et d'autres, tu pourras faire un scan du réseau et tout ce que tu veux, c'est cloisonné, tu ne verras personne. De plus, si tu tente une attaque quelconque, très certainement que le CGN* le détectera te couperas la connexion temporairement pour y mettre fin

Ensuite, les failles sont évidemment toujours possible.


* Quand je parle de CGN ici, c'est un raccourcis qui englobe tous les équipements du fournisseur dans le cadre d'une connexion à travers un CGN, pas uniquement l'équipement dit CGN

[jaffommopeff-9757]

Et l'explication est bien la même, le CGN

Alors, sans vouloir être inutilement pointilleux, ce n'est pas un CGN sur les réseau mobile. Ce sont des GGSN ou PDN-GW qui assure la connexion avec internet. On peut le voir sur le schéma : http://www.telecomhall.com/Data/Sites/1/siteimages/course/030/course_030_d.jpg

Il y a une différence de rôle, subtile, le CGN est un NAT opérateur, le GGSN un équipement d'interconnexion entre deux réseaux. Même si, en effet, c'est ce dernier qui portera l'IP publique.

Dans la réalité c'est pas aussi simple. ...

Tout a fait d'accord avec ta réponse.

[fredoche]

2°) le 2eme saut sur un routeur en 10.XX.XX.XX m'interpelle. Des idées ?

juste pour la forme, et sans que ce soit lié à un quelconque CGN, le routage chez Orange se fait aussi en partie sur des équipements portant des adresses en RFC 1918, non routable sur internet

[jaffommopeff-9757]

Tout a fait, les opérateurs ont un réseau de routage en adressage privé mais c'est complètement transparent pour l'utilisateur.
Tu ne verras jamais ces adresses et elle te seront inaccessible car bien trop dangereux pour leur sécurité.
Et ce même si tu emprunte se réseau. dans ce cas, tu utilisera des tunnels ou du MPLS.

[_john_doe]

Merci à tous pour vos précisions