W jaki sposób hosty z publicznymi adresami IP mogą mieć węzły z prywatnymi adresami IP w swoim traceroute?

Przeprowadzam badania dotyczące użytkowników podłączonych do Internetu za pośrednictwem operatorów kablowych i zauważyłem nietypowe ślady tras.

Trochę o konfiguracji:

Zasadniczo użytkownik ma domowy router podłączony do modemu DOCSIS. Wygląda na to, że router odbiera publiczny adres IP od modemu dla interfejsu WAN za pomocą DHCP, ale po zakończeniu traceroute na ścieżce znajduje się kilka routerów, które mają prywatne adresy IP.

Przykładowe dane wyjściowe traceroute:

Tracing route to google.com [5.22.190.25]
over a maximum of 30 hops:

  1     3 ms     1 ms     1 ms  192.168.1.1//This router has public WAN address
  2    10 ms    12 ms     8 ms  10.14.0.1
  3    11 ms    19 ms     9 ms  bg-he-m-1-pc2.sbb.rs [89.216.6.94]
  4    12 ms    11 ms    11 ms  bg-he-m-1-pc2.sbb.rs [89.216.6.94]
  5    12 ms    11 ms    12 ms  cache.google.com [5.22.190.25]

Trace complete.

Widziałem także przykłady innych dostawców, którzy używają adresów 176.16.0.0/12. Adresy prywatne są zawsze tuż po CPE użytkownika.

Kilka moich przemyśleń na ten temat:

O ile rozumiem, nie powinno być możliwe kierowanie prywatnych adresów przez publiczny Internet, a wszystkie routery w Internecie powinny upuszczać pakiety z prywatnymi adresami IP. Wiem, że routery z prywatnymi adresami znajdują się w sieci ISP, ale nadal nie rozumiem, jak to wszystko działa.

Oczekuję, że wiąże się to z tunelowaniem, ale uważam, że w takim przypadku widoczne byłyby tylko punkty końcowe tunelu. Inną opcją byłoby NAT klasy operatorskiej. Nie jestem pewien, jak by to wyglądało. Z tego, co usłyszałem (ale mogę się mylić), w systemach CGN użytkownicy zwykle nie mają bezpośredniego dostępu do Internetu i nie można uzyskać bezpośredniego dostępu z Internetu. W konfiguracji, którą widziałem, mogę połączyć się z użytkownikiem z Internetu przy użyciu jego adresu IP normalnie.

Po tej dość długiej prezentacji doszedłem do punktu, w którym powinienem przedstawić rzeczywiste pytanie:

Chciałbym wiedzieć, która technologia jest tutaj używana, aby umożliwić taką konfigurację? Przydałaby się też trochę architektura i niektóre słowa kluczowe dla Google.

Nie ma tunelowania. To jest całkowicie normalne. Przy routingu IP martwisz się o adres źródłowy i docelowy, który się nie zmienia, chyba że coś jest NAT. Jeśli router pośrodku ma adres RFC1918, jest w porządku, ponieważ może nadal przekazywać ruch tranzytowy, ponieważ źródło i miejsce docelowe pozostają niezmienione.

Każdy router po prostu odpowie na źródło własnym adresem podłączonym bezpośrednio. 10.14.0.1 powyżej nie jest kierowany przez Internet, jest to po prostu urządzenie podłączone do CPE po stronie WAN.

Nie stosuje się żadnej magicznej technologii. To czysty standardowy routing.

Należy tutaj rozróżnić to, że twój dostawca usług internetowych nie jest Internetem. Jakikolwiek ruch pozostawiający twojego ISP w Internecie w całości lub jakikolwiek ruch odbierany przez twojego ISP od innych podmiotów w Internecie nie może korzystać z tych adresów IP.

Jednak Twój dostawca usług internetowych ma duże uprawnienia do korzystania z tych adresów IP, jednak ich wewnętrzną właściwość uważa za stosowną. Tylko na krawędzi ich sieci naprawdę muszą się martwić o coś takiego jak NAT (jeśli to konieczne).

Wielu dużych, starszych dostawców usług internetowych będzie używać publicznych adresów IP na wszystkich interfejsach routerów, jednak wielu mniejszym / nowszym dostawcom usług internetowych znacznie trudniej jest uzyskać przestrzeń IP i stwierdzają, że nie mają wystarczającej ilości dostępnych do użycia w ten sposób.

Możliwe, że publiczny CPE jest przypisany do publicznego adresu IP, który jest następnie kierowany przez urządzenia korzystające z prywatnych adresów IP, dopóki nie przejdzie on do Internetu w ogóle.