[sdy_moscow]

https://forum.nag.ru/index.php?/forum/1-u-naga/&do=add

 

Не знаю как для других, но по мне всё-же странные настали времена, хвосты рулят собаками :-). Что-то я не помню что-бы у ЛИРов кто-то интересовался, что они об этой замечательной активности думают.

 

Посмотрим, что будет 19.04.2021 :-) не удивлюсь если у некоторых крупных холдеров ип адресов будут довольно веселые эффекты наблюдаться.

 

Кто-то знает, что из критически важного у нас в AS3333, и что за 215 организаций которые могут отвалиться?

 

Dear colleagues,

On Monday, 19 April 2021 we will enable Resource Public Key Infrastructure (RPKI)
Route Origin Validation (ROV) on our own network, AS3333, and reject RPKI invalid
Border Gateway Protocol (BGP) announcements. This follows discussions with the
Routing Working Group (WG), which has agreed we should move forward with this. We
have already contacted everyone who might be affected to explain the steps they need
to follow.

RPKI ROV is a security mechanism that authenticates route advertisements as
originating from an expected Autonomous System (AS), with the goal to drop BGP
announcements that do not match the routing intentions of the IP address holder as
stated in a ROA (Route Origin Authorisation). This also means that operators who
made a typo in their ROA might not be able to reach ripe.net anymore. We have
reached out to all 215 organisations in the RIPE region that currently have a ROA
that does not match with what we see in BGP.

You can find more information on RIPE Labs:
https://labs.ripe.net/author/nathalie_nathalie/rpki-and-as3333-or-how-we-eat-our-own-dogfood/

We are very excited to perform ROV on our network as this complements the rest of
our RPKI activities -- running a Trust Anchor and one of the root Certificate
Authorities, hosting a platform for maintaining ROAs, and offering a publication
server accessible over rsync and the RPKI Repository Delta Protocol (RRDP). Reaching
this milestone will be of great benefit to the RIPE community and I want to thank
the Routing WG and its Chairs for their support.

If you have any questions, please feel free to contact me.

Kind Regards,

Nathalie Trenaman
Routing Security Programme Manager
RIPE NCC

[ipaddr.ru]

11 minutes ago, sdy_moscow said:

Что-то я не помню что-бы у ЛИРов кто-то интересовался

Вообще-то это инициатива сообщества.

 

 

11 minutes ago, sdy_moscow said:

If you have any questions, please feel free to contact me. 

Kind Regards,

Nathalie Trenaman

Ну так напишите Натали, она не кусается.

 

 

12 minutes ago, sdy_moscow said:

что из критически важного у нас в AS3333

IRR. RIPE DB.

K-root DNS в другой AS.

[sdy_moscow]

1 час назад, ipaddr.ru сказал:

Вообще-то это инициатива сообщества.

 

 

Ну так напишите Натали, она не кусается.

 

 

IRR. RIPE DB.

K-root DNS в другой AS.

Мы уже на тему "сообщества" беседовали с Вами не раз, я конечно понимаю, что Натали молодец, сообщество просит, "энтузиасты" от гугла и т.п. работают и т.д. и т.п. Но чем кончился предыдущий "эксперимент" в том-же тексте есть.

 

Что мне спросить у Натали - ума не приложу, хотели бы указать публично  проблемные AS и организации -сделали-бы ДО публикации новости, если не указали, значит причины есть. Раз включают - значит боссы разрешили.

 

Очевидно, как минимум, что сходимость BGP станет медленнее а настройка делом тонким с хождением по граблям. ХОРОШО ЕСЛИ МЕЛКОТА НАШКОДИТ, ХУЖЕ ЕСЛИ, НАПРИМЕР, RT НАКОСЯЧИТ. С учетом что фул вью в4 далеко не во все железки влазит последствия могут быть весьма неожиданными.

 

В данном случае я не с сообществом RIPE, а с сообществом NAG хотел бы обсудить :-). Интересен будет эффект.

 

P.S. и еще:

Напомню, последний "скандальчик" когда с сообществом якобы обсуждался перенос в облако инфраструктуры NCC, удивительно, даже делать начали, а сообщество вдруг и не в курсе оказалось и тихо объелось ухи. Я так понимаю завтра нам также смело заявят - мы послезавтра мигрируем в облако Амазон?

 

Еще понравилась мне смета NCC за год. 2 ляма на юридические консультации и в итоге замечательные поправки невнятной трактовки в документы. И не надо говорить что все пассивны, а делают активисты сами и бесплатно, средняя зарплата в NCC такая, что я как плательщик вправе спросить - "какого фига"?

[ipaddr.ru]

1 minute ago, sdy_moscow said:

перенос в облако инфраструктуры NCC, удивительно, даже делать начали, а сообщество вдруг и не в курсе оказалось

Я без какого-то инсайда от NCC почему-то оказался в курсе. Ну окей, иногда рассылки читаю, это правда.

 

2 minutes ago, sdy_moscow said:

я как плательшик вправе спросить - "какого фига"?

Ну спрашивайте же.

 

3 minutes ago, sdy_moscow said:

средняя зарплата в NCC такая

А это вы серьёзно про среднюю зарплату?

[sdy_moscow]

1 минуту назад, ipaddr.ru сказал:

Я без какого-то инсайда от NCC почему-то оказался в курсе. Ну окей, иногда рассылки читаю, это правда.

 

А это вы серьёзно про среднюю зарплату?

И вы давали добро на перенос?

 

Да про зарплату - серьезно на сайте посмотрите.

[ipaddr.ru]

2 minutes ago, sdy_moscow said:

И вы давали добро на перенос?

Нет, не давал. Да и вопрос так не ставился. Это было информирование.

 

5 minutes ago, sdy_moscow said:

Да про зарплату - серьезно на сайте посмотрите.

Посмотрел для IRA/CSA/SE. Вообще ни о чём, небольшие зарплаты.

[telematic]

Да не только RIPE, скоро все перестанут принимать анонсы без ROA

[gruber]

скоро все* перестанут принимать анонсы которых нет в ранр, или как там это поделие называется...

 

--

* - в этой стране

Изменено 13 апреля, 2021 пользователем gruber

[telematic]

4 минуты назад, gruber сказал:

скоро все* перестанут принимать анонсы которых нет в ранр, или как там это поделие называется...

 

--

* - в этой стране

 

А при чём тут РАНР? Спич про RPKI

[sdy_moscow]

2 минуты назад, telematic сказал:

Да не только RIPE, скоро все перестанут принимать анонсы без ROA

тут проблема может быть чуть обширнее, чем кажется,

1. Что-бы поправить ROA надо иметь доступ к БД райпа, а что-бы иметь доступ, надо поправить ROA :-).

2. Что-бы работала фильтрация анонсов то-же нужен доступ к БД.

Ну и так далее... дальше сценарии кривых рук и поиска решений можно много придумать. 

 

[ipaddr.ru]

Just now, sdy_moscow said:

Что-бы поправить ROA надо иметь доступ к БД райпа, а что-бы иметь доступ, надо поправить ROA

Nyet. Есть несколько сценариев RPKI и для наиболее распространённого нужен веб-доступ к ripe.net.

[sdy_moscow]

14 минут назад, telematic сказал:

RPKI

Это вообще не очень понятный для меня (как мелкого холдера) инструмент . Он ведь не проверяет и не подтверждает корректность маршрута, а лишь подтверждает корректность их нарезки.

[ipaddr.ru]

31 minutes ago, sdy_moscow said:

С учетом что фул вью в4 далеко не во все железки влазит последствия могут быть весьма неожиданными. 

А какая тут связь с предметом обсуждения?

 

PS. Это вы лихо свой ответ отредактировали - x2 к объёму.

[telematic]

6 минут назад, sdy_moscow сказал:

Это вообще не очень понятный для меня (как мелкого холдера) инструмент . Он ведь не проверяет и не подтверждает корректность маршрута, а лишь подтверждает корректность их нарезки, по сути тот-же механизм ROA только в другой обертке.

Я так понимаю, что RPKI - это инструмент, а ROA - это процедура, выполняемая с помощью этого инструмента.

[sdy_moscow]

12 минут назад, ipaddr.ru сказал:

... нужен веб-доступ к ripe.net.

Всё лучшее конечно впереди.

 

Я ж не против, я за, но почему о 19.04 мы узнаем 13.04. Прямо Собянинщина какая-то, утром пришел на работу, а твой магазин уже сносят трактора.

[gruber]

11 минут назад, telematic сказал:

А при чём тут РАНР? Спич про RPKI

Да понятно что про rpki, я к тому что в этой стране быстрее отфильтруют всех по ранр чем по инвалид роа.

[sdy_moscow]

1 минуту назад, telematic сказал:

Я так понимаю, что RPKI - это инструмент, а ROA - это процедура, выполняемая с помощью этого инструмента. 

В том-то и проблема, что т.к. нам этот RPKI нафиг не сдался, хотелось еще бы понять какие проблемы могут возникнуть и с чем. Что там хоть в этой AS3333 находится? В последнее время "перемен" итак уже мозги набекрень.

[ipaddr.ru]

4 minutes ago, sdy_moscow said:

почему о 19.04 мы узнаем 13.04. Прямо Собянинщина какая-то, утром пришел на работу, а твой магазин уже сносят трактора. 

Ну вы же вне процесса, это очевидно. Реагируете на последнее китайское предупреждение.

https://labs.ripe.net/author/nathalie_nathalie/where-were-at-with-rpki-resiliency/

[telematic]

3 минуты назад, sdy_moscow сказал:

В том-то и проблема, что т.к. нам этот RPKI нафиг не сдался, хотелось еще бы понять какие проблемы могут возникнуть и с чем. Что там хоть в этой AS3333 находится? В последнее время "перемен" итак уже мозги набекрень.

Ну у меня заказчики уже давно ROA требуют наряду с RO и LOA

[sdy_moscow]

59 минут назад, ipaddr.ru сказал:

Ну вы же вне процесса, это очевидно. Реагируете на последнее китайское предупреждение.

https://labs.ripe.net/author/nathalie_nathalie/where-were-at-with-rpki-resiliency/

А мне вот прямо нехер делать, как отслеживать с утра до вечера сайт проекта RPKI. У меня конкретный вопрос - что отвалится  и надо ли мне что-то делать, или и так сойдет?

 

59 минут назад, telematic сказал:

Ну у меня заказчики уже давно ROA требуют наряду с RO и LOA

Ну наверно Вы успели адресов набрать и раздаете пачками, не забывайте, что как минимум 70% LIRов в РФ адресами не бодяжат, а используют их чисто под себя.

[ipaddr.ru]

У вас замечательная аналитика уже есть. И так сойдёт.

 

42 minutes ago, sdy_moscow said:

Очевидно, как минимум, что сходимость BGP станет медленнее а настройка делом тонким с хождением по граблям. ХОРОШО ЕСЛИ МЕЛКОТА НАШКОДИТ, ХУЖЕ ЕСЛИ, НАПРИМЕР, RT НАКОСЯЧИТ. С учетом что фул вью в4 далеко не во все железки влазит последствия могут быть весьма неожиданными.

 

[sdy_moscow]

@ipaddr.ru Не ошибается тот кто ничего не делает. Вы как обычно много пишите, но мало полезной информации. Просто скажите - ВЫ НЕ ПРАВЫ и дайте свое компетентное заключение.

 

То, что Вы процитировали СУГУБО МОЕ ЛИЧНОЕ МНЕНИЕ. И оно может быть неверным.

 

Внедрение RPKI требует от оператора затрат и не малых - и далеко не всегда целесообразно, особенно в условиях существования БД RIPE и статичности нарезки большинства конечных сетей.

[ipaddr.ru]

А я написал в первом своём комменте, что у нас из важного в 3333. Дальше уже демагогия и флейм.

[sdy_moscow]

3 минуты назад, ipaddr.ru сказал:

А я написал в первом своём комменте, что у нас из важного в 3333. Дальше уже демагогия и флейм.

Internet Routing Registry (IRR) databases

 

За...бись! Именно то, что и надо отключить для полного "мирового ЩаСья!". ЧТД.

[sdy_moscow]

@telematic  Название не имеет значения. Нынешние извращенное состояние мира давно не отвечает тем идеям, которые в него закладывались. Ситуация с ип_4 это один из неадекватов современности, как стоимость биткоина, например. Нет смысла это обсуждать в этой теме, хотите создайте свою....