Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT port forward au travers d'un VPN

    Français
    4
    5
    619
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jdh
      last edited by

      Bonjour

      **Contexte :**Milieu professionnel, Système et Réseaux au sein d'un groupe constitué de plusieurs PME plus ou moins autonomes.

      Besoin :(non spécifique pfSense même s'il y a encore quelques pfsense).
      Un site central ferme mais son infra serveurs doit continuer à tourner dans des locaux vides d'occupants.
      Cette infra fait tourner des EDI donc avec des arrivées Internet.
      Des personnes travaillent à distance sur les serveurs (VPN site à site).

      La solution 'normale' est de déplacer les ip publiques sur un autre site et déplacer l'infra sur ce site.
      L'autre solution 'normale' est de contacter tous les intervenants et les faire pointer vers de nouvelles ip publiques.
      Mais c'est à préparer à l'avance …

      Le besoin est de déplacer l'infra, au plus vite, alors que les arrivées Internet ne sont pas encore déplacées.

      Schéma :
      Actuel :
      site central : Internet <-> (WAN) firewall (LAN/DMZ) <-> Serveurs
      avec des NAT Port Forward et des VPN depuis d'autres sites.

      Pistes imaginées :
      Schéma futur (et temporaire) :
      site central      : Internet <-> (WAN) firewall (nouveau LAN)
      site hebergent  : Internet <-> (WAN) firewall (LAN site central)

      Un nouveau VPN est créé entre le site central et le site herbergent (d'où changement de LAN sur le site central)
      Les 'NAT port forward' du site central restent en place mais les serveurs cibles sont accessibles via VPN sur le site herbergent.

      Autre piste imaginée :
      site central      : Internet <-> (WAN) firewall (nouveau LAN) <-> 1 serveur
      site hébergent : Internet <-> (WAN) firewall (LAN site central)

      Un nouveau VPN est créé …
      Mais sur le site central, chaque 'NAT port Forward' est renvoyé vers un seul et même serveur Linux (Debian) qui va faire tourner autant de boucle  suivantes que de port forward :

      boucle en shell (valable pour tcp) :
      while true
      do
        nc -l -p $port_ecoute -c "nc $serv_distant $port_distant";
      done &

      nc est la commande netcat.
      avec -l netcat écoute, et avec -c exécute une commande : ici avec un autre netcat le trafic est reporté vers le serveur distant !

      Question :
      Avez vous été confronté à la même problématique ?
      Avez vous attendu le transfert d'ip publiques ?
      Avez vous déjà fait du 'NAT port forward vers un serveur non local ?

      NB :
      La boucle netcat proposé fonctionne mais oblige à laiser un serveur, et sera ce suffisant ?

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • Mister-MagooM
        Mister-Magoo
        last edited by

        Les IP publiques n'ont pas de DNS associé ??
        Changer les IP sans changer les noms DNS me semble être une solution simple …

        PFSense du moment en multiwan

        1 Reply Last reply Reply Quote 0
        • TataveT
          Tatave
          last edited by

          Salut salut

          juste une question

          ne vous serait il pas possible de dupliquer ce SI là sur un autre site et d'en générer une réplication synchrone ?
          si oui je sais que certaines sociétés hébergement proposent une sorte de solution de bascule automatique des dns /ip vers un point ou un autre. le concept de site secours qui devient le site principal si vous décidez de couper le site A au profit du site B.
          C'est plus ou moins automatique il me semble.

          Pour l'instant je planche sur une problématique identique ou presque, mais avec pour pas deux sites A et B mais deux FAI X et Y qui point sur le site A avec des impératifs de HA/scaléring.
          n'étant qu'un particulier les budgets et finances ne sont pas les même qu'un gros groupe cela va s'en dire et mon idée ne peut se faire sans.
          le faite de faire passer par X puis par Y la gestion des dns se ferait par un presta d'hébergement.
          comme une multi domiciliation.

          Cordialement.

          aider, bien sûre que oui
          assister, évidement non !!!

          donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
          apprendre à un homme comment cuisiner, il sera vivre.

          1 Reply Last reply Reply Quote 0
          • J
            jdh
            last edited by

            Ce problème est classique :

            on a un site A, avec des ip publiques, et les services proposés sont bien configurés à partir de noms dns (chez un hébergeur que l'on maitrise).
            Dans ce cas, on peut déplacer le site A sur un site B, avec ou non le même fournisseur FAI, en faisant pointer les noms dns sur les nouvelles ip publiques.
            C'est l'idéal, y compris avec changement de fournisseur.

            Mais parfois, on a mal paramétré ou on a repris la gestion du site qui avait mal paramétré.
            Et on utilise les ip publiques sans un nom dns … et il est super difficile de contacter un client qui nous envoie des commandes en mode EDI 'M2M' (Machine 2 Machine).
            Et c'est la galère ...
            La, une petite chance, peut-être, avec le même FAI, lui faire déplacer les ip publiques.

            Ici je suis dans l'hypothèse la pire : je veux éviter de laisser une infra dans des locaux vides (parce que la bascule d'ip demande du temps ...).
            Les ip publiques et le firewall restent en place, et je peux monter un VPN avec le site B.
            Il reste à forwarder non en local mais au travers du VPN, ce que ne permet pas pfSense et d'autres firewalls.

            Le contournement via un script avec boucle de 'netcat -l -c' fonctionne (j'ai testé pour du https) mais y a-t-il mieux ? y a-t-il plus malin ?

            Merci pour les retours et ceux à venir ...

            Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

            1 Reply Last reply Reply Quote 0
            • C
              ccnet
              last edited by

              Sur cette question :

              Avez vous attendu le transfert d'ip publiques ?

              Il y a 18 mois environ dans un contexte de déménagement (Paris 8 vers la Défense) j'ai été confronté au problème. Contrairement à ce que l'on pourrait imaginer la localisation dans ce cas n'est pas un avantage car la densité des réseaux peut poser des problèmes de disponibilité de liens physiques. Cela dit, moyennant une préparation attentive en ayant tout validé étape par étape (le FAI n'était pas le seul impliqué), le basculement a pu être effectué en quelques minutes. Déconnexion de l'ancien site, activation sur le nouveau site avec le même range d'ip. Le délai initial annoncé par la FAI était de 6 semaines. L'opération a pu être mener à bien le jour dit en quelques minutes. Entre temps les principales briques du SI avait été physiquement déplacées et reconnectées sur le nouveau site.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.