Nat ou route selon les IP de destination
-
Bonjour,
Cela fait quelques heures que je recherche, mais je ne trouve pas comment cela doit se passer…
Contexte : milieu pro. administrateur avec de bonnes notions réseau, mais débutant face à PFSense, Pfsense en étude pour remplacement TMG
Besoin : Mon réseau est raccordé à un VPN MPLS duquel il est plus ou moins isolé par le PFSense. Sur une interface, j'ai donc des adresses qui du point de vue du PFSense doivent être routées et non nattées.
J'ai pas mal regardé comment se passait le NAT...
Je vois comment créer des règles de nat sortant avec des spécificités selon les réseaux de destination, mais je ne vois pas comment créer une régle de NAT sauf vers certains réseau de destination...Schéma :
WAN1 ADISTA: routeur fibre + routeur SDSL chacun avec une ip (192.168.80.252 et .253) et également avec une IP virtuelle commune (192.168.87.254) gérant leur failover (pour ce qui est de leur lan)
Sur ce Wan, il y a des clients VPN pour lesquels je devrais avoir un routage libre depuis et vers les
machines de mon réseau interne.WAN2 ORANGE: Modem routeur ADSL avec une ip de son coté lan (192.168.250.1). Coté Wan, nous avons une ip Orange... disons orange1.
Les objectifs de ce Wan: la mise en place rapide de routages, le failover, le déchargement si possible en cas de saturation sur le lien principal...LAN1 Interne : 1 seul VLAN, 1 seul réseau 172.17.0.0/20 mix adresses IP fixe et DHCP fourni par contrôleurs de domaines
LAN2 Prepa: 1 seul VLAN, 1 seul réseau (192.168.0.0/32 mais j'aimerais y mettre plusieurs réseaux logiques pour faire face au différents PC en IP fixe venant de nos différents clients)
DMZ : pas de DMZ
WIFI : pour le moment mélangé à notre LAN (devrait être séparé par la suite avec adressage indépendant et priorisation différente)
Règles NAT : forward, 1-to-1, manual/automatic outbound, ...
C'est justement l'objet de mes recherches actuelles.Règles Firewall : pour l'instant rien de plus que ce que PFsense a mis en place automatiquement.
(enfin... guère plus...)Packages ajoutés :
bandwidthd pour monitorer l'activité
darkstat pour monitorer l'activité
iftop installé par un autre paquet
Lightsquid pour étudier l'efficacité de squid
nmap pour la gestion du réseau
pfBlockerNG Pour bloquer les accès d'IP réputées troubles.
squid Optimisation de la bande passante, cache mises à jour Windows, publication "intelligente" (si possible) d'exchangeAutres fonctions assignées au pfSense : Par la suite, j'aurais probablement un VPN, peut être un portail captif...
Autres: machine intégrant un raid 1 sur des disques "standards" et un SSD sur lequel je souhaite mettre mon cache.
Question : Au risque de me répetter, l'accès à certaines IP doit être natté, l'accès à d'auitres doit être routé.
Comment cela se paramétre-t-il?Logs et tests :
Je n'ai pas trouvé ou cela se trouvait...Merci.
-
je ne vois pas comment créer une régle de NAT sauf vers certains réseau de destination
Je ne comprend pas ce que vous voulez faire.
Logs et tests :
Je n'ai pas trouvé ou cela se trouvait…Status -> System Logs
l'accès à certaines IP doit être natté, l'accès à d'auitres doit être routé.
Doit ? Trafic entrant ou sortant.
Si la destination est une ip appartenant à un réseau connecté à une interface de Pfsense alors le routage est pris en charge automatiquement.
Si ce n'est pas le cas vous ajoutez une route statique pour indiquer comment joindre la destination finale (ou le saut suivant) : System -> RoutingJe donne des réponses mais comme je ne comprend pas grand chose à votre besoin, forcément c'est approximatif, voire à côté
Vous avez des concepts nouveaux pour moi :
faire face au différents PC en IP fixe venant de nos différents clients
je devrais avoir un routage libre
Tout cela m'est assez obscure.
PS : Tout ces packages dans un environnement professionnel, ce n'est pas très raisonnable.
-
Curieux, il manque l'essentiel :
Nat ou routage : cela s'applique forcément au MPLS … mais aucune information sur sa position !!
Même remarque que ccnet : trop de packages, en sus, je préconise de séparer firewall et proxy : à partir d'une certaine taille, c'est indispensable !
NB : la présence de plusieurs LAN a des conséquences sur la config du vpn : multiples 'push route' -
Bonjour,
Mince, je n'avais pas tout précisé et puis ma vision des choses évolue…Déjà, le MPLS il est sur l'interface Adista.
J'en déduis que les Routeurs Cisco fournis asurent le routage des packet sans NAT entre les sites du VPN MPLS et le NAT se fait encore plus loin pour la sortie internet.J'ai compris?
De l'autre coté, j'ai un modem routeur ADSL. Lui aussi fait du NAT donc...
Du coup, est-ce que vous êtes d'accord pour dire que je n'ai pas besoin de NAT au niveau de mon PFsense qui assure finalement l’interconnexion entre le réseau obtenu par le routeur NAT utilisés pour Orange, le routeur NAT utilisé pour Adista et nos segments de réseau internes ?
Du coup, coté NAT je peux désactiver tout le NAT sortant...
Sinon coté packages OK, j'en ai peut être trop...
Il faut dire que je crains d'avoir mal pensé.Je pensais mettre en place un proxy Web et m'en servir
- D'une part pour séparer les flux HTTP (et peut être HTTPS) qui doivent aller selon les URL demandées vers la messagerie, un extranet ou un site WEB
- D'autre part optimiser les accès Web récurent par le cache
(c'est à cet effet que j'avais ajouté un SSD)
Quand aux autres package, j'avoue, je me suis emballé...
Mais... Je pars sur un bon serveur (E3-1220 V2 3.1Ghz 8Go de RAM)
Et j'ai relativement peu d'utilisateurs (60-70)Non, vraiment, il faut que je supprimme tout?
Je ne peux pas laisser juste un petit squid et un petit outil pour superviser la bande passante ?
(heu lequel ?)Merci pour vos avis.
-
Comment est fourni usuellement un réseau MPLS ?
- L'opérateur va fournir un routeur pour chaque site : une patte sur le réseau local, un lien vers l'opérateur (SDSL/Fibre/…)
- chaque site a un un adressage local (celui de la patte réseau du routeur MPLS)
- L'opérateur fera transiter le trafic de chaque réseau local vers les autres ou vers un point central (au choix du client)
Que se passe-t- il si on place un firewall sur un site ?
- Le firewall aura naturellement 2 interfaces (WAN/LAN), et le routeur MPLS sera sur le WAN, tandis ques les PC seront sur le LAN
- de facto les PC NE seront PAS dans le bon réseau du point de vue du routeur MPLS !!!!
2 solutions :
- le firewall nat le trafic LAN vers WAN et tous les PC seront vu comme la même adresse ip au niveau du routeur MPLS
- le routeur MPLS est placé dans le LAN, et le firewall ne voit pas le traffic PC -> MPLS -> autres sites
Les 2 solutions sont mauvaises puisque
- cas 1 : confusion de tout PC en la même adresse
- cas 2 : le firewall ne voit pas le trafic
(Et je n'ai pas parlé des opérateurs qui proposent/fournissent un MPLS avec une sortie centrale sur Internet !!)
-
Bonjour,
Effectivement, je comprends.
Et ma situation actuelle pose problème (avec le TMG en tant que Nat). Des trames sont perdues. Je rencontre des dysfonctionnements.Cependant, j'imaginais cela comme un regroupement de réseaux logiques.
Un site sur lequel plusieurs réseaux sont connectés par l'intermédiaire d'un routeur (qui serait en fait le Pfsense). et 2 de ces réseaux (celui Wan Adista et celui Wan orange vu du MPLS) auraient une passerelle vers internet.
(C'est je pense un système approchant un truc que j'ai croisé chez un gros client précédemment)Du coup, il suffirait que les routeurs Cisco Adista (et également mon modem routeur Orange et là ça sent la limitation matérielle) sachent que pour accéder aux réseaux 172.17.0.0/20 et 192.168.1.0/24 (interne et prépa) il doivent passer par mes pâtes Wan de mon Pfsense.
Quand à mes réseaux internes et prépa, eux passent pas les pâtes du PFsense pour sortir quelque soients les destinations.Ça ça devrait fonctionner non?
Merci.