VPN NAT



  • Bonjour,

    Un Client me demain de créer un tunnel VPN entre le Site A et le Site B (le client).
    Le but c'est que le machine 192.168.124.1 (un VLAN du site A) ping la machine 161.241.225.125 (du site B)

    Le problème c'est que le client veux du NAT sur le trafic qui vient de notre site A, il veux que notre IP Public soit utilisé par le NAT pour les adresses privés de notre réseau. Et la, c'est le drame !

    La Partie VPN c'est bon j'ai déjà fait des tunnels avec d'autres sites, mais la partie NAT IP piblic Ip privé ça me dépasse.

    Donc 2 questions :
    1 - Cela est-il possible avec PFsense 1.2.2 ?
    2 - Si non que faudrait-il ajouter/modifier dans notre réseau pour rendre cela possible ?



  • Le problème c'est que le client veux du NAT sur le trafic qui vient de notre site A, il veux que notre IP Public soit utilisé par le NAT pour les adresses privés de notre réseau.

    Que je comprenne bien. Le client veut que la machine 192.168.124.1, connectée via le vpn, se présente sur le site b avec l'adresse Wa.Xa.Ya.Za ? Ai je compris la demande ?



  • oui c'est cela  :)



  • Je ne vois pas où il veut en venir ni ce qu'il espère d'une telle configuration.

    Si nous sommes dans un contexte OpenVPN, j'y vois une incompréhension majeure. Le tunnel est étable entre la machine 192.168.124.1 avec l'ip de l'interface TUN et le pfsense du site B, une autre ip qui est liée à celle de TUN forcément. L'adresse ip public Wa.Xa.Ya.Za n'est pas et ne peut être impliquée dans ce tunnel. L'idée de nater a posteriori, après l'arrivée l'ip de l'interface TUN en Wa.Xa.Ya.Za n'a pas de sens . Cette ip publique va se retrouver à l'intérieur du réseau du site B. Si votre client croit qu'elle va se présenter sur l'inteface Wan du site B, alors je pense qu'il n'a pas compris le fonctionnement d'OpenVPN (si c'est bien le contexte vpn utilisé).

    Si l'on repartait du besoin (que nous ne connaissons pas) ?



  • Oki,

    Alors le besoin :
    Un ping (pour le moment) entre les machines 192.168.124.[1,2,3,…] (site A) et la machine 161.241.225.125 (du site B)

    Solution imposé pas le Client :
    Un VPN IP-SEC site to site.
    Et il ajout : "[Nom du client] will not allow private IP address inside VPN tunnel. You need NAT your traffic with a public IP address. So 192.168.124.0/24 is not a valid range."

    c'est plus clair ?



  • Je retire ce que j'ai dit à ce stade puisque l'on est en ipsec site à site et non en ssl client à site.

    A priori vous devez natter avant d'emprunter le tunnel. Le tunnel étant établi entre les interface Wan des firewalls.

    Malheureusement, du moins il me semble : http://forum.pfsense.org/index.php/topic,27229.0.html



  • je confirme, a l'heure actuelle impossible de réaliser du NAT avant d'entrer dans un tunnel IPSEC.
    Il s'agit d'une limitation du design de l'implémentation IPSEC dans freeBSD, son moteur de routage prend le dessus sur celui de la couche réseau du kernel, le trafic est dévié avant de pouvoir passer dans les filtres NAT.

    Seule solution avec pfsense, avoir deux pfsense l'un derrière l'autre.
    sinon changer de solution logicielle.



  • Donc si cela est possible avec 2 PFsense je suis OK.

    Peux tu m'expliquer le principe avec 2 PFsese, qui fait quoi ?
    Après je refais un petit schéma pour vérifier avec toi si j'ai bien tout compris.



  • La première NAT l'IP privée du ou des postes en IP publiques en direction de la seconde qui monte le tunnel pour l'étendue publique utilisée par la première.



  • Ok, Voici  un schéma de la solution que je voudrai utiliser :
       1. J’ai un boitier « Funkwerk Gateway » pour la partie VPN.
       2. Et un PFsense pour la partie NAT.

    (Finalement si l’on peut éviter l’installation d’un 2e pfsense, cela m’arrangerai…)

    Pour la partie VPN c’est OK enfin normalement ^L^
    Mais Pour la Partie NAT je ne comprends pas comment faire… il y a un bonne doc sur le wiki ou une petite explication du principe ?

    merci




  • j'ai trouvé ;-) c'est OK !


Log in to reply