NAT pour accéder à un réseau derrière un tunel IPSEC
-
Bonjour,
je suis administrateur réseau et j'ai plusieurs site dans ma société qui sont équipés de routeurs pfsense.
La problématique qui m'amène ici aujourd'hui:
–-état des lieux---
ma société est constituée d'un site principal et de plusieurs sites satellites, reliés entre eux par des vpn IPSEC.
le site principal est quand à lui relié à plusieurs sites de nos clients, toujours par des vpn IPSEC.
schématiquement cela donne cela:
LAN site satellite (A) <=> routeur A <=> vpn IPSEC 1 <=> routeur B <=> LAN site principal (B) <=> routeur B <=> vpn IPSEC 2<=> routeur X <=> LAN site client (X)
=> le vpn IPSEC 1 relie les réseaux A et B
=> le vpn IPSEC 2 relie les réseaux B et X---mon but---
ce que je voudrais, c'est pouvoir atteindre le réseau X depuis le réseau A (autrement dit atteindre le réseau de mes clients depuis n'importe quel site interne)
---contrainte---
je ne peux toucher qu'à la configuration des routeurs de ma société, il me parait difficilement envisageable de demander à mes clients de rajouter un vpn vers chacun de mes sites
---solution envisagée---
je me dis qu'il est peut-être faisable de monter un NAT pour masquer les ip du site A lors de la traversée sur vpn IPSEC 2
=> est-ce que cela parait techniquement faisable? et comment mettre cela en place?
merci d'avance pour votre aide...
-
Je ne suis pas certain de bien comprendre. Ce que je comprend, en résumé et pour prendre le terme habituel, vous souhaitez faire du nat before ipsec, ou en d'autre terme translater les adresses du réseau source avant de les envoyer dans le tunnel ipsec.
Si c'est bien cela c'est réalisable avec Pfsense. Dans la configuration d'ipsec, dans la configuration phase 2 vous renseignerez le champ sous "In case you need NAT/BINAT …". Dans l'exemple placé en copie le lan est translaté vers 192.168.33.0/24 avant envoi dans le tunnel.
Le "remote network", inchangé, est celui de l'autre extrémité.
