NAT avec deux plans IP LAN
-
Bonjour à tous,
J'ai actuellement un Pfsense version 2.2.4 (amd 64) avec les paquets suivants:
- Open-VM-Tools
- OpenVPN Client Export Utility
- squid 4.3.10
- squidGuard 1.9.15
J'ai 4 interfaces :
- DMZ
- GUEST (VLAN32) pour les invités
- LAN1 172.20.1.0/24
- WAN
Je dois gérer un nouveau LAN avec un autre plan IP imposé (192.168.1.0/24) et un nouveau routeur (192.168.1.254) sur ce plan dédié, l'objectif etant le suivant:
- LAN1 172.20.1.0/24 vers LAN2 192.168.1.0/24 avec masquage des adresses en provenance du 172.20.1.0/24 par l'adresse PFSENSE du nouveau LAN2 (192.168.1.253) puis routage vers le 192.168.1.252
- LAN2 192.168.1.0/24 vers LAN1 172.20.1.0/24 avec masquage des adresses en provenance du 192.168.1.0/24 par l'adresse PFSENSE du LAN1 (172.20.1.253)
Cela est-il possible ? Dois-je créer une nouvelle interface sur ce nouveau LAN ? ou existe-il une methode plus simple ? (Alias ?)
Merci à vous
-
Une nouvelle nterface me semble le plus simple et le plus sain.
- LAN1 172.20.1.0/24 vers LAN2 192.168.1.0/24 avec masquage des adresses en provenance du 172.20.1.0/24 par l'adresse PFSENSE du nouveau LAN2 (192.168.1.253) puis routage vers le 192.168.1.252
- LAN2 192.168.1.0/24 vers LAN1 172.20.1.0/24 avec masquage des adresses en provenance du 192.168.1.0/24 par l'adresse PFSENSE du LAN1 (172.20.1.253)
Par contre çà je ne comprend pas : masquage des adresse ?
-
Oui, quand je parle de masquage des adresses je parle NAT… avec IP comme IP source les adresses des interfaces PFSENSE LAN1 ou LAN2
Merci pour ta réponse je vais tester avec un nouvelle interface.
-
La nat dynamique est automatique lorsque le paquet sort par une interface Wan. Entre les autres interfaces Pfsense fait du routage sauf si un nat est configuré. Pour la lisibilité des logs et autres aspects sécurité je ne suis pas certain que ce soit une bonne option. Je pense même qu'elle est mauvaise.
-
Ce n'est pas super clair.
Je dois gérer un nouveau LAN
Cela veut dire un nouveau réseau physique ? (Je le suppose) De facto, il faut un port physique supplémentaire pour ce réseau supplémentaire.
Avec donc 2 LAN bien distincts et avec la volonté de NAT dans un sens et dans l'autre, il va falloir abandonner le NAT Outbound automatique.
Il est à savoir que l'arrêt du NAT Outbound Automatic provoque la création de toute une batterie de règles en NAT Outbound Manual.
Le principe est de décrire, flux par flux, c'est à dire interface par interface, l'opération de NAT.Il ne me parait pas du tout impossible de NAT dans les 2 sens (même si je ne l'ai jamais fait avec pfSense).