VPN et Translation d'adresse

[toto46]

Bonjour à tous et à toutes!

Je rencontre un petit souci avec un serveur VPN sous Linux qui sert aussi de passerelle Internet.

Il est sur le réseau 192.168.3.0/24 et est interconnecté avec le réseau local distant 192.168.0.0/24.

Le tunnel marche bien, les règles de filtrage sont ok, les pings entre les 2 réseaux passent bien.

Problème: lorsque je suis sur ma machine en 192.168.3.253, impossible de se connecter sur l'imprimante 192.168.0.200:9100.

Si je vide la table de nat sur la passerelle du réseau 192.168.3.0/24, l'impression marche mais l'accès Internet est coupé sur le réseau 192.168.3.0/24.

Si je rétablis le nat, l'accès Internet marche mais l'impression ne fonctionne plus (impossible de se connecter au port 9100).

Ma commande pour activer le nat est la suivante:

iptables -o $INTERFACE_RESEAU_PUBLIC --table nat -A POSTROUTING -j SNAT --to-source $ADRESSE_PUBLIQUE

Comment faire pour désactiver le NAT lorsque la destination est le réseau 192.168.0.0/24?

Pourquoi les pings fonctionnent malgrès le NAT et pas les autres protocoles?

NB: Je précise que ce ne sont pas les règles du pare-feu qui sont en cause, j'ai essayé en autorisant tout (FORWARD,INPUT,OUTPUT, y compris dans les default policy), le résultat est identique.


Merci pour votre attention

[gemoussier]

Bonjour,
J'ai un peu le même problème mais en inverse, le clients distants ne peuvent pas imprimer sur l'imprimante réseau du site local. J'ai solutionné le problème en créant un serveur d'impression sur un des autres machines.
S'il s'agit d'une imprimante vérifie si tu peux configurer une passerelle sur cette dernière, et si oui si elle est configurée.

[toto46]

Bonjour,

Merci pour ta réponse rapide!

Le problème se produit bien avec une imprimante distante, je peux la pinger, avec ou sans le NAT mais impossible de me connecter sur son port jetdirect si le NAT reste activé.

Si je désactive le NAT (tout en laissant le filtrage du pare-feu) ça fonctionne.

Donc je peux déjà écarter un problème de passerelle, sinon le ping ne fonctionnerai jamais et je ne pourrais pas me connecter au port jetdirect, même en désactivant le NAT.

J'ai trouvé la solution par moi-même:

Au départ j'avais essayé ceci:

iptables -o $INTERFACE_RESEAU_PUBLIC -d! 192.168.0.0/24 --table nat -A POSTROUTING -j SNAT --to-source $ADRESSE_PUBLIQUE

Pour empêcher de nater tout ce qui est à destination du réseau distant 192.168.0.0/24 mais ça ne marchait pas.

En fait c'est tout simple, la bonne commande est celle-ci:

iptables -o $INTERFACE_RESEAU_PUBLIC -d! xxx.xxx.xxx.xxx --table nat -A POSTROUTING -j SNAT --to-source $ADRESSE_PUBLIQUE

où xxx.xxx.xxx.xxx est l'adresse IP publique du serveur VPN du site distant.

Mon problème venait du fait que je faisais du SNAT avec l'adresse $ADRESSE_PUBLIQUE sur des paquets ayant déjà pour source l'adresse IP $ADRESSE_PUBLIQUE (car générés par le serveur IPSEC présent localement sur le serveur) et destinée à être utilisée sur un réseau distant.

J'espère que ça aidera ceux qui rencontreront le même problème que moi.

[toto46]

Je viens même de faire encore plus simple, ceci:

iptables -o $INTERFACE_RESEAU_PUBLIC -s! $ADRESSE_PUBLIQUE --table nat -A POSTROUTING -j SNAT --to-source $ADRESSE_PUBLIQUE

Pour éviter de NATTER avec l'adresse $ADRESSE_PUBLIQUE ce qui est déjà issus de l'interface locale du serveur VPN, ayant pour adresse $ADRESSE_PUBLIQUE.

Le reste est automatiquement natté.

Et ça marche au poil!