VPN et NAT source

[neuronerf]

Bonjour,

J'ai la dernière distrib d'IPCop avec Zerina 0.9.5b installé dessus.
J'ai des VPN net-to-net "classiques" qui fonctionnent bien.

Mon LAN est en 192.168.192.0/255.255.252.0.
Je dois établir un nouveau VPN vers un réseau qui me demande d'arriver en 172.18.192.48/255.255.255.248.

Je ne sais pas trop comment faire pour ne pas impacter mes autres tunnels...

En lisant les forums et autres docs, je pense qu'il faut utiliser les commandes iptables PREROUTING et POSTROUTING, mais je ne m'en sors pas.

Quelqu'un pourrait m'expliquer ?
Merci d'avance,
SeB

[neuronerf]

Un peu plus tard...

Quelqu'un peut me dire si ceci est correct :

iptables -t nat -A PREROUTING -d W.X.Y.Z -i eth1 \
-j DNAT --to-destination 192.168.192.0/22

# correction #
# iptables -t nat -A POSTROUTING -s 192.168.192.0/22 \
# -j SNAT --to-source W.X.Y.Z

plutôt :

iptables -t nat -A POSTROUTING -s 172.18.192.48/29 \
-j SNAT --to-source W.X.Y.Z

iptables -A FORWARD -t filter -o eth1 -m state \
--state NEW,ESTABLISHED,RELATED -j ACCEPT

avec :
1.2.3.4 = @IP peer local
W.X.Y.Z = @IP peer distant
eth0 = LAN
eth1 = internet

Merci de votre aide.
S.

[Franck78]

Salut,

Je dois établir un nouveau VPN vers un réseau qui me demande d'arriver en 172.18.192.48/255.255.255.248.

techniquement, c'est assez obsur comme requète.

Il y a un LAN-A avec adressage X.
Il y a un LAN-B avec adressage Y.
Le vpn lie les deux réseaux.
Il y a problème si X et Y sont dans le même réseau.

[neuronerf]

Bonjour,

Oui, je suis d'accord, c'est un peu vite résumé...

En fait, voilà la config :
- mon LAN local : 192.168.192.0/28
- le serveur distant sur lequel je dois me connecter : 192.168.32.170
- les adresse que mes clients locaux doivent avoir pour accéder au serveur distant : 172.18.192.48/29.

Je ne crois pas que le serveur distant soit situé dans une DMZ, juste dans le LAN distant, mais ils ne souhaitent pas que j'arrive avec des adresses sur cette plage (192.168.32.0/24).

Merci de ton aide !

S.

[Poupou94]

Bonsoir,

J'ai mis deux adresses sur l'interface green une dans chaque réseau qui doit être naté puis deux adresses sur les PCs devant atteindre les sites distant via les VPNs.

Pascal.

[neuronerf]

Bonsoir,

Astucieux, mais c'est "à la manivelle".
Je note quand même ta solution Poupou, juste au cas où... Merci encore.

Ce n'est pas que je soie perfectionniste, mais j'aimerais bien y arriver avec iptables.

J'y travaille...

A+
S.

[Poupou94]

Bonjour,

C'est vrai que c'est une solution pour deux ou trois VPN maxi après il faut trouver autre chose...
Par contre les adresses ne sont pas natés quand elles passent au travers du VPN à l'inverse de ce que j'ai dis plus haut.
Pascal.

[neuronerf]

C'est juste.

Dans mon cas, il faut que j'arrive sur le réseau distant avec des adresses de ce pool.

Sur un pix par exemple, on crée un nat de ce type avec la commande global.

C'est possible avec iptables.

Si quelqu'un a des idées, je suis toujours preneur, merci d'avance.

S.

[Franck78]

Des idées comme quoi? Changer les IPs avec DNAT SNAT est fait pour ça, avec le seul petit hic, de comment le mettre en place.
Faire un mapage explicite par machine (donc fixe) ou laissé le module gérer ça lui même en lui donnant un subnet source et subnet destination.

Tout ceci est expliqué plus ou moins bien dans les tutos iptables.

Commence par Calaca si tu n'est pas sur