Bonjour,
j'ai plusieurs sites distants reliés par un VPN. Plusieurs de ces sites ont des adressages IP identiques du style 192.168.0.0/24
J'utilise actuellement des règles NAT avec netfilter pour faire apparaître le site centrale en 192.168.99.0/24 aux autres sites. Ca permet de communiquer du site centrale vers les sites distants, mais pas de lancer les connexions depuis les sites distants (ou alors il faut une redirection de port par besoin, c'est non).
Mon idée est que chaque site ait un adressage virtuel.
Le site central est vu par les autres comme étant 10.10.10.0/24
Le premier site distant est vu par le site central comme étant 10.11.11.0/24
Le second site distant est vu par le site central comme étant 10.12.12.0/24
Etc
Netfilter a une cible NETMAP qui permet de modifier l'adresse source exactement comme je le souhaite. Mais pas l'adresse destination.
Je pense mettre les règles en sortie du VPN du routeur central : http://demo.ovh.net/download/0f90b22559ae3b46158c5bd063fab80d/Capture_d_cran_-_20112012_-_23_22_50.png
Je n'arrive pas à inclure une image. C'est moi qui merde ?
Je ne sais pas si mon schéma est clair (je crois que non en fait).
Je veux la même chose que la cible NETMAP mais pour l'adresse destination également. Et je n'ai pas le début d'un commencement d'idée.
# Je ne comprend pas tout
Posté par Pascal Terjan (site web personnel) . Évalué à 3.
Bon déjà je ne comprend pas pourquoi tu fais du nat pour faire apparaitre le site central avec une autre IP, ni en quoi ca permet de communiquer depuis celui ci vers les autres.
Si ton site central a des IP en 192.168.99.0/24 les autres sites peuvent s'y connecter en utilisant ces IPs sans NAT…
Ensuite pour ton deuxième problème, ce que tu veux c'est du 1:1 NAT et NETMAP est bien la solution, tout est de l'utiliser au bon endroit:
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -d 10.0.10.0/24 -i tun0 -j NETMAP --to 192.168.99.0/24iptables -t nat -A POSTROUTING -s 192.168.99.0/24 -d 10.0.20.0/24 -o tun0 -j NETMAP --to 192.168.10.0/24[^] # Re: Je ne comprend pas tout
Posté par Kerro . Évalué à 4.
Il fait apparaître le site central avec un adressage différent sinon comment les autres peuvent le joindre vu qu'ils ont le même adressage ?
Comment une machine en 192.168.0.100 peut pinguer une autre machine en 192.168.0.100 qui est de l'autre côté d'un routeur ?
Je pense qu'effectivement il veut du 1:1 dans les deux sens.
J'ai déjà vu ce genre de truc et ça m'avait semblé tout con donc je n'avais pas noté. Maintenant qui j'y réfléchi… ben je ne trouve pas en 2 minutes.
Sur quelle machine tu mets tes règles ? Car les adresses que tu utilises ne correspondent pas à celles indiquées.
[^] # Re: Je ne comprend pas tout
Posté par Pascal Terjan (site web personnel) . Évalué à 0.
Il ne dit nul part que le site central a aussi des conflits avec un autre site, juste que les autres sites sont en conflit entre eux.
Pour ce qui est des adresses j'ai mis un peu au hasard parce qu'il était temps d'aller dormir :)
# Pffrfrfrr
Posté par Batchyx . Évalué à 3.
On est en 2012. La solution naturelle à ce genre de problème, c'est IPv6.
Vu que tu semble contrôler tout le réseau (mis à part internet, mais tu peux très bien mettre de l'IPv6 sur ton VPN IPv4), tu peux très bien essayer ce genre de solution. Pas forcement migrer tout en IPv6 tout de suite, mais si tu arrive à éliminer les doublons et à rendre toutes les adresses 192.168.0.0/24 uniques ou gérables, tu aura résolu ton problème immédiat, et tu aura commencé à migrer vers IPv6, ce que de toute façon tu devra bien faire un jour…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.