[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [obsdfr-misc] pf et nat
On Mon, 23 Nov 2009 12:48:41 +0100
Raphael Berlamont <raphael POINT berlamont AT raphux.com> wrote:
> Le lundi 23 novembre 2009 Ã 01:40 +0100, Julien Cabillot a Ãcrit :
> > Si je n'ai pas Ãtait assez clair, n'hÃsitez pas à me demander des
> > prÃcisions.
>
> Je ne suis pas sÃr de bien comprendre les sens et directions de ce que
> tu expliques. Peux-tu joindre un rapide schÃma?
>
> Dans tes rÃgles de NAT tu peux prÃciser pour quelles sources et
> destinations rendre effectif le NAT.
>
> Ici, avec une interface crÃÃe par OpenVPN, je nat mon rÃseau interne
> en en destination de certain rÃseau interne à mon entreprise
> seulement, si l'IP attribuà sur l'interface tun0 :
> ======
> nat on tun0 from !(tun0) \
> to { 192.168.6.0/24, 10.149.0.0/16, 121.76.52.27 } \
> -> (tun0)
> ======
>
> Rien ne t'empÃche d'ajouter une plage d'IP source.
>
> Bonne journÃe,
Ok je vais simplifier c'est vrai que c'est bordel :
[192.168.0.2] --- LAN --- [192.168.0.1 / 192.168.116.10] --- VPN --- [192.168.116.9] --- LAN --- [X.X.X.X]
desktop passerelle serveur vpn serveur destination
+ client vpn
Sur ma passerelle pas de soucis une fois le vpn montÃ, j'ai accÃs au serveur de destination.
Par contre depuis le desktop je n'arrive pas à la joindre.
Voici ma rÃgle :
match out log on re0 from 192.168.0.2 to X.X.X.X nat-to 192.168.116.10 (j'ai aussi essayà en remplaÃant par tun0 mais Ãa change rien)
Le truc c'est qu'en faisant un tcpdump de pflog0 je vois bien le paquet passer par tun0,
mais il n'est pas nattà (forcement Ãa marche moins bien).
Et pourtant la mÃme rÃgle appliquà pour natter vers le net, marche tres bien
match out log on re0 from 192.168.0.2 to any nat-to 192.168.1.2 (ip rÃseaux vers la freebox)
Si vous avez la moindre idÃe de oà Ãa peut venir, moi je deviens fou.
--
Julien Cabillot
Technicien Unix
SdV PlurimÃdia <http://www.sdv.fr>
Tel: +33 (0)3 88 75 80 50