[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] pf et nat

Le Mon, 30 Nov 2009 10:15:36 +0100,
Cabillot Julien <julien AT sdv POINT fr> a Ãcrit :

> On Mon, 30 Nov 2009 11:13:59 +0100
> Raphael Berlamont <raphael POINT berlamont AT raphux.com> wrote:
> 
> > Le lundi 30 novembre 2009 Ã 06:21 +0100, Cabillot Julien a Ãcrit :
> > > Ok je vais simplifier c'est vrai que c'est bordel :
> > > [192.168.0.2] --- LAN --- [192.168.0.1 / 192.168.116.10] --- VPN
> > > --- [192.168.116.9] --- LAN --- [X.X.X.X] desktop
> > > passerelle                                   serveur
> > > vpn             serveur destination
> > >                          + client vpn
> > > 
> > > Sur ma passerelle pas de soucis une fois le vpn montÃ, j'ai accÃs
> > > au serveur de destination. Par contre depuis le desktop je
> > > n'arrive pas à la joindre. Voici ma rÃgle :
> > >   match out log on re0 from 192.168.0.2 to X.X.X.X nat-to
> > > 192.168.116.10 (j'ai aussi essayà en remplaÃant par tun0 mais Ãa
> > > change rien) Le truc c'est qu'en faisant un tcpdump de pflog0 je
> > > vois bien le paquet passer par tun0, mais il n'est pas nattÃ
> > > (forcement Ãa marche moins bien).
> > 
> > J'ai du mal avec la syntax que tu utilises. Peux tu essayer ceci :
> > ==================
> > # NAT INTERNET
> > nat log (all) on $wan_if from !($wan_if) \
> > 	to any \
> > 	-> ($wan_if) static-port
> > # NAT VPN
> > nat log (all) on tun0 from !(tun0) \
> > 	to { X.X.X.X/M } \
> > 	-> (tun0)
> > ==================
> > 
> > Laisse le "(all)" juste le temps de dÃbugger ce qu'il se passe. Ne
> > pas oublier de l'enlever ensuite, car les logs peuvent rapidement
> > exploser.
> 
> La syntaxe c'est pas moi qu'ai choisi hein, c'est des changements en
> -current.
> J'essayerais la syntaxe de chez moi aprÃs,
> Merci.
> 

Mouahah j'ai pris le temps de reflÃchir, de regarder lse paquets Ã
coups de tcpdump -D in/out...
Le paquet arrivait bien par mon interface physique et ressortait bien
par l'interface tun. Il fallait juste natter sur tun0 et pas re0 ...

Ce qui donne quelque chose comme Ãa :
match out on $vpn_if from $lan_net to $openvpn_route nat-to $vpn_if
match out on $if     from $lan_net to !$lan_net      nat-to $wan_ip

Merci en tout cas pour l'aide.
-- 
Julien Cabillot
Technicien Unix
SdV PlurimÃdia <http://www.sdv.fr>
Tel: +33 (0)3 88 75 80 50