binat-to sur un VPN IPSEC

classic Classic list List threaded Threaded
1 message Options
Reply | Threaded
Open this post in threaded view
|

binat-to sur un VPN IPSEC

Bruno74
Bonjour la liste,

J’essaie de maquetter la mise en place d'un VPN IPSEC entre deux sites distant étant sur le mme sous-réseau en l’occurrence 10.0.0./16.
La mise en place du VPN avec les réseaux "virtuel" ne pose pas de problme.
Mais je rencontre des difficultés avec la syntaxe de binat-to dans pf. Un petit schéma de mon lab pourra peut tre rendre les choses plus explicite.

SITE_1 : client-1 : 10.0.0.1/16 <----> 10.0.0.254/16 : GW-1 : 80.200.2.1/24
                                       10.11.0.0/16 (NAT)
....
....
SITE_3 :client-3 : 10.0.0.1/16 <----> 10.0.0.254/16 : GW-3 : 80.200.2.3/24
                                      10.12.0.0/16 (NAT)

Comme je duplique les configuration des GW j'obtiens le mme résultat sur le site 1 et sur le site 3. Pour les exemples je me trouve sur le site 1.

Quand j'utilise la rgle suivante pour natter le trafic sur enc0
match log on enc0 from 10.0.0.0/16 to 10.12.0.0/16 binat-to 10.11.0.0/16

J’obtiens ça dans mes traces (ping du client-1 ---> client 3):
Sep 17 17:11:17.836583 rule 11/(match) pass in on vic0: 10.0.0.1 > 10.12.0.1: icmp: echo request
Sep 17 17:11:17.836671 rule 1/(match) match out on enc0: 10.11.0.0 > 10.12.0.1: icmp: echo request
Sep 17 17:11:17.836684 rule 11/(match) pass out on enc0: 10.11.0.0 > 10.12.0.1: icmp: echo request

Le problme est que logiquement je devrais avoir ça:
Sep 17 17:11:17.836671 rule 1/(match) match out on enc0: 10.11.0.1 > 10.12.0.1: icmp: echo request
Sep 17 17:11:17.836684 rule 11/(match) pass out on enc0: 10.11.0.1 > 10.12.0.1: icmp: echo request


Pour obtenir 10.11.0.1 > 10.12.0.1 je suis obliger de modifier la rgle de NAT comme ceci :
match log on enc0 from 10.0.0.0/16 to 10.12.0.0/16 binat-to 10.11.0.1

Mais ce n'est pas le résultat que je cherche  obtenir.

Je cherche  obtenir quelque chose qui comme ça :

10.0.0.2/16 -----> 10.12.0.1/16
                   10.11.0.2/16 -----> 10.12.0.1/16

10.0.0.3/16 -----> 10.12.0.1/16
                   10.11.0.3/16 -----> 10.12.0.1/16
....
.....

Est-ce que j'utilise mal binat-to ? ou alors ce n'est pas la bonne option ? ou il faut utiliser un tableau ?

Merci d'avance pour vos conseils.


Bruno.

This message has been scanned for viruses and
dangerous content by  Amavisd-new, and is
believed to be clean.


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php