on to one NAT

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

on to one NAT

Daniel Ouimet

Bonjour à tous,

Depuis un moment nous utilisons OpenBSD comme routeur dans notre réseau et
jusqu'ici ça fonctionne  bien.

Nous avons loué des IP WAN y a peu de temps et nous aimerions pouvoir
attribuer un IP WAN pour chacun de nos serveurs. Par contre, notre
fournisseur nous dit qu'il faut utiliser un routeur pour la gestion des IP
WAN versus nos serveurs.

Ma question est: est-ce possible de le faire avec OpenBSD ?

Car, si un client veut se connecter sur notre serveur web, nous voulons
qu'il le fasse sur l'IP WAN et non LAN, quoi que le serveur ait une IP
LAN.

En tout cas, jusqu'à maintenant je n'ai aucune piste pour faire des essai,
et je n'ai aucune idée de configuration. Si ça dit quelque chose à
quelqu'un...

merci d'avance !!

daniel



--
----
Daniel Ouimet --
Administrateur Système - dev.c-i-m.net
Projet personnel - www.whitezone.org


+++++++++++++++++++++++++++++++++++++++++++++
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.2 (FreeBSD)
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=L17m
-----END PGP PUBLIC KEY BLOCK-----


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Philippe BEAUMONT-2
Si je comprend bien tu as plusieurs IP publique et tu aimerais
faire du PAT sur chacune de ses IP pour tes serveurs avec des adresses
privé ?

Oui c'est possible mais ce n'est pas la meilleurs solution. L'idéal
étant que tes serveur ai directement une adresse IP publique accessible
et que tu routes les paquet sans nat pour eux.

Philippe

Le Wed, 28 Jul 2010 15:50:08 -0000 (UTC),
"Daniel Ouimet" <[hidden email]> a écrit :

>
> Bonjour à tous,
>
> Depuis un moment nous utilisons OpenBSD comme routeur dans notre
> réseau et jusqu'ici ça fonctionne  bien.
>
> Nous avons loué des IP WAN y a peu de temps et nous aimerions pouvoir
> attribuer un IP WAN pour chacun de nos serveurs. Par contre, notre
> fournisseur nous dit qu'il faut utiliser un routeur pour la gestion
> des IP WAN versus nos serveurs.
>
> Ma question est: est-ce possible de le faire avec OpenBSD ?
>
> Car, si un client veut se connecter sur notre serveur web, nous
> voulons qu'il le fasse sur l'IP WAN et non LAN, quoi que le serveur
> ait une IP LAN.
>
> En tout cas, jusqu'à maintenant je n'ai aucune piste pour faire des
> essai, et je n'ai aucune idée de configuration. Si ça dit quelque
> chose à quelqu'un...
>
> merci d'avance !!
>
> daniel
>
>
>

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Daniel Ouimet

Philippe BEAUMONT a écrit :
> Si je comprend bien tu as plusieurs IP publique et tu aimerais
> faire du PAT sur chacune de ses IP pour tes serveurs avec des adresses
> privé ?

oui c'est bien ça

>
> Oui c'est possible mais ce n'est pas la meilleurs solution. L'idéal
> étant que tes serveur ai directement une adresse IP publique accessible
> et que tu routes les paquet sans nat pour eux.


oui, tu as certainement raison et j'aurai bien aimé de cette façon, mais
mon fournisseur ne me donne pas le choix, il me dit qu'il me faut gérer ça
avec un routeur.


>
> Philippe
>
> Le Wed, 28 Jul 2010 15:50:08 -0000 (UTC),
> "Daniel Ouimet" <[hidden email]> a écrit :
>
>>
>> Bonjour à tous,
>>
>> Depuis un moment nous utilisons OpenBSD comme routeur dans notre
>> réseau et jusqu'ici ça fonctionne  bien.
>>
>> Nous avons loué des IP WAN y a peu de temps et nous aimerions pouvoir
>> attribuer un IP WAN pour chacun de nos serveurs. Par contre, notre
>> fournisseur nous dit qu'il faut utiliser un routeur pour la gestion
>> des IP WAN versus nos serveurs.
>>
>> Ma question est: est-ce possible de le faire avec OpenBSD ?
>>
>> Car, si un client veut se connecter sur notre serveur web, nous
>> voulons qu'il le fasse sur l'IP WAN et non LAN, quoi que le serveur
>> ait une IP LAN.
>>
>> En tout cas, jusqu'à maintenant je n'ai aucune piste pour faire des
>> essai, et je n'ai aucune idée de configuration. Si ça dit quelque
>> chose à quelqu'un...
>>
>> merci d'avance !!
>>
>> daniel
>>
>>
>>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>


--
----
Daniel Ouimet --
Administrateur Système - dev.c-i-m.net
Projet personnel - www.whitezone.org


+++++++++++++++++++++++++++++++++++++++++++++
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.2 (FreeBSD)
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=L17m
-----END PGP PUBLIC KEY BLOCK-----


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Olivier Le Cam
In reply to this post by Philippe BEAUMONT-2
Bonsoir,

Philippe BEAUMONT wrote:
> Oui c'est possible mais ce n'est pas la meilleurs solution. L'idéal
> étant que tes serveur ai directement une adresse IP publique accessible
> et que tu routes les paquet sans nat pour eux.

+1

Si vraiment tu veux faire du NAT one-to-one, la solution consiste à
déclarer, côté WAN, une IP (alias IP) pour chacune des IP publique.
Après quoi, il suffira de faire les règles pf ad'hoc pour NAter vers tes
IP privées.

--
Olivier

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Denis Fondras
In reply to this post by Daniel Ouimet
Bonsoir,

>
> Nous avons loué des IP WAN y a peu de temps et nous aimerions pouvoir
> attribuer un IP WAN pour chacun de nos serveurs. Par contre, notre
> fournisseur nous dit qu'il faut utiliser un routeur pour la gestion des IP
> WAN versus nos serveurs.
>
> Ma question est: est-ce possible de le faire avec OpenBSD ?
>

Oui, il est même tout indiqué ! :)

> Car, si un client veut se connecter sur notre serveur web, nous voulons
> qu'il le fasse sur l'IP WAN et non LAN, quoi que le serveur ait une IP
> LAN.
>

J'ai peur de ne pas bien comprendre votre architecture. Les serveurs
sont dans le LAN ?

Si c'est le cas, il est préférable de les déplacer vers une zone dédiée
(aka DMZ).

Pouvez-vous détailler un peu plus votre configuration ?

> En tout cas, jusqu'à maintenant je n'ai aucune piste pour faire des essai,
> et je n'ai aucune idée de configuration. Si ça dit quelque chose à
> quelqu'un...
>

En gros, on a une architecture comme ça :

/----------\
| Serveurs |
| en IP    |
| publique |
\----------/
      |
     (3)
      |
/---------\         /-----\
| OpenBSD |---(2)---| LAN |
\---------/         \-----/
      |
     (1)
      |
/----------\
| Internet |
\----------/


Avec :
(1)- Côté OpenBSD rien ne change, l'interface réseau est configurée pour
l'accès à Internet
(2)- Rien ne change
(3)- Les serveurs sont configurés avec une des adresses IP publiques que
votre prestataire vous fournit et l'interface côté OpenBSD aussi. Ex:
Le prestataire fournit 172.16.1.0/29
Un serveur est configuré avec 172.16.1.1, masque 255.255.255.248 et
passerelle 172.16.1.6.
OpenBSD est configuré avec l'adresse 172.16.1.6, masque 255.255.255.248
(Les routes sont configurées automatiquement par le système)
Il reste à paramétrer PF pour accepter le trafic légitime venant
d'Internet et du LAN à destination de l'adresse IP du serveur.
(c'est le même topo en IPv6 :) )

Denis

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Daniel Ouimet

Denis Fondras a écrit :

> Bonsoir,
>
>>
>> Nous avons loué des IP WAN y a peu de temps et nous aimerions pouvoir
>> attribuer un IP WAN pour chacun de nos serveurs. Par contre, notre
>> fournisseur nous dit qu'il faut utiliser un routeur pour la gestion des
>> IP
>> WAN versus nos serveurs.
>>
>> Ma question est: est-ce possible de le faire avec OpenBSD ?
>>
>
> Oui, il est même tout indiqué ! :)
>
>> Car, si un client veut se connecter sur notre serveur web, nous voulons
>> qu'il le fasse sur l'IP WAN et non LAN, quoi que le serveur ait une IP
>> LAN.
>>
>
> J'ai peur de ne pas bien comprendre votre architecture. Les serveurs
> sont dans le LAN ?


oui ils sont dans un LAN dans une classe C

la facon que le routeur actuel est configuré c'est

routeur cote WAN - IP WAN static
routeur cote LAN - IP Lan classe C

ensuite on a ajouté les correspondance IP LAN vers IP WAN donné par notre
fournisseur (on to one LAN)

Par exemple, une machine du LAN qui a 192.168.101.61, vu de l'exterieur
elle aura l'IP 205.237.xx.xx qu'on lui a attribué ... et inversement.

de même pour les autre machine du LAN

merci pour tes détails.


>
> Si c'est le cas, il est préférable de les déplacer vers une zone dédiée
> (aka DMZ).
>
> Pouvez-vous détailler un peu plus votre configuration ?


oui bien sûr, ça m'apparait quelque peu étrange n'étant pas familier avec
ce genre de configuration.

Mon fournisseur me donne une IP WAN sur mon routeur (un linksys pour
l'instant),


>> En tout cas, jusqu'à maintenant je n'ai aucune piste pour faire des
>> essai,
>> et je n'ai aucune idée de configuration. Si ça dit quelque chose à
>> quelqu'un...
>>
>
> En gros, on a une architecture comme ça :
>
> /----------\
> | Serveurs |
> | en IP    |
> | publique |
> \----------/
>       |
>      (3)
>       |
> /---------\         /-----\
> | OpenBSD |---(2)---| LAN |
> \---------/         \-----/
>       |
>      (1)
>       |
> /----------\
> | Internet |
> \----------/
>
>
> Avec :
> (1)- Côté OpenBSD rien ne change, l'interface réseau est configurée pour
> l'accès à Internet
> (2)- Rien ne change
> (3)- Les serveurs sont configurés avec une des adresses IP publiques que
> votre prestataire vous fournit et l'interface côté OpenBSD aussi. Ex:
> Le prestataire fournit 172.16.1.0/29
> Un serveur est configuré avec 172.16.1.1, masque 255.255.255.248 et
> passerelle 172.16.1.6.
> OpenBSD est configuré avec l'adresse 172.16.1.6, masque 255.255.255.248
> (Les routes sont configurées automatiquement par le système)
> Il reste à paramétrer PF pour accepter le trafic légitime venant
> d'Internet et du LAN à destination de l'adresse IP du serveur.
> (c'est le même topo en IPv6 :) )
>
> Denis
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>


--
----
Daniel Ouimet --
Administrateur Système - dev.c-i-m.net
Projet personnel - www.whitezone.org


+++++++++++++++++++++++++++++++++++++++++++++
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.2 (FreeBSD)

mQGiBEqPF+YRBACUI8QsDs4GHA4dvUwsuSkpXqFGfxMUR3UUMce7vqxre/KFAMeL
mN9wMByESScaF1LObsEO9gIbvHEcaPTYSL7Ai2tadK/HmXbUSIYUo1RNYZVIeVWr
BzVNNz88iu4VdbFOzAZmtyTmofqgnwkr43ZnujXSWsphphw+xfTFVfIO7wCg4B8q
yn6czzt91FiiFSKCpYnLH8cD/1NHTSuBHcMK00rycFbNawVTlchF9e/SUbymcX/f
ah0UUutfqeniXZ2pozSwfjeT13mMJIIdGO8WhYiqmfnsID9jEFPNEviPREhtx4BB
GjShd639LhdEizHBmSPq7z96QYkg/+2VtQfCK6IjcOBmxqb6EqtiOJPTpB6zL/6h
LpCLA/wOYECR1TpSB6YM3rUjzFS/Q5UCymLToNOxoPfkhOrTTx8nhoCLOTzdm7BE
aepXk6Mr2M7BWbu3fMZPJw7uFtx/Pe1ATK5WHOvI5ShbvgtiXLVEgyB9zNek7bqL
WTN7brI8Oop+VdGLkFBCGw55zqZhxqmQxn5I0111gz96FYq9z7QrRGFuaWVsIE91
aW1ldCAocHJpdmF0ZSkgPGRldkB3aGl0ZXpvbmUub3JnPohgBBMRAgAgBQJKjxfm
AhsDBgsJCAcDAgQVAggDBBYCAwECHgECF4AACgkQWS3E09brYjPa5wCgof8RTugZ
Ad74YRhnKYG1Lo3QSjkAn1SDNtpg+JwLZzCiWqsHoK+z5ymHuQINBEqPF+wQCADJ
0e8acjrWN3sJkxLXfy/DQ4bUH9MbJfTDw3hsfq0oQGVz6eQ3O984utA4XfwNlUnd
4noq7g1/7N8ZXKCws4ehvP/6AA5b9WX1p5/xq3mWcwhsLWWZd//4BcpIVLMaMxdp
9zTB0vDpBTNerfZ2CdnlDJnojbEyqlBBBvftBy/jJOiJPMmo9xZK+r0r6QIWax7V
P46d0W3LwYDKQfgKJNpFYKO7yNyHKy+OJcKIlJ9Lc6d1i2DolYNs4D42POjOnOUb
t+LTSmLQKLmldw/ju5kwVv7R8WeQcYGTpH/PzlcCqryJM4PuRgXju0C04Si3eHQ8
lN5NSG9Oa3yCT8YOCzibAAMFB/9kJbF/qJ9bTJ0d3Y9Cm/wxT6sinhYrevSUg0Ce
s6M47gC+TbFAequ96mncv9jD1U8pmDtmc7++SQ6SYSz8agm84dRGDbwW0EFtLOal
1c8oy4eSvF9kSBDHvw863f8plFRYIZh5rVM2vh8JSqY3bRFAZxQH5BgGZ42I3Y8T
LIPECgeYFEcCmM/51Ghgu/njb37sDjjvKRGpXFsWvUUJtICBEyG86isGQiGVXPy0
povkvyXrn0ydd3U3B8WMxrYgc5F8l7ldUfjIMC+Bq34TRq9IDv0AJPk3oTgeIIal
RmkLYmNjNVvqQAgkHEZztBHIUtQA8snUB4aWx1TxzlUa1TZAiEkEGBECAAkFAkqP
F+wCGwwACgkQWS3E09brYjNF/gCfWreBLvFwykDUHkVTMqU1jiPvzJgAn3SHpP18
iEO3FgSRnl6d8FRjCsKl
=L17m
-----END PGP PUBLIC KEY BLOCK-----


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Philippe BEAUMONT-2
In reply to this post by Daniel Ouimet
Le Wed, 28 Jul 2010 16:47:47 -0000 (UTC),
"Daniel Ouimet" <[hidden email]> a écrit :

>
> Philippe BEAUMONT a écrit :
> > Si je comprend bien tu as plusieurs IP publique et tu aimerais
> > faire du PAT sur chacune de ses IP pour tes serveurs avec des
> > adresses privé ?
>
> oui c'est bien ça
>
> >
> > Oui c'est possible mais ce n'est pas la meilleurs solution. L'idéal
> > étant que tes serveur ai directement une adresse IP publique
> > accessible et que tu routes les paquet sans nat pour eux.
>
>
> oui, tu as certainement raison et j'aurai bien aimé de cette façon,
> mais mon fournisseur ne me donne pas le choix, il me dit qu'il me
> faut gérer ça avec un routeur.
>

Heuuuu justement si tu dois gérer ça avec un routeur alors pourquoi
vouloir mettre un nat et ne pas utiliser un routeur ? OpenBSD sait très
bien router des paquets mais aussi très bien gérer un NAT.



>
> >
> > Philippe
> >
> > Le Wed, 28 Jul 2010 15:50:08 -0000 (UTC),
> > "Daniel Ouimet" <[hidden email]> a écrit :
> >
> >>
> >> Bonjour à tous,
> >>
> >> Depuis un moment nous utilisons OpenBSD comme routeur dans notre
> >> réseau et jusqu'ici ça fonctionne  bien.
> >>
> >> Nous avons loué des IP WAN y a peu de temps et nous aimerions
> >> pouvoir attribuer un IP WAN pour chacun de nos serveurs. Par
> >> contre, notre fournisseur nous dit qu'il faut utiliser un routeur
> >> pour la gestion des IP WAN versus nos serveurs.
> >>
> >> Ma question est: est-ce possible de le faire avec OpenBSD ?
> >>
> >> Car, si un client veut se connecter sur notre serveur web, nous
> >> voulons qu'il le fasse sur l'IP WAN et non LAN, quoi que le serveur
> >> ait une IP LAN.
> >>
> >> En tout cas, jusqu'à maintenant je n'ai aucune piste pour faire
> >> des essai, et je n'ai aucune idée de configuration. Si ça dit
> >> quelque chose à quelqu'un...
> >>
> >> merci d'avance !!
> >>
> >> daniel
> >>
> >>
> >>
> >
> > ________________________________
> > French OpenBSD mailing list
> > [hidden email]
> > http://www.openbsd-france.org/communaute.php
> >
> >
>
>

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Daniel Ouimet




Philippe BEAUMONT a écrit :

> Heuuuu justement si tu dois gérer ça avec un routeur alors pourquoi
> vouloir mettre un nat et ne pas utiliser un routeur ? OpenBSD sait très
> bien router des paquets mais aussi très bien gérer un NAT.


la question est toute la, c'est que je ne sais pas trop comment le faire.

en tout cas merci !


> Le Wed, 28 Jul 2010 16:47:47 -0000 (UTC),
> "Daniel Ouimet" <[hidden email]> a écrit :
>
>>
>> Philippe BEAUMONT a écrit :
>> > Si je comprend bien tu as plusieurs IP publique et tu aimerais
>> > faire du PAT sur chacune de ses IP pour tes serveurs avec des
>> > adresses privé ?
>>
>> oui c'est bien ça
>>
>> >
>> > Oui c'est possible mais ce n'est pas la meilleurs solution. L'idéal
>> > étant que tes serveur ai directement une adresse IP publique
>> > accessible et que tu routes les paquet sans nat pour eux.
>>
>>
>> oui, tu as certainement raison et j'aurai bien aimé de cette façon,
>> mais mon fournisseur ne me donne pas le choix, il me dit qu'il me
>> faut gérer ça avec un routeur.
>>
>
> Heuuuu justement si tu dois gérer ça avec un routeur alors pourquoi
> vouloir mettre un nat et ne pas utiliser un routeur ? OpenBSD sait très
> bien router des paquets mais aussi très bien gérer un NAT.





>
>
>
>>
>> >
>> > Philippe
>> >
>> > Le Wed, 28 Jul 2010 15:50:08 -0000 (UTC),
>> > "Daniel Ouimet" <[hidden email]> a écrit :
>> >
>> >>
>> >> Bonjour à tous,
>> >>
>> >> Depuis un moment nous utilisons OpenBSD comme routeur dans notre
>> >> réseau et jusqu'ici ça fonctionne  bien.
>> >>
>> >> Nous avons loué des IP WAN y a peu de temps et nous aimerions
>> >> pouvoir attribuer un IP WAN pour chacun de nos serveurs. Par
>> >> contre, notre fournisseur nous dit qu'il faut utiliser un routeur
>> >> pour la gestion des IP WAN versus nos serveurs.
>> >>
>> >> Ma question est: est-ce possible de le faire avec OpenBSD ?
>> >>
>> >> Car, si un client veut se connecter sur notre serveur web, nous
>> >> voulons qu'il le fasse sur l'IP WAN et non LAN, quoi que le serveur
>> >> ait une IP LAN.
>> >>
>> >> En tout cas, jusqu'à maintenant je n'ai aucune piste pour faire
>> >> des essai, et je n'ai aucune idée de configuration. Si ça dit
>> >> quelque chose à quelqu'un...
>> >>
>> >> merci d'avance !!
>> >>
>> >> daniel
>> >>
>> >>
>> >>
>> >
>> > ________________________________
>> > French OpenBSD mailing list
>> > [hidden email]
>> > http://www.openbsd-france.org/communaute.php
>> >
>> >
>>
>>
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>


--
----
Daniel Ouimet --
Administrateur Système - dev.c-i-m.net
Projet personnel - www.whitezone.org


+++++++++++++++++++++++++++++++++++++++++++++
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.2 (FreeBSD)
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=L17m
-----END PGP PUBLIC KEY BLOCK-----


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Olivier Le Cam
In reply to this post by Philippe BEAUMONT-2
Philippe BEAUMONT wrote:
>> oui, tu as certainement raison et j'aurai bien aimé de cette façon,
>> mais mon fournisseur ne me donne pas le choix, il me dit qu'il me
>> faut gérer ça avec un routeur.

Si ton FAI t'oblige à utiliser le routeur qu'il te fournit,
effectivement c'est mort (à moins de faire un bridge transparent, ce qui
n'est AMTHA pas plus efficace qu'un NAT one-to-one).

Sinon, il est plus que probable que ton FAI te fournisse (même s'il ne
le dit pas) une 9ème IP en plus (et en dehors) du bloc de 8 IP, IP
affectée au tunel PPP et à travers laquelle le bloc de 8 est routé.

Avec juste un modem et ton routeur BSD en PPPoE, tu affectes cette IP à
ppp0 et tu routes ton /29 via l'adresse IP du bloc de 8 réservée à cet
usage. Tu te retrouves donc avec ton bloc d'IP publiques sur le port
ethernet situé « de l'autre côté » de ton routeur/firewall.

C'est techniquement plus joli que du NAT inverse, maintenant je suis pas
certain que le jeu en vaille la chandèle (le gain de performance ne se
vera pas sur un lien de quelques Mbps).

Mes 0,01 € :)
--
Olivier

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: on to one NAT

Daniel Ouimet

Olivier Le Cam a écrit :
> Philippe BEAUMONT wrote:

> Si ton FAI t'oblige à utiliser le routeur qu'il te fournit,
> effectivement c'est mort (à moins de faire un bridge transparent, ce qui
> n'est AMTHA pas plus efficace qu'un NAT one-to-one).



Non il ne m'a pas fournit de routeur, mais qu'un modem.


> Sinon, il est plus que probable que ton FAI te fournisse (même s'il ne
> le dit pas) une 9ème IP en plus (et en dehors) du bloc de 8 IP, IP
> affectée au tunel PPP et à travers laquelle le bloc de 8 est routé.


Oui, c'est à travers cet IP que le bloc passe.


Merci beaucoup Olivier pour tes lumières !

Merci aussi à ceux qui ont eu la gentillesse de me répondre.



> Avec juste un modem et ton routeur BSD en PPPoE, tu affectes cette IP à
> ppp0 et tu routes ton /29 via l'adresse IP du bloc de 8 réservée à cet
> usage. Tu te retrouves donc avec ton bloc d'IP publiques sur le port
> ethernet situé « de l'autre côté » de ton routeur/firewall.
>
> C'est techniquement plus joli que du NAT inverse, maintenant je suis pas
> certain que le jeu en vaille la chandèle (le gain de performance ne se
> vera pas sur un lien de quelques Mbps).
>
> Mes 0,01 € :)
> --
> Olivier
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>


--
----
Daniel Ouimet --
Administrateur Système - dev.c-i-m.net
Projet personnel - www.whitezone.org


+++++++++++++++++++++++++++++++++++++++++++++
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.2.2 (FreeBSD)
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=L17m
-----END PGP PUBLIC KEY BLOCK-----


________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php