Envoyé par
Papallon
J'ai un exemple, un fois le VPN configuré je créé des régles dans un de mes FW (ici la A).
Premiére régle FW-A vers FW-B:
@source : 192.168.1.250/32
@destination : 192.168.1.249/32
@mapping source : empty
@mapping destination : empty
deuxiéme régle FW-B vers FW-A:
@source : 192.168.1.248/32
@destination : 192.168.1.250/32
@mapping source : 192.168.1.249/32
@mapping destination : empty
Mmmhh...
Question : supposes que tu es connecté sur machineA... Quelle commande vas-tu entrer pour pinguer machineB ?
Si on regarde d'un peu plus près la cinématique des paquets entre les 2 machines, il faut introduire 2 nouvelles adresses /32. Par exemple :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
| |--------------------------| 192.168.1.0/24
|.250 |.1
+----------+ |
| machineA | | [192.168.1.250, 10.168.2.250] [10.168.2.250, 192.168.1.250]
+----------+ |inside
+------+ | / \
| FW-A | | |
+------+ \ / |
|192.168.2.1
|outside [10.168.1.250, 10.168.2.250] [10.168.2.250, 10.168.1.250]
|192.168.2.2
+------+ | / \
| FW-B | | |
+------+ \ / |
+----------+ |inside
| machineB | | [10.168.1.250, 192.168.1.250] [192.168.1.250, 10.168.1.250]
+----------+ |
|.250 |.2
|--------------------------| 192.168.1.0/24 |
ce qui donnerait les mappings suivants :
FW-A
FW-A inside vers outside
@source : 192.168.1.250/32
@dest : 10.168.2.250/32
@mapping source : 10.168.1.250/32
@mapping dest : empty
FW-A outside vers inside
@source : 10.168.2.250/32
@dest : 10.168.1.250/32
@mapping source : 10.168.2.250/32
@mapping dest : 192.168.1.250/32
et rajouter la route statique 10.168.2.250/32 avec le next hop 192.168.2.2
FW-BFW-B inside vers outside
@source : 192.168.1.250/32
@dest : 10.168.1.250/32
@mapping source : 10.168.2.250/32
@mapping dest : empty
FW-B outside vers inside
@source : 10.168.1.250/32
@dest : 10.168.2.250/32
@mapping source : 10.168.1.250/32
@mapping dest : 192.168.1.250/32
et rajouter la route statique 10.168.1.250/32 avec le next hop 192.168.2.1.
Il faudra peut-être prévoir quelques adaptations... Essaies sans VPN dans un premier temps.
J'ai fait un rapide lab sous GNS3 et ça marche très bien avec ces multiples translations...
1 2 3 4
| machineA# ping 10.168.2.250
PING 10.168.2.250 (10.168.2.250) 56(84) bytes of data.
64 bytes from 10.168.2.250: icmp_seq=1 ttl=64 time=1.56 ms
64 bytes from 10.168.2.250: icmp_seq=2 ttl=64 time=4.07 ms |
1 2 3 4
| machineA# ping 10.168.1.250
PING 10.168.1.250 (10.168.1.250) 56(84) bytes of data.
64 bytes from 10.168.1.250: icmp_seq=1 ttl=64 time=1.23 ms
64 bytes from 10.168.1.250: icmp_seq=2 ttl=64 time=2.12 ms |
Steph
Partager