NAT + VPN + 2 machines avec la même IP

**Papallon** · 03/03/2015, 08h17

Bonjour,

Alors voilà, j'ai un problème depuis quelques jour, je n'arrive pas à connecter deux machines qui ont la même IP.

Alors je m'explique, j'ai un sous réseau avec un machineA en 192.168.1.250 qui est connecté à un FW-A port interne 192.168.1.1, port externe 192.168.2.1.
Le port externe du premier FW-A est connecté à un port externe d'un autre FW-B 192.168.2.2, port interne FW-B 192.168.1.2 connecté à une machineB 192.168.1.250.

Pour des raisons de sécurité il y a un VPN qui est établi entre les deux FW. Mon problème est que je ne sais pas comment faire pour que les deux machines avec la même adresse IP puissent communiquer. Bien sûr si je change l'adresse IP d'une des deux machines j'y arrive très bien, mais il me faut vraiment conserver ses adresses IPs.

J'ai essayé la NAT 1:1 sur les deux FW mais comme les ports utilisés sont dynamiques, je ne sais pas comment je peux changer l'adresse de destination du packet...

Si vous avez des idées je suis prêt à tout essayé!

Merci d'avance!

**sevyc64** · 03/03/2015, 08h49

le problème étant qu'une machine ayant une adresse en 192.168.1.250, si elle adresse un paquet à l'adresse 192.168.1.250, comme cette adresse est sa propre adresse, le paquet sera en réalité adressé à 127.0.0.1 soit localhost. Le paquet ne sortira même pas de la carte réseau et atteindra encore moins le routeur

**Papallon** · 03/03/2015, 09h17

Oui, je suis très conscient de ça, en plus d'être extrêmement logique c'est la base du réseau.

Tu ne faits que répéter mon problème.

C'est pour cela que j'ai pensé à un forward des packets en utilisant les ports. Du genre : tous les packets arrivant sur ce port sont renvoyé à cette adresse. Mais comment gérer la réponse? Dans le cas d'un ICMP par exemple.

Mais le port est dynamique.

Et puis l'important c'est d'établir le contacte entre les deux machines, si elles pensent que la machine distante est en 10.0.0.1 ça ne me pose aucun souci.

Merci tout de même pour ta réponse!

**JML19** · 03/03/2015, 10h08

Bonjour

Il faut faire du NAT mais pour cela il faut un appareillage type routeur.

**Papallon** · 03/03/2015, 10h22

Envoyé par Papallon

J'ai essayé la NAT 1:1 sur les deux FW mais comme les ports utilisés sont dynamiques, je ne sais pas comment je peux changer l'adresse de destination du packet...

Mes équipements qui font FW et VPN font aussi du routage.

C'est grâce à cela que j'ai pu faire de la NAT, sans doute que je l'ai fait assez mal.

J'ai configuré des deux coté de cette maniére : réseau interne 192.168.1.250/32 (correspond à l'adresse de ma machine ) réseau externe 192.168.2.1 ( correspond à mon ETH externe du FW, donc dans le VPN).

S'il vous plait, je sais que je ne suis pas très claire dans mes propos mais prenez la peine de lire.

Invité · 03/03/2015, 10h51

Salut,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|--------------------------| 192.168.1.0/24
      |.250          |.1
 +----------+        |
 | machineA |        |
 +----------+        |inside
                 +------+
                 | FW-A |
                 +------+
                     |192.168.2.1
                     |outside
                     |192.168.2.2
                 +------+
                 | FW-B |
                 +------+
 +----------+        |inside
 | machineB |        |
 +----------+        |
       |.250         |.2
|--------------------------| 192.168.1.0/24

Il faudrait savoir le type de FW exact ainsi que l'OS des machines.

C'est tout à fait possible mais selon les FW, c'est plus ou moins compliqué...

De façon générale :
- dans le sens outside -> inside, le paquet est translaté avant d'être routé,
- dans le sens inside -> outside, la paquet est routé avant d'être translaté...

Steph

**Papallon** · 03/03/2015, 10h56

Les machines sont sous fedora et les FW sont des FW indus hirshmann. Assez limité.

Ton schéma en ASCII correspond parfaitement à ma topologie, sauf que je suis dans une VPN entre les deux FW. Tu l'as fait à la main?

Concernant les possibilités de mes FW, je peux faire de l'IP masquerading, de na NAT 1:1 avec option FTP, invert direction, double NAT.

Invité · 03/03/2015, 11h23

Je n'ai jamais joué avec des firewalls Hirschmann. Quel est le modèle exact des boîtes ?

Je pourrais retrouver des exemples de config avec des boîtes Cisco mais pas sûr que ça puisse t'aider non plus...

Steph

**Papallon** · 03/03/2015, 11h27

Ce sont des Eagle One.

Et oui, sur du cisco j'aurais pas eu de souci je pense. Si tu veux je peux te montrer ma conf actuel sous format texte.

Invité · 03/03/2015, 11h41

As-tu accès en admin sur les Fedora ?
Je pense qu'une solution basée sur du double-NAT devrait fonctionner.

Regardes cette doc :

http://www.netfilter.org/documentati...-nat-HOWTO.txt

Steph

**Papallon** · 03/03/2015, 13h24

J'ai un accès admin aux fedora mais le souci c'est que la solution va être déployer des centaines de fois. Reconfigurer tout les fedora serait beaucoup trop long.

Il faut que je me débrouille avec mes routeurs/FW.

Invité · 03/03/2015, 13h52

Envoyé par Papallon

J'ai un accès admin aux fedora mais le souci c'est que la solution va être déployer des centaines de fois. Reconfigurer tout les fedora serait beaucoup trop long.

Il faut que je me débrouille avec mes routeurs/FW.

OK.
Je ne vois pas d'autre solution que retourner vers Hirschmann en demandant un exemple de config de VPN+NAT entre "overlapping subnets". Ce type de FW n'est pas très répandu, et apparemment ici à DVP, il n'y a pas d'expertise sur cet OS.

Autre chose à prendre en compte, et non des moindres... La gestion du DNS. Parce que si MachineA lance une requête DNS pour envoyer des paquets à MachineB, il faudra que le DNS réponde avec l'adresse cible translatée. Dans certains cas, c'est un véritable casse-tête

Steph

**Papallon** · 03/03/2015, 14h12

Merci beaucoup pour l'aide alors, je vais fouiller du coté du constructeur alors!

**Papallon** · 03/03/2015, 15h17

Ils n'ont pas de configuration sous la main mais d'aprés eux je peux le faire en utilisant un mapping d'adress.

J'ai un exemple, un fois le VPN configuré je créé des régles dans un de mes FW (ici la A).

Premiére régle FW-A vers FW-B:

@source : 192.168.1.250/32
@destination : 192.168.1.249/32
@mapping source : empty
@mapping destination : empty

deuxiéme régle FW-B vers FW-A:

@source : 192.168.1.248/32
@destination : 192.168.1.250/32
@mapping source : 192.168.1.249/32
@mapping destination : empty

De cette manière, la machine 192.168.1.250 voit les trames arriver avec comme adresse source l'adresse 192.168.1.249 alors que c'est la machine 192.168.1.248 qui les a envoyé.

Ca fait deux heures que je suis dessus et trés franchement je vois pas comment utiliser cela pour que deux machines en 192.168.1.250 puissent communiquer.

En créant une 3eme régle? En ajouter des régles sur le FW distant? Franchement je ne vois pas...

Invité · 03/03/2015, 15h43

Envoyé par Papallon

J'ai un exemple, un fois le VPN configuré je créé des régles dans un de mes FW (ici la A).

Premiére régle FW-A vers FW-B:

@source : 192.168.1.250/32
@destination : 192.168.1.249/32
@mapping source : empty
@mapping destination : empty

deuxiéme régle FW-B vers FW-A:

@source : 192.168.1.248/32
@destination : 192.168.1.250/32
@mapping source : 192.168.1.249/32
@mapping destination : empty

Mmmhh...

Question : supposes que tu es connecté sur machineA... Quelle commande vas-tu entrer pour pinguer machineB ?

Si on regarde d'un peu plus près la cinématique des paquets entre les 2 machines, il faut introduire 2 nouvelles adresses /32. Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|--------------------------| 192.168.1.0/24
      |.250          |.1
 +----------+        |
 | machineA |        |           [192.168.1.250, 10.168.2.250]     [10.168.2.250, 192.168.1.250]
 +----------+        |inside                      
                 +------+                         |                                / \
                 | FW-A |                         |                                 |
                 +------+                        \ /                                |
                     |192.168.2.1                
                     |outside      [10.168.1.250, 10.168.2.250]      [10.168.2.250, 10.168.1.250]
                     |192.168.2.2                 
                 +------+                         |                                / \
                 | FW-B |                         |                                 |
                 +------+                        \ /                                |
 +----------+        |inside
 | machineB |        |             [10.168.1.250, 192.168.1.250]     [192.168.1.250, 10.168.1.250]
 +----------+        |
       |.250         |.2
|--------------------------| 192.168.1.0/24

ce qui donnerait les mappings suivants :

FW-A

FW-A inside vers outside

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@source        : 192.168.1.250/32
@dest        : 10.168.2.250/32
@mapping source    : 10.168.1.250/32
@mapping dest    : empty

FW-A outside vers inside

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@source        : 10.168.2.250/32
@dest        : 10.168.1.250/32
@mapping source    : 10.168.2.250/32
@mapping dest    : 192.168.1.250/32

et rajouter la route statique 10.168.2.250/32 avec le next hop 192.168.2.2

FW-B

FW-B inside vers outside

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@source        : 192.168.1.250/32
@dest        : 10.168.1.250/32
@mapping source    : 10.168.2.250/32
@mapping dest    : empty

FW-B outside vers inside

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@source        : 10.168.1.250/32
@dest        : 10.168.2.250/32
@mapping source    : 10.168.1.250/32
@mapping dest    : 192.168.1.250/32

et rajouter la route statique 10.168.1.250/32 avec le next hop 192.168.2.1.

Il faudra peut-être prévoir quelques adaptations... Essaies sans VPN dans un premier temps.

J'ai fait un rapide lab sous GNS3 et ça marche très bien avec ces multiples translations...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
machineA# ping 10.168.2.250
PING 10.168.2.250 (10.168.2.250) 56(84) bytes of data.
64 bytes from 10.168.2.250: icmp_seq=1 ttl=64 time=1.56 ms
64 bytes from 10.168.2.250: icmp_seq=2 ttl=64 time=4.07 ms

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
machineA# ping 10.168.1.250
PING 10.168.1.250 (10.168.1.250) 56(84) bytes of data.
64 bytes from 10.168.1.250: icmp_seq=1 ttl=64 time=1.23 ms
64 bytes from 10.168.1.250: icmp_seq=2 ttl=64 time=2.12 ms

Steph

**Papallon** · 04/03/2015, 11h06

Bonjour,

Tout d'abord, merci pour ta réponse trés compléte! Je comprend mieux comment ça marche.

Je ne peux pas insérer d'@Mapping destination, j'ai une erreur d’écriture. J'ai vérifié plusieurs fois, dés que j’enlève @Mapping destination, il me prend la nouvelle entrée...
Il ne prend que les empty...

Voici la partie de la doc correspondant :

EagleONE-UserManu-VPN_NAT.pdf

Si tu as le .pkt de ta simulation sous la main j'aimerais bien jeter un oeil s'il te plait.

En ce qui concerne l'essai de ta solution sans le VPN, je ne peux pas etant donné que l'option de mapping est intégré au VPN.

Invité · 04/03/2015, 12h30

Oui, je vois...

Voici l'instant t=0 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Parameter            FW-A        FW-B


IP address of internal port    192.168.1.1    192.168.1.2
IP address of external port    192.168.2.1    192.168.2.2
IP parameters            192.168.1.0/24    192.168.1.0/24
Mapped IP Parameters        10.168.1.0/24    10.168.2.0/24

Essaies ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
FW-A


Source         192.168.1.250/32
Destination     10.168.2.250/32
Mapped source     10.168.1.250/32
Description     FW-A to FW-B

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
FW-B


Source         192.168.1.250/32
Destination     10.168.1.250/32
Mapped source     10.168.2.250/32
Description     FW-B to FW-A

A noter que les firewalls auront peut-être besoin de routes statiques pour joindre les réseaux 10.168.1.0/24 et 10.168.2.0/24. Comme je ne connais pas très bien le packet processing de ces firewalls, je ne suis pas sûr à 100%...

Quant à la simulation, je l'ai faite sous GNS3.
Si j'ai un peu de temps, je la porterai sous PT.

Steph

**Papallon** · 04/03/2015, 14h21

Je viens d'essayer avec juste ses deux régles mais le tracepath depuis machine A ou machine B s'arrête à l'interface interne du FW. Je n'ai que des no reply ensuite.

Je vais continuer à tester des variantes cet aprés midi.

Invité · 04/03/2015, 15h49

Envoyé par Papallon

Je viens d'essayer avec juste ses deux régles mais le tracepath depuis machine A ou machine B s'arrête à l'interface interne du FW. Je n'ai que des no reply ensuite.

Je vais continuer à tester des variantes cet aprés midi.

As-tu pensé aux routes statiques ?

Sur FW-A : 10.168.2.250/32 next hop 192.168.2.2
Sur FW-B : 10.168.1.250/32 next hop 192.168.2.1

Il manque plus grand chose à ce stade

Steph