Discussion :

[AdHoc]

Bonjour à tous,
voila mon problème:
Nous avons des automates chez notre client avec leur adresse IP.
Notre client nous permet d'y accéder par leur vpn en utilisant une adresse traduite.
API1: adresse réelle: 192.168.30.1 adresse traduite 10.0.0.1
API2: adresse réelle: 192.168.30.2 adresse traduite 10.0.0.2
Cette partie ne peut pas être changée.
Quand, dans l'atelier logiciel de l'automate, nous modifions l'adresse de l'automate pour remplacer l'adresse réelle par l'adresse natée, la communication est OK.
Mais il y a deux gros inconvénients:
- Nous ne pouvons pas transférer à distance le projet dans l'automate car cela modifierait l'adresse réelle de l'automate et plus rien ne fonctionnerait.
- Nous devons maintenir en permanence deux projets (celui avec l'adresse réelle et celui avec l'adresse natée).
Ce que nous voudrions faire, c'est trouver une solution (pas trop compliquée ) pour en quelque sorte implémenter une traduction d'adresse chez nous pour communiquer avec les adresses natées chez notre client SANS MODIFIER L'ADRESSE DU PROJET.
Avec l'atelier logiciel, le projet API1 se connecterait à l'adresse 192.168.30.1 qui serait "traduite" chez nous en 10.0.0.1 pour passer à travers le Vpn, et être retraduite en adresse réelle de l'automate 192.168.30.1.
Et là , je me perds complétement et j'arrive même pas à voir quelle technique utiliser.
Pour information, nous installons nos projets avec leurs ateliers logiciels sur des machines virtuelles dédiées (en gros une VM sous Windows 7 pour un client-vpn-type automate. Nota: Notre modèle en Windows 10 n'est pas encore tout à fait au point).
En vous remerciant d'avance de vos suggestions , idées, solutions,
Cordialement, Adhoc

[Miistik]

Bonjour,

Je ne suis pas sûr d'avoir tout compris.

Avant les deux gros inconvénients c'est ok, après je me perds dans l'explication.

Que veux dire "transférer à distance le projet dans l'automate" ?

En théorie, quand on se connecte en vpn, on obtient une IP dans le LAN en question.

Pouvez-vous expliquer plus clairement le contexte et la problématique (peut-être un schéma) ?

Votre "projet" utilise-t-il des adresses DNS ?

[AdHoc]

Toutes mes excuses Miistik pour le manque de clarté.
Actuellement, pour communiquer avec les automates, nous modifions l'adresse de l'automate dans le projet (qui comprend la configuration réseau, matérielle ainsi que le programme).
Cela nous permet de dialoguer avec l'automate pour diagnostiquer et dépanner d'éventuel problème sur l'installation (resynchronisation, raz de valeur, etc).
Le problème est que si nous transférons le projet tel quel dans l'automate, nous transférons également l'adresse modifiée dans la configuration de l'automate et là ce n'est plus bon du tout.
L'adresse de l'automate est fixe (pas de DHCP) et nous ne configurons pas de DNS au niveau du projet automate.
Sur la carte PPP du vpn, le DNS est défini, le DHCP désactivé et la configuration automatique est activée. Nous sommes dans le rang d'adresses natées . Je n'ai pas le souvenir d'avoir configurer quoique ce soit pour le faire fonctionner à part saisir le nom du serveur vpn. (Nota: pour moi le "problème" n'est pas là)

Il est à noter que d'autres marques d'automates gèrent le NAT très bien tout seul, mais ce n'est pas le cas ici.
Nous ne voudrions pas modifier l'adresse de l'automate dans la configuration du projet.
=> Quand on charge le projet de l'automate API1, l'atelier logiciel cherche a se connecter à l'adresse définie dans le projet.
Si on laisse dans le projet l'adresse réelle, il ne trouve pas l'automate.
Si on met dans le projet l'adresse traduite, on communique avec l'automate, mais la configuration du projet n'est plus correcte.

Actuellement notre configuration est la suivante
VM W7 avec atelier logiciel + client vpn ==========> vpn =====>routeur NAT=======> API

Nous voudrions quelque chose comme
VM W7 avec atelier logiciel ======> Solution magique (sur la même VM ou une autre) ==========> client vpn (sur la même VM ou une autre) ============> serveur vpn =====>routeur NAT=======> API
Je ne sais pas résoudre cette partie --^________________________________________ ______________ ________________________________^
On ne peux pas toucher cette partie --- -------------------------------------------------------- --------------------- ---------------------------------------------- ---------------------------- ^_________ ______ __________ __________ ^

Je décrirais cela comme " faire une traduction d'adresse inverse". Il faut que la communication vers 192.168.30.1 soit envoyée sur 10.0.0.1
Est-ce que je suis plus clair? (désolé, j'ai l'impression de répéter la même chose).
A+, Adhoc

[becket]

Salut,

Si je comprend bien, tu as chez un client des "machines / automates " qui possèdent un adresse ip fixe privée. Tu contactes ces machines via un vpn qui possède également une ip.
Tu voudrais pouvoir communiquer avec ces machines en utilisant l'adresse fixée sur la carte et pas l'adresse du VPN.


Tu as deux solutions pour cela.

1 - Tu fais faire du routage à ton client pour que arrête de t'emmerder avec du nat qui pue.
2 - Tu mets en place un box qui va natter également cette range ( mais bonjour le spaghetti )

[AdHoc]

1 - Tu fais faire du routage à ton client pour que arrête de t'emmerder avec du nat qui pue.

=> Pas avec ce client. S'il nous dit que la terre est le centre de l'univers, alors la terre est le centre de l'univers!

2 - Tu mets en place un box qui va natter également cette range ( mais bonjour le spaghetti )

=>J'y avais pensé, mais j'aurais aimé une solution plus légère (=software). Là il faut que je passe par notre admin réseau pour modifier la config de notre routeur, ça m’embête un peu. Mais je garde cette idée bien au chaud car elle risque fort d'être la solution adoptée.

Merci pour ces suggestions

[Miistik]

Bonjour,

Tu fais faire du routage à ton client pour que arrête de t'emmerder avec du nat qui pue

Effectivement, lorsque qu'on utilise un VPN, généralement, on obtient une IP dans un sous-réseau permettant d'accomplir les actions que l'on a besoin.

Dans ce cas précis, on semble être dans un cas de sécurité.
On va protéger le sous-réseau des automates par un NAT en rendant ce sous-réseau "connu" de peu d'équipements au sein de l’infrastructure en place.

La solution, la moins propre, reste de NATer également de votre côté.
Même si d'un point de vue réseau, le plus propre, reste de router convenablement comme l'a indiqué becket.

[AdHoc]

Bande d'hérétiques, la terre est le centre de l'univers!
Malheureusement, je ne peux agir que jusqu'au client vpn, après c'est gravé dans le marbre! (sauf si notre client décide d'en changer et de nous imposer un autre système comme cela arrive souvent avec de les grosses boites globalisées)