[résolu] NAT d'une IP externe sur une IP locale (interne)

[dsebire]

hello,

je voudrais faire une sorte de NAT entre une machine qui n'est pas chez moi (et ne m'appartiens pas) et une IP de mon LAN.

en fait je veux faire croire en local que la machine est sur mon LAN et pas à l'autre bout de la planète.

je peux pas faire de VPN (déjà la machine est pas à moi et en plus c'est techniquement impossible: en un mot esxi)

vous avez une idée de la faisabilité ?
ça porte un nom ? (ça me permettrais de chercher de la doc)

routeur chez moi: zyxel USG110
machine en face: esxi (autrement dit, c'est mort, on touche pas)

il n'y a pas de question a se poser sur la sécurité, au pire j'ai le FW ou je laisserais passer que ce qui m'intéresse
ya pas de login/mdp qui vont transiter

Merci

[Zedoune]

ce serait possible un petit schéma parce que j'ai rien compris

[gizmo78]

en gros natter une ip local vers l'ip public de ton esx?

[dsebire]

ce serait possible un petit schéma parce que j'ai rien compris

je savais bien que ça allait pas être simple.
même Google me comprend pas
nope, pas de schéma, ça va pas aider.

en gros natter une ip local vers l'ip public de ton esx?

oui, en gros c'est ça mais faut aussi dans l'autre sens.


donc si je fais par exemple, un ping vers 192.168.0.199 de ma machine qui est en 192.168.0.15, il faut que ce soit l'esx (1.2.3.4) a l'autre bout de la terre qui réponde, et qu'il y ait un SNAT des paquets qui reviennent pour que ma machine (192.168.0.15) croie que le paquet viens de 192.168.0.199 (et pas de 1.2.3.4)

en gros je veux transposer la machine sur mon LAN de manière logique

c'est plus clair ?

PS: c'est comme un VPN, sauf que la au lieu de faire une passerelle entre 2 réseau dans un tunnel sécurisé, bah faut faire en gros la même chose avec un IP d'un LAN et une IP publique

[kalistyan]

Nat 1 to 1 ?

[dsebire]

bah a priori non.
le 1:1 a l'air d'être utilisé pour natter une IP publique qui arrive sur ton routeur vers une IP de ton LAN
moi l'IP arrive pas sur le routeur et c'est l'inverse que je cherche a faire LAN->WAN

PS: ça veut pas dire que c'est pas ça mais en tous cas j'ai rien trouvé qui puisse m'aider avec du nat 1:1

[gizmo78]

alors je sais que t'as un zyxel mais t'as essayé de chercher ca pour iptables? car pour le coup ca doit être jouable et ca t'aiderais peut être à trouver le/les termes correctes

[dsebire]

oui, mais sans succès

[Zedoune]

c'est pas juste du "redirect" ? (rdr-to sous pf)

[dsebire]

si c'est bien du NAT (enfin PAT pour être précis)
mais ça c'est pour les flux qui rentrent, la ou je bloque c'est sur la sortie.

[dsebire]

bon, qq infos complémentaires au fur et a mesure de mes tests:

j'ai activé le NAT 1:1 pour les flux en entrée, ça marche.
donc 1.2.3.4 -> 192.168.0.199 OK

en sortie:
si j'active le même NAT 1:1 de mon IP lan vers le WAN, je peux plus atteindre la machine pour une raison très simple, c'est que les paquets sont capturés par le NAT en entrée
et ça je comprend pas pk.... (IP src et dst sont bien les mêmes mais inversées)
192.168.0.199->1.2.3.4 KO, ça boucle par la règle de NAT précédente
je me retrouve avec un ping 1.2.3.4

[gizmo78]

y a pas une notion d'ordre?

[dsebire]

en fait j'ai l'impression que en faisant comme j'ai fait, le routeur croit que 1.2.3.4 est une de ses IP WAN
ça explique a peu près tout.

pourtant, dans la doc, le NAT1:1 ça devrait pas du tout faire ça.

[dsebire]

putain, ça marche !!!!!

en fait il faut impérativement désactiver le nat loopback (je sais plus comment ça s'appelle sous PF)

c'est mon comm au dessus qui m'a fait penser a cette connerie.

et en passant, pas besoin du NAT1:1 entrant, seul le sortant est nécessaire (dans mon cas, car les connexions sont initiées a partir de mon LAN, si la connexion se faisait de l'exterieur, ça serait bien sur indispensable)

[Zedoune]

t'as fais du nat 1:1 dans le zyxel du coup ?

[dsebire]

tiens, très bizarre, en pingant mon IP locale, je gagne 2-3 ms par rapport au ping vers la vraie IP

[dsebire]

t'as fais du nat 1:1 dans le zyxel du coup ?

oui, en sortie uniquement (ça me suffit) LAN -> WAN
du coup, pas besoin de firewall supplémentaire en entrée, c'est pas NATé en entrée.

[kalistyan]

Afin de bien comprendre, peux-tu faire une capture d'écran de la règle.

[dsebire]

en premier lieu, créer une interface virtuelle sur la patte LAN du routeur (bah oui, faut bien qu'a un moment les trames arrivent jusqu'à lui
bien sur il faut exclure cette IP de vos plages de DHCP


ensuite, on crée la règle de NAT

Original IP: l'IP de l'interface virtuelle que vous avez mis au dessus
Mapped IP: l'IP réelle de la machine sur le WAN que vous cherchez a "translater" sur le LAN
ne surtout pas cocher la case NAT loopback qui aura pour effet de faire croire au zyxel que l'IP réelle lui est rattachée (une de ses IP WAN donc)


si votre firewall ne filtre pas en sortie (c'est mon cas) rien de plus a faire.
sinon, faut ouvrir

[dsebire]

Merci a tous !!!
sujet clos

[dsebire]

bon bah ça aura servi à rien à part la culture générale
http://smpfr.mesdiscussions.net/smpfr/S ... htm#t34919

ça fonctionnerait peut être en combinant avec un VPN pour que les trames ne soient pas interceptées mais impossible sur un ESX