Q/A
Est-il possible de faire du NAT sur un firewall
Oui
C’est un peu contre intuitif, mais oui il est possible de faire du NAT de vpn ipsec.
Habituellement un VPN IPSEC est entre @IP-Partener1
et @IP-Partener2
. En fait, il est tout à fait possible d’introduire un intermédiaire qui NAT les 2 flux UDP nécessaires au VPN IPSEC 500-dpt:isakmp
et 4500-dpt:ipsec-nat-t
:
mermaid.initialize({ startOnLoad:true });
graph LR;
A["@IP-Partener1"]
B["@NAT"]
C["@IP-Partener2"]
A --> B --> C
C --> B --> A
Cela à été testé sur de multiples technologies de VPN sans poser de problème d’implémentation.
Est-il possible d’utiliser des FQDN pour mettre en place des VPNs
Oui
Par exemple sur l’interface des PFsence pour la remote gateway il est noté:Enter the public IP address or host name of the remote gateway
.
Mettre en place du NAT d’un VPN sur centOS7-iptables
.
Step 1 : Installer les softs et paramétrer l’OS
$ package yum install -y iptables tcpdump iptables-services
$ systemctl enable iptables
$ systemctl start iptables
$ echo "1" > /proc/sys/net/ipv4/ip_forward
$ sysctl -w net.ipv4.ip_forward=1
Step 2 : Valider le routage
Pour que le NAT fonctionne sur la machine il faut que les 2 partenaires soient accessibles. L’utilisation conjointe de 2 commandes permet de valider cela:
-
tcpdump -p -i eth1 port 500
permet de voir les paquets passés -
telnet $IP-Partener2 500
permet de générer des paquets
Step 3 : Installer les règles de NAT des 2 flux et paramétrer la bonne redirection :
$ iptables -t nat -A PREROUTING -p udp -s $IP-Partener1 --dport 500 -i eth1 -j DNAT --to $IP-Partener2:500
$ iptables -t nat -A PREROUTING -p udp -s $IP-Partener1 --dport 4500 -i eth1 -j DNAT --to $IP-Partener2:4500
$ iptables -t nat -A PREROUTING -p udp -s $IP-Partener2 --dport 500 -i eth1 -j DNAT --to $IP-Partener1:500
$ iptables -t nat -A PREROUTING -p udp -s $IP-Partener2 --dport 4500 -i eth1 -j DNAT --to $IP-Partener1:4500
$ iptables -F FORWARD
$ iptables -t nat -A POSTROUTING -j MASQUERADE
Mettre en place du NAT d’un VPN sur packet filter.
Voila un exemple de règle de nat:
#rdr on vtnet0 inet proto udp from $IP-Partener1 port = isakmp to $IPInterfaceOne port = isakmp -> $IP-Partener2
#rdr on vtnet0 inet proto udp from $IP-Partener2 port = isakmp to $IPInterfaceOne port = isakmp -> $IP-Partener1
#rdr on vtnet0 inet proto udp from $IP-Partener1 port = sae-urn to $IPInterfaceOne port = sae-urn -> $IP-Partener2
#rdr on vtnet0 inet proto udp from $IP-Partener2 port = sae-urn to $IPInterfaceOne port = sae-urn -> $IP-Partener1
Quelques liens utiles :
- Le livre : https://inetdoc.net/pdf/iptables-tutorial.pdf
- La doc CentOS pour mettre en place du NAT : http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-fr-4/s1-firewall-ipt-fwd.html
Top comments (0)