effectivement ce n'est que pour la machine sur les 2 réseaux pour celle sur le vpn je fais par ip
On Mon, Sep 26, 2022 at 11:55 AM Daniel via frnog <frnog@frnog.org> wrote: > eth0 et eth1 ne sont pas des interfaces tun ou tap openvpn. Tu utilises > tap je suppose... > > Le 26/09/2022 à 17:33, Dang Herve a écrit : > > réseau A en 10.0.0.0/16 une machine dedans avec un openvpn pour un nat > pour > > accéder au autres machine de A > > réseau B en 192.168.42/24 avec une machine qui est sur A et B qui fait du > > nat pour que les machines de A qui connaissent la route puisse accéder à > B > > > > Donc cela marche depuis A quand je configure la route ( 192.168.42.0/24 > vi > > la machine au 2 interface) > > > > Sur le vpn la route pour 10.0.0.0/16 est poussé par la configuration du > > serveur je rajoute la route 192.168.42/24 comme je le fais précedement > sur > > une machine de A mais cela ne marche pas > > > > > > point de vue configuration des routes: > > machine client: ip r a192.168.42.0/24 via 10.0.0.33 > > > > sur la machine au 2 interface: > > forward par iptable sur les 2 interfaces > > iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED > -j > > ACCEPT > > nat sur le réseau A > > iptables -t nat -A POSTROUTING -s 10.0.0.1/15 -o eth0 -j MASQUERADE > > > > Et je fais la meme chose sur la machine du vpn pour que le nat marche > > > > est-ce que je fais bien le tout correctement ? ou est ce qu'il y a une > > meilleure façon de faire? > > > > En espérant cette fois avoir donner tout les informations nécessaires > > > > Merci pour ton temps David dans tous les cas > > > > Herve > > > > > > > > > > > > On Mon, Sep 26, 2022 at 11:12 AM David Ponzone <david.ponz...@gmail.com> > > wrote: > > > >> A la vue de cette nouvelle réponse, je pense qu’il est temps que tu > donnes > >> plus d’info :) > >> > >> Généralement, on fait un accès VPN, entre autres, pour limiter les NAT à > >> traverser pour atteindre la cible, donc avoir une connectivité IP > directe > >> vers le machine cible. > >> Là, tu sous-entends que tu utilises le NAT pour permettre au VPN > d’accéder > >> à A... > >> > >> Le 26 sept. 2022 à 16:31, Dang Herve <danghe...@gmail.com> a écrit : > >> > >> les 2 nat pour le VPN pour accéder au réseau A et nat sur la machine qui > >> est sur le 2 réseaux > >> > >> Merci je vais regarder les traces voir ci cela m'aide à comprendre ce > qui > >> ne vas pas > >> > >> > >> On Mon, Sep 26, 2022 at 10:27 AM David Ponzone <david.ponz...@gmail.com > > > >> wrote: > >> > >>> Le PC fait du NAT sur les IP de B ou c’est le routeur principal qui > fait > >>> du NAT pour tout le monde ? > >>> > >>> Si c’est le PC, c’est dans tous les cas ou seulement quand ça part vers > >>> default ? > >>> > >>> Pour aller plus loin, faut juste prendre des traces un peu partout (sur > >>> les 2 eth, du PC qui est sur A et B, ça devrait déjà t’en dire pas mal) > >>> pour comprendre: > >>> > >>> -fais un ping depuis le VPN > >>> -prends une trace sur le PC/eth A, vérifie que l’ICMP entre (tshark -i > >>> eth0 -f ‘icmp') > >>> -prends une trace sur le PC/ethB, vérifie que l’ICMP sort avec IP > >>> source/dest inchangées, auquel cas tu dois voir le reply aussi > >>> -vérifie à nouveau sur PC/eth A si tu vois ce reply avec son IP src qui > >>> aurait été natée par exemple. Ou peut-être que tu dois pas du tout le > reply > >>> (auquel cas le PC filtre ou son kernel n’a pas l’IP forwarding activé, > ou > >>> etc…) > >>> > >>> Le 26 sept. 2022 à 16:17, Dang Herve <danghe...@gmail.com> a écrit : > >>> > >>> route par défaut sur la machine par B je fais du NAT/Masquerade > >>> > >>> On Mon, Sep 26, 2022 at 10:15 AM David Ponzone < > david.ponz...@gmail.com> > >>> wrote: > >>> > >>>> Ah chouette, un cas rigolo :) > >>>> > >>>> Et les PC du subnet B, ils ont bien une route vers les IP que tu > >>>> attribues à tes utilisateurs VPN (ou une route par défaut) vers le PC > qui > >>>> sert de routeur entre les 2 ? > >>>> > >>>> > >>>>> Le 26 sept. 2022 à 16:07, Dang Herve <danghe...@gmail.com> a écrit : > >>>>> > >>>>> ce n'est pas le cas ici vu que j'ai déjà eu ce problème dans le passé > >>>> subnet en 192.168.42 > >>>> > -- > Daniel > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
