l'accès ping avec du NAT - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 03-09-2012 à 10:23:31
sarusman a écrit : bonjour et bon début de semaine à tous. j'ai deux réseaux LAN dans deux sites distants qui utilisent les adresses privées(192.168.0.0/24) et par conséquent ils utilisent la traduction NAT pour accéder à internet. en étant sur l'un des sites, j'aimerai envoyer un ping à une machine sur l'autre site. |
Tu as la réponse
1. si tu mets l'adresse privée, ça ne sera pas routé
2. si tu mets l'adresse publique, le paquet ICMP echo arrivera sur le routeur faisant le NAT. Si tu veux pinguer une machine précise, il faut que ce routeur NAT le paquet vers l'équipement désiré (sinon il pensera que le trafic est pour lui). Cela n'est faisable qu'avec une règle spécifique disant "le trafic ICMP echo request" est redirigé vers telle adresse IP privée. Mais bon, c'est pas une bonne idée selon moi.
Après, tu peux toujours monter un VPN de site à site entre les deux routeurs (si les deux équipements le supportent). Avec cela, les équipements des deux LAN pourront communiquer directement avec les adresses privées.
Marsh Posté le 03-09-2012 à 11:16:02
Citation : le trafic ICMP echo request sera redirigé |
: je vois là l'intervention des listes de controles d'accès ce que je veux éviter!
j'ai pensé à une configuration NAT statique entre l'adresse public distant et l'adresse privée distante comme ça quand je pinguerai l'adresse public distante il transmettra mon ping à l’hôte distant.
peut-être une redirection de port peut faire l'affaire mais je ne sais pas comment y procéder.
je penche plus pour la seconde option. mais comment faire?
j'utilise des routeurs mikrotiks et je les configure via l'interface graphique de winbox. guidez-moi svp en utilisant la seconde option
Marsh Posté le 03-09-2012 à 11:31:54
sarusman a écrit :
: je vois là l'intervention des listes de controles d'accès ce que je veux éviter! |
C'est ce que je te propose de faire sauf que je suis plus précis. Je ne vois pas où tu vois du contrôle d'accès dans ma proposition.
- moi : uniquement le trafic ICMP echo request sera redirigé vers ton adresse privée.
- toi : TOUT trafic initié depuis internet sera redirigé vers ton adresse privée => un firewall sera nécessaire sur ton équipement "cible" histoire de sécurisé un minimum les choses...
sarusman a écrit : peut-être une redirection de port peut faire l'affaire mais je ne sais pas comment y procéder. |
ICMP n'utilise pas la notion de port. Il utilise la notion de code et c'est sur cela que j'ai basé ma réponse.
Et si tu voyais des "controles d'accès" pour ma proposition, tu n'en vois pas lorsque tu parles de port ?
(par ailleurs il est nécessaire que ton routeur puisse analyser ces codes et se baser sur eux pour faire du NAT.... Et nater tout le trafic ICMP sur une adresse précise est une mauvaise idé sachant qu'icmp est justement le protocole de contrôle d'IP et permet de remonter des messages d'erreurs)
Marsh Posté le 03-09-2012 à 11:50:07
je m'excuse si je t'ai offensé mais ce n'était pas dans mes intentions.disons que j'ai mal interprété ce que tu as dis. en fait voilà le véritable problème: j'ai deux routeurs sur le site distant. disons R1 et R2 pour être plus pratique. R1 est relié à internet et c'est lui qui se charge du NAT et R2 est sur le réseau local privé et connecté à R1 à le biais d'un switch. appelons R3 le routeur relié à internet et utilisant aussi la traduction NAT et R4 le routeur le routeur privé connecté à R3 et situés où je me trouve. j'aimerai que R2 ait accès à internet et là je me dis que je doit configurer une route par défaut sur lui. et comment maintenant à partir de R4 accéder à R2 via le net et vice versa
Marsh Posté le 03-09-2012 à 13:12:04
Offensé ? non. J'ai juste l'impression que tu utilises des termes et des notions/concepts sans trop les maîtriser ce qui rend tes propos bancal et difficilement compréhensibles.
J'ai du mal à comprendre ce que tu veux dire et qu'est ce que vient faire l'histoire du ping là dedans...
LAN-A --- R2 ------ R1 ------- Internet ------- R3 --------- R4--- LAN-B
D'un point de vue routage :
il faut que :
- les équipements sur le LAN A ait une route par défaut vers R2
- que R2 ait une route par défaut vers R1
- que R1 ait une route disant que pour joindre LAN-A le next-hop est R2
- les équipements sur le LAN B ait une route par défaut vers R4
- que R4 ait une route par défaut vers R3
- que R3 ait une route disant que pour joindre LAN-B le next-hop est R4
Là tout le monde pourra aller sur Internet.
Après, pour "comment à partir de R3 accéder à R2", je ne comprend pas ce que tu veux. Quel protocol ? Décris précisément ce que tu veux faire. Là je ne sais pas si :
- depuis un équipement derrière R3 tu veux te connecter sur R2 pour le configurer
- depuis un équipement derrière R3 tu veux joindre un équipement derrière R2
Et du coup l'histoire du ping dans tout ça... je ne comprends pas.
Décris des cas concret en précisant les protocoles que tu veux, etc.. Bref, la finalité de ce que tu veux.
Marsh Posté le 04-09-2012 à 14:14:24
ton schéma est exactement mon modèle. R1 et R3 sont configurés avec du NAT. donc ça veut dire que R2 et R4 utilisent des @ privées. comment faire en étant à R2 accéder à R4 peut etre par une connection telnet car son adresse IP est privée et ce n'est pas routable sur internet. en fait quelle @IP mettre quoi comme argument de telnet ou du ping
Marsh Posté le 04-09-2012 à 14:25:16
sarusman a écrit : ton schéma est exactement mon modèle. R1 et R3 sont configurés avec du NAT. donc ça veut dire que R2 et R4 utilisent des @ privées. comment faire en étant à R2 accéder à R4 peut etre par une connection telnet car son adresse IP est privée et ce n'est pas routable sur internet. en fait quelle @IP mettre quoi comme argument de telnet ou du ping |
Si tu veux accéder à R4 en telnet depuis n'importe où (peut importe que ce soit depuis R2 ou sur internet), tu n'as pas d'autre solution que de mettre une règle de NAT spécifique sur R3:
- Si connexion entrante depuis internet en TCP sur port 23 (depuis internet ou l'adresse publique de R1 si tu veux) -> alors redirection vers l'adresse privée de R4 sur le port 23
Pour le ping, comme j'ai déjà expliqué plus haut, on ne peut se baser sur la notion de port car cette notion n'existe pas en ICMP. Tu peux toujours tenter si ton routeur le permet de rediriger ICMP Echo request vers une adresse privée (en l'occurence celle de R4 dans le présent exemple).
Et comme dit plus haut, la manière hyper crade serait de rediriger tout le trafic sur l'adresse privée de R4 avec une règle de NAT. Mais c'est crade je trouve. L'adresse IP privée se trouvera directement accessible pour n'importe quel protocol...
Pour finir, l'argument que tu devras utiliser sur ta ligne de commande, comme dit précédemment, sera l'adresse publique de R3.
Marsh Posté le 03-09-2012 à 09:56:35
bonjour et bon début de semaine à tous. j'ai deux réseaux LAN dans deux sites distants qui utilisent les adresses privées(192.168.0.0/24) et par conséquent ils utilisent la traduction NAT pour accéder à internet. en étant sur l'un des sites, j'aimerai envoyer un ping à une machine sur l'autre site.
le problème est le suivant: quelle adresse doit-je mettre comme argument du ping afin de référencer l'autre machine dans le LAN privé du site distant?
car si j'utilise son adresse ip privée;il ne sera pas routable sur internet. merci d'avance