Netgate SG-1000 microFirewall

Author Topic: NAT port forward au travers d'un VPN  (Read 151 times)

0 Members and 1 Guest are viewing this topic.

Offline jdh

  • Hero Member
  • *****
  • Posts: 1744
  • Karma: +45/-12
    • View Profile
NAT port forward au travers d'un VPN
« on: January 20, 2018, 05:36:55 am »
Bonjour

Contexte :Milieu professionnel, Système et Réseaux au sein d'un groupe constitué de plusieurs PME plus ou moins autonomes.

Besoin :(non spécifique pfSense même s'il y a encore quelques pfsense).
Un site central ferme mais son infra serveurs doit continuer à tourner dans des locaux vides d'occupants.
Cette infra fait tourner des EDI donc avec des arrivées Internet.
Des personnes travaillent à distance sur les serveurs (VPN site à site).

La solution 'normale' est de déplacer les ip publiques sur un autre site et déplacer l'infra sur ce site.
L'autre solution 'normale' est de contacter tous les intervenants et les faire pointer vers de nouvelles ip publiques.
Mais c'est à préparer à l'avance ...

Le besoin est de déplacer l'infra, au plus vite, alors que les arrivées Internet ne sont pas encore déplacées.

Schéma :
Actuel :
site central : Internet <-> (WAN) firewall (LAN/DMZ) <-> Serveurs
avec des NAT Port Forward et des VPN depuis d'autres sites.

Pistes imaginées :
Schéma futur (et temporaire) :
site central       : Internet <-> (WAN) firewall (nouveau LAN)
site hebergent  : Internet <-> (WAN) firewall (LAN site central)

Un nouveau VPN est créé entre le site central et le site herbergent (d'où changement de LAN sur le site central)
Les 'NAT port forward' du site central restent en place mais les serveurs cibles sont accessibles via VPN sur le site herbergent.

Autre piste imaginée :
site central      : Internet <-> (WAN) firewall (nouveau LAN) <-> 1 serveur
site hébergent : Internet <-> (WAN) firewall (LAN site central)

Un nouveau VPN est créé ...
Mais sur le site central, chaque 'NAT port Forward' est renvoyé vers un seul et même serveur Linux (Debian) qui va faire tourner autant de boucle  suivantes que de port forward :

boucle en shell (valable pour tcp) :
while true
do
  nc -l -p $port_ecoute -c "nc $serv_distant $port_distant";
done &

nc est la commande netcat.
avec -l netcat écoute, et avec -c exécute une commande : ici avec un autre netcat le trafic est reporté vers le serveur distant !

Question :
Avez vous été confronté à la même problématique ?
Avez vous attendu le transfert d'ip publiques ?
Avez vous déjà fait du 'NAT port forward vers un serveur non local ?

NB :
La boucle netcat proposé fonctionne mais oblige à laiser un serveur, et sera ce suffisant ?
« Last Edit: January 20, 2018, 06:19:28 am by jdh »
Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline Mister-Magoo

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: NAT port forward au travers d'un VPN
« Reply #1 on: January 22, 2018, 01:50:40 pm »
Les IP publiques n'ont pas de DNS associé ??
Changer les IP sans changer les noms DNS me semble être une solution simple ...
PFSense du moment en multiwan

Offline Tatave

  • Sr. Member
  • ****
  • Posts: 442
  • Karma: +14/-5
    • View Profile
Re: NAT port forward au travers d'un VPN
« Reply #2 on: January 22, 2018, 11:37:25 pm »
Salut salut


juste une question

ne vous serait il pas possible de dupliquer ce SI là sur un autre site et d'en générer une réplication synchrone ?
si oui je sais que certaines sociétés hébergement proposent une sorte de solution de bascule automatique des dns /ip vers un point ou un autre. le concept de site secours qui devient le site principal si vous décidez de couper le site A au profit du site B.
C'est plus ou moins automatique il me semble.

Pour l'instant je planche sur une problématique identique ou presque, mais avec pour pas deux sites A et B mais deux FAI X et Y qui point sur le site A avec des impératifs de HA/scaléring.
n'étant qu'un particulier les budgets et finances ne sont pas les même qu'un gros groupe cela va s'en dire et mon idée ne peut se faire sans.
le faite de faire passer par X puis par Y la gestion des dns se ferait par un presta d'hébergement.
comme une multi domiciliation.

Cordialement.

Offline jdh

  • Hero Member
  • *****
  • Posts: 1744
  • Karma: +45/-12
    • View Profile
Re: NAT port forward au travers d'un VPN
« Reply #3 on: January 23, 2018, 12:19:47 pm »
Ce problème est classique :

on a un site A, avec des ip publiques, et les services proposés sont bien configurés à partir de noms dns (chez un hébergeur que l'on maitrise).
Dans ce cas, on peut déplacer le site A sur un site B, avec ou non le même fournisseur FAI, en faisant pointer les noms dns sur les nouvelles ip publiques.
C'est l'idéal, y compris avec changement de fournisseur.

Mais parfois, on a mal paramétré ou on a repris la gestion du site qui avait mal paramétré.
Et on utilise les ip publiques sans un nom dns ... et il est super difficile de contacter un client qui nous envoie des commandes en mode EDI 'M2M' (Machine 2 Machine).
Et c'est la galère ...
La, une petite chance, peut-être, avec le même FAI, lui faire déplacer les ip publiques.


Ici je suis dans l'hypothèse la pire : je veux éviter de laisser une infra dans des locaux vides (parce que la bascule d'ip demande du temps ...).
Les ip publiques et le firewall restent en place, et je peux monter un VPN avec le site B.
Il reste à forwarder non en local mais au travers du VPN, ce que ne permet pas pfSense et d'autres firewalls.

Le contournement via un script avec boucle de 'netcat -l -c' fonctionne (j'ai testé pour du https) mais y a-t-il mieux ? y a-t-il plus malin ?


Merci pour les retours et ceux à venir ...

Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

Offline ccnet

  • Hero Member
  • *****
  • Posts: 2856
  • Karma: +37/-11
    • View Profile
Re: NAT port forward au travers d'un VPN
« Reply #4 on: January 24, 2018, 03:34:54 am »
Sur cette question :
Quote
Avez vous attendu le transfert d'ip publiques ?
Il y a 18 mois environ dans un contexte de déménagement (Paris 8 vers la Défense) j'ai été confronté au problème. Contrairement à ce que l'on pourrait imaginer la localisation dans ce cas n'est pas un avantage car la densité des réseaux peut poser des problèmes de disponibilité de liens physiques. Cela dit, moyennant une préparation attentive en ayant tout validé étape par étape (le FAI n'était pas le seul impliqué), le basculement a pu être effectué en quelques minutes. Déconnexion de l'ancien site, activation sur le nouveau site avec le même range d'ip. Le délai initial annoncé par la FAI était de 6 semaines. L'opération a pu être mener à bien le jour dit en quelques minutes. Entre temps les principales briques du SI avait été physiquement déplacées et reconnectées sur le nouveau site.