Accès aux postes de réseau via LPTP/IPSec

[innfreds]

Bonjour à tous,

J'ai réussi à mettre en place un accès VPN en IPSec à mon NAS (DS415+) en partie grâce à vos posts. Pour cela grand merci à vous.

Par contre j'essaie d'aller plus loin en souhaitant contacter un poste disposant d'une IP fixe, se trouvant sur mon réseau interne (192.168.1.200), et faisant tourner un serveur web sur un port particulier (40000)

Je n'ai aucun problème si j'utilise OpenVPN car il y a une option permettant d'accéder aux postes du réseau local.

Par contre impossible de contacter le poste en question si j'utilise LPtP/IPSec. Comment obliger mon serveur VPN à rediriger une requête venant de l'extérieur sur une machine autre que le serveur ??

Merci de vos lumières

@ bientôt

Fred

[Fenrir]

Il faut configurer le client pour passer par le nas afin de contacter le réseau privée. Ça dépend du client, tu as le détail ici : http://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/

 

[innfreds]

Bonjour Fenrir.

Si j'ai bien compris, en L2TP, il faut ajouter des "routes" sur le client pour accéder à des postes disponibles sur le réseau distant.

Le problème c'est que mon client principal est mon poste de travail (Windows 10) connecté à mon réseau local qui dispose du même plan d'adressage que le site distant avec, potentiellement, une machine ayant la même adresse IP que la cible sur le réseau distant :-(

Que pensez-vous d'une règle de pare-feu sur le client qui forcerait une application (disons un navigateur Web) à utiliser l'interface VPN pour toutes les adresses internes (192.168.1.x) ou/et les ports spéciaux

PS: Ton tuto est un modèle du genre !!!

Fred

[Fenrir]

Il y a 1 heure, innfreds a dit :

Le problème c'est que mon client principal est mon poste de travail (Windows 10) connecté à mon réseau local qui dispose du même plan d'adressage que le site distant avec, potentiellement, une machine ayant la même adresse IP que la cible sur le réseau distant :-(

Le plus simple est de changer le plan d'adressage de l'un des réseaux. Le firewall ne peut rien pour toi (du moins pas graphiquement).

[innfreds]

Il s'agit sans doute de la solution la plus simple, malheureusement, j'ai une dizaine de Syno sur autant de réseaux distant et ce n'est pas moi qui définit les plans d'adressage. !!

Il y a 4 heures, Fenrir a dit :

Le firewall ne peut rien pour toi (du moins pas graphiquement).

Qu'est-ce que tu entends par "graphiquement" ???
Sinon tu ne m'as pas répondu sur la première question. Selon toi, il faut donc que je créé des règles de routage sur mon client Windows10 voir même des scripts en fonction des Syno ou des réseaux que je veux contacter.

Mes connexions VPN ne sont que temporaires le temps de régler un problème sur un poste du réseau distant, puis je me déconnecte. J'imagine donc que la solution "script" est celle que sera la plus souple dans mon cas, non ?!?

[Mic13710]

Il y a 3 heures, innfreds a dit :

Le problème c'est que mon client principal est mon poste de travail (Windows 10) connecté à mon réseau local qui dispose du même plan d'adressage que le site distant avec, potentiellement, une machine ayant la même adresse IP que la cible sur le réseau distant :-(

Si vous ne pouvez pas changer le plan distant, modifiez le local. C'est ce qui me semble le plus simple.

[Fenrir]

S'il s'agit juste d'administrer les Syno, il y a plusieurs possibilités :

• des routes statiques sur le client (une route /32 par syno)
• utiliser un des syno comme "reverse proxy"
• et le "non graphiquement" qui consiste à créer des règles netfilter dans les chain de postrouting pour masquer l'ip source du client