Merci à tous pour vos réponses ! Michael, Fabien,
En effet la mise en place d'une VIP semble être la solution à mon problème. Je suis en plein dans le use case du VPN avec un subnet identique. Je vais donc pousser cette solution auprès du prestataire. Bonne journée, Charles Le mer. 3 oct. 2018 à 16:42, Michael Bazy <mb...@exclusive-networks.com> a écrit : > Hello Charles, > > Si tu veux ne faire que du SNAT (tes flux 192.168.1.X sont masqués par > 10.5.3.X), c'est de l'IPpool, tu peux faire le mode "one-to-one" ou le > "Fixed Port Range" (ma préférence perso va sur le Fixed Port Range). Il te > faudra juste une règle port_interne->port_externe et appliquer cet objet > NAT dessus. > > Si tu veux faire du SNAT + DNAT (tes flux 192.168.1.X sont masqués par > 10.5.3.X et tes flux 10.5.3.X sont redirigés vers 192.168.1.X), tu peux > créer une VIP : > > config firewall vip > edit "snat_dnat" <-- le nom de ta VIP > set mappedip 192.168.1.1-192.168.1.253 <--j'ai omis 192.168.1.254 > qui doit être à priori le routeur > set extip 10.5.3.1-10.5.3.253 > set extintf "port_externe" <-- le port côté site distant > next > end > > Il te faudra 2 règles : > Port_externe->Port_interne : src="ip_distantes" + dst="snat_dnat" + NAT > disable > Port_interne->Port_externe : src=192.168.1.[1-253] + dst ="ip_distantes" + > NAT enable (sans option) > > Un use case est le VPN avec des subnets identiques de chaque côté (je > suppose que c'est ton cas) est présenté ici : > https://www.youtube.com/watch?v=wcEsTuwlYTA > > N'hésite pas à revenir vers moi en cas de souci. > > A+ > > Michael > > -----Message d'origine----- > De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de > Guillaume Tournat > Envoyé : mardi 2 octobre 2018 14:57 > À : Charles Koprowski <c...@audaxis.com>; frnog-tech <frnog-t...@frnog.org> > Objet : Re: [FRnOG] [TECH] Fortigate - NAT n:n > > Bonjour, > > Il suffit de créer un objet IP Pool, de type "one-to-one" : > > > Et ensuite de le mettre en option du NAT dans la règle d'accès : > > > > Le 02/10/2018 à 09:57, Charles Koprowski a écrit : > > Bonjour à tous, > > > > Est-t-il possible de mettre en place «simplement» une règle de NAT n:n > > sur un Fortigate ? > > > > Je m'explique : > > > > Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que > : > > > > 192.168.1.1 -> 10.5.3.1 > > 192.168.1.2 -> 10.5.3.2 > > … > > 192.168.1.254 -> 10.5.3.254 > > > > Le prestataire qui info-gère ledit Fortigate m'affirme qu'il n'est pas > > possible de faire cela avec une seule règle car dans ce cas le NAT se > > ferait de manière «aléatoire» mais qu'il faut, au lieu de ça, mettre > > en place les 254 règles de NAT 1:1 correspondantes. > > > > Je n'ai personnellement ni accès au boitier, ni l'expertise du produit > > pour le vérifier, mais cela me parait tout de même étrange que ce type > > NAT ne puisse pas être mis en place simplement / proprement. > > > > Avez-vous déjà rencontré ce cas de figure ? > > > > Merci d'avance. > > > > Bonne journée, > > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
