Hello Charles,
Si tu veux ne faire que du SNAT (tes flux 192.168.1.X sont masqués par
10.5.3.X), c'est de l'IPpool, tu peux faire le mode "one-to-one" ou le "Fixed
Port Range" (ma préférence perso va sur le Fixed Port Range). Il te faudra
juste une règle port_interne->port_externe et appliquer cet objet NAT dessus.
Si tu veux faire du SNAT + DNAT (tes flux 192.168.1.X sont masqués par 10.5.3.X
et tes flux 10.5.3.X sont redirigés vers 192.168.1.X), tu peux créer une VIP :
config firewall vip
edit "snat_dnat" <-- le nom de ta VIP
set mappedip 192.168.1.1-192.168.1.253 <--j'ai omis 192.168.1.254 qui
doit être à priori le routeur
set extip 10.5.3.1-10.5.3.253
set extintf "port_externe" <-- le port côté site distant
next
end
Il te faudra 2 règles :
Port_externe->Port_interne : src="ip_distantes" + dst="snat_dnat" + NAT disable
Port_interne->Port_externe : src=192.168.1.[1-253] + dst ="ip_distantes" + NAT
enable (sans option)
Un use case est le VPN avec des subnets identiques de chaque côté (je suppose
que c'est ton cas) est présenté ici :
https://www.youtube.com/watch?v=wcEsTuwlYTA
N'hésite pas à revenir vers moi en cas de souci.
A+
Michael
-----Message d'origine-----
De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Guillaume
Tournat
Envoyé : mardi 2 octobre 2018 14:57
À : Charles Koprowski <c...@audaxis.com>; frnog-tech <frnog-t...@frnog.org>
Objet : Re: [FRnOG] [TECH] Fortigate - NAT n:n
Bonjour,
Il suffit de créer un objet IP Pool, de type "one-to-one" :
Et ensuite de le mettre en option du NAT dans la règle d'accès :
Le 02/10/2018 à 09:57, Charles Koprowski a écrit :
> Bonjour à tous,
>
> Est-t-il possible de mettre en place «simplement» une règle de NAT n:n
> sur un Fortigate ?
>
> Je m'explique :
>
> Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que :
>
> 192.168.1.1 -> 10.5.3.1
> 192.168.1.2 -> 10.5.3.2
> …
> 192.168.1.254 -> 10.5.3.254
>
> Le prestataire qui info-gère ledit Fortigate m'affirme qu'il n'est pas
> possible de faire cela avec une seule règle car dans ce cas le NAT se
> ferait de manière «aléatoire» mais qu'il faut, au lieu de ça, mettre
> en place les 254 règles de NAT 1:1 correspondantes.
>
> Je n'ai personnellement ni accès au boitier, ni l'expertise du produit
> pour le vérifier, mais cela me parait tout de même étrange que ce type
> NAT ne puisse pas être mis en place simplement / proprement.
>
> Avez-vous déjà rencontré ce cas de figure ?
>
> Merci d'avance.
>
> Bonne journée,
>
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
