subject:"RE\: \[FRnOG\] \[TECH\] Fortigate \- NAT n\:n"

Re: [FRnOG] [TECH] Fortigate - NAT n:n

2018-10-04 Par sujet Charles Koprowski

Merci à tous pour vos réponses !

Michael, Fabien,

En effet la mise en place d'une VIP semble être la solution à mon problème.

Je suis en plein dans le use case du VPN avec un subnet identique.

Je vais donc pousser cette solution auprès du prestataire.

Bonne journée,

Charles

Le mer. 3 oct. 2018 à 16:42, Michael Bazy  a
écrit :

> Hello Charles,
>
> Si tu veux ne faire que du SNAT (tes flux 192.168.1.X sont masqués par
> 10.5.3.X), c'est de l'IPpool, tu peux faire le mode "one-to-one" ou le
> "Fixed Port Range" (ma préférence perso va sur le Fixed Port Range). Il te
> faudra juste une règle port_interne->port_externe et appliquer cet objet
> NAT dessus.
>
> Si tu veux faire du SNAT + DNAT (tes flux 192.168.1.X sont masqués par
> 10.5.3.X et tes flux 10.5.3.X sont redirigés vers 192.168.1.X), tu peux
> créer une VIP :
>
> config firewall vip
> edit "snat_dnat" <-- le nom de ta VIP
> set mappedip 192.168.1.1-192.168.1.253 <--j'ai omis 192.168.1.254
> qui doit être à priori le routeur
> set extip 10.5.3.1-10.5.3.253
> set extintf "port_externe" <-- le port côté site distant
> next
> end
>
> Il te faudra 2 règles :
> Port_externe->Port_interne : src="ip_distantes" + dst="snat_dnat" + NAT
> disable
> Port_interne->Port_externe : src=192.168.1.[1-253] + dst ="ip_distantes" +
> NAT enable (sans option)
>
> Un use case est le VPN avec des subnets identiques de chaque côté (je
> suppose que c'est ton cas) est présenté ici :
> https://www.youtube.com/watch?v=wcEsTuwlYTA
>
> N'hésite pas à revenir vers moi en cas de souci.
>
> A+
>
> Michael
>
> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> Guillaume Tournat
> Envoyé : mardi 2 octobre 2018 14:57
> À : Charles Koprowski ; frnog-tech 
> Objet : Re: [FRnOG] [TECH] Fortigate - NAT n:n
>
> Bonjour,
>
> Il suffit de créer un objet IP Pool, de type "one-to-one" :
>
>
> Et ensuite de le mettre en option du NAT dans la règle d'accès :
>
>
>
> Le 02/10/2018 à 09:57, Charles Koprowski a écrit :
> > Bonjour à tous,
> >
> > Est-t-il possible de mettre en place «simplement» une règle de NAT n:n
> > sur un Fortigate ?
> >
> > Je m'explique :
> >
> > Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que
> :
> >
> > 192.168.1.1 -> 10.5.3.1
> > 192.168.1.2 -> 10.5.3.2
> > …
> > 192.168.1.254 -> 10.5.3.254
> >
> > Le prestataire qui info-gère ledit Fortigate m'affirme qu'il n'est pas
> > possible de faire cela avec une seule règle car dans ce cas le NAT se
> > ferait de manière «aléatoire» mais qu'il faut, au lieu de ça, mettre
> > en place les 254 règles de NAT 1:1 correspondantes.
> >
> > Je n'ai personnellement ni accès au boitier, ni l'expertise du produit
> > pour le vérifier, mais cela me parait tout de même étrange que ce type
> > NAT ne puisse pas être mis en place simplement / proprement.
> >
> > Avez-vous déjà rencontré ce cas de figure ?
> >
> > Merci d'avance.
> >
> > Bonne journée,
> >
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Fortigate - NAT n:n

2018-10-03 Par sujet Michael Bazy

Hello Charles,

Si tu veux ne faire que du SNAT (tes flux 192.168.1.X sont masqués par 
10.5.3.X), c'est de l'IPpool, tu peux faire le mode "one-to-one" ou le "Fixed 
Port Range" (ma préférence perso va sur le Fixed Port Range). Il te faudra 
juste une règle port_interne->port_externe et appliquer cet objet NAT dessus.

Si tu veux faire du SNAT + DNAT (tes flux 192.168.1.X sont masqués par 10.5.3.X 
et tes flux 10.5.3.X sont redirigés vers 192.168.1.X), tu peux créer une VIP :

config firewall vip
edit "snat_dnat" <-- le nom de ta VIP
set mappedip 192.168.1.1-192.168.1.253 <--j'ai omis 192.168.1.254 qui 
doit être à priori le routeur
set extip 10.5.3.1-10.5.3.253
set extintf "port_externe" <-- le port côté site distant
next
end

Il te faudra 2 règles : 
Port_externe->Port_interne : src="ip_distantes" + dst="snat_dnat" + NAT disable
Port_interne->Port_externe : src=192.168.1.[1-253] + dst ="ip_distantes" + NAT 
enable (sans option)

Un use case est le VPN avec des subnets identiques de chaque côté (je suppose 
que c'est ton cas) est présenté ici : 
https://www.youtube.com/watch?v=wcEsTuwlYTA 

N'hésite pas à revenir vers moi en cas de souci.

A+

Michael

-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Guillaume 
Tournat
Envoyé : mardi 2 octobre 2018 14:57
À : Charles Koprowski ; frnog-tech 
Objet : Re: [FRnOG] [TECH] Fortigate - NAT n:n

Bonjour,

Il suffit de créer un objet IP Pool, de type "one-to-one" :


Et ensuite de le mettre en option du NAT dans la règle d'accès :



Le 02/10/2018 à 09:57, Charles Koprowski a écrit :
> Bonjour à tous,
>
> Est-t-il possible de mettre en place «simplement» une règle de NAT n:n 
> sur un Fortigate ?
>
> Je m'explique :
>
> Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que :
>
> 192.168.1.1 -> 10.5.3.1
> 192.168.1.2 -> 10.5.3.2
> …
> 192.168.1.254 -> 10.5.3.254
>
> Le prestataire qui info-gère ledit Fortigate m'affirme qu'il n'est pas 
> possible de faire cela avec une seule règle car dans ce cas le NAT se 
> ferait de manière «aléatoire» mais qu'il faut, au lieu de ça, mettre 
> en place les 254 règles de NAT 1:1 correspondantes.
>
> Je n'ai personnellement ni accès au boitier, ni l'expertise du produit 
> pour le vérifier, mais cela me parait tout de même étrange que ce type 
> NAT ne puisse pas être mis en place simplement / proprement.
>
> Avez-vous déjà rencontré ce cas de figure ?
>
> Merci d'avance.
>
> Bonne journée,
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortigate - NAT n:n

2018-10-02 Par sujet Guillaume Tournat


Bonjour,

Il suffit de créer un objet IP Pool, de type "one-to-one" :


Et ensuite de le mettre en option du NAT dans la règle d'accès :



Le 02/10/2018 à 09:57, Charles Koprowski a écrit :

Bonjour à tous,

Est-t-il possible de mettre en place «simplement» une règle de NAT n:n sur
un Fortigate ?

Je m'explique :

Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que :

192.168.1.1 -> 10.5.3.1
192.168.1.2 -> 10.5.3.2
…
192.168.1.254 -> 10.5.3.254

Le prestataire qui info-gère ledit Fortigate m'affirme qu'il n'est pas
possible de faire cela avec une seule règle car dans ce cas le NAT se
ferait de manière «aléatoire» mais qu'il faut, au lieu de ça, mettre en
place les 254 règles de NAT 1:1 correspondantes.

Je n'ai personnellement ni accès au boitier, ni l'expertise du produit pour
le vérifier, mais cela me parait tout de même étrange que ce type NAT ne
puisse pas être mis en place simplement / proprement.

Avez-vous déjà rencontré ce cas de figure ?

Merci d'avance.

Bonne journée,





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortigate - NAT n:n

2018-10-02 Par sujet David Ponzone

Et la doc le confirme:

https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-firewall-52/Firewall%20Objects/Configuring%20IP%20pools.htm
 



> Le 2 oct. 2018 à 10:11, Charles Koprowski  a écrit :
> 
> Le mar. 2 oct. 2018 à 10:08, Cédric Polomack  a écrit :
> 
>> Bonjour Fabien,
>> Je ne pense pas que cela réponde à sa question. Dans le KB il pioche dans
>> le pool d'IP  disponible.
>> Cordialement.
>> 
> 
> Cela avait l'air pourtant pas mal : «This is similar to using IPpool but
> with the advantage of having predictable and static 1-to-1 mapping.»
> 
> 
>> 
>> ---
>> Cédric Polomack
>> http://www.secresys.fr
>> 
>> 2 octobre 2018 10:03 "Fabien DEDENON"  a écrit:
>> 
 Le 2 oct. 2018 à 09:57, Charles Koprowski  a écrit :
 
 Bonjour à tous,
 
 Est-t-il possible de mettre en place «simplement» une règle de NAT n:n
>> sur
 un Fortigate ?
 
 Je m'explique :
 
 Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte
>> que :
 
 192.168.1.1 -> 10.5.3.1
 192.168.1.2 -> 10.5.3.2
 …
 192.168.1.254 -> 10.5.3.254
>>> 
>>> Hello,
>>> 
>>> Il semblerait que ca soit simple:
>> http://kb.fortinet.com/kb/viewContent.do?externalId=FD31893
>>> 
>>> ++
>>> 
>>> Fabien
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org
>>> 
>>> --
>>> Ce message a été vérifié par MailScanner
>>> pour des virus ou des polluriels et rien de
>>> suspect n'a été trouvé.
>> 
> 
> 
> --
> Charles Koprowski
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortigate - NAT n:n

2018-10-02 Par sujet Charles Koprowski

Le mar. 2 oct. 2018 à 10:08, Cédric Polomack  a écrit :

> Bonjour Fabien,
> Je ne pense pas que cela réponde à sa question. Dans le KB il pioche dans
> le pool d'IP  disponible.
> Cordialement.
>

Cela avait l'air pourtant pas mal : «This is similar to using IPpool but
with the advantage of having predictable and static 1-to-1 mapping.»


>
> ---
> Cédric Polomack
> http://www.secresys.fr
>
> 2 octobre 2018 10:03 "Fabien DEDENON"  a écrit:
>
> >> Le 2 oct. 2018 à 09:57, Charles Koprowski  a écrit :
> >>
> >> Bonjour à tous,
> >>
> >> Est-t-il possible de mettre en place «simplement» une règle de NAT n:n
> sur
> >> un Fortigate ?
> >>
> >> Je m'explique :
> >>
> >> Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte
> que :
> >>
> >> 192.168.1.1 -> 10.5.3.1
> >> 192.168.1.2 -> 10.5.3.2
> >> …
> >> 192.168.1.254 -> 10.5.3.254
> >
> > Hello,
> >
> > Il semblerait que ca soit simple:
> http://kb.fortinet.com/kb/viewContent.do?externalId=FD31893
> >
> > ++
> >
> > Fabien
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org
> >
> > --
> > Ce message a été vérifié par MailScanner
> > pour des virus ou des polluriels et rien de
> > suspect n'a été trouvé.
>


--
Charles Koprowski

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortigate - NAT n:n

2018-10-02 Par sujet Cédric Polomack

Bonjour Fabien,
Je ne pense pas que cela réponde à sa question. Dans le KB il pioche dans le 
pool d'IP  disponible.
Cordialement.

---
Cédric Polomack
http://www.secresys.fr

2 octobre 2018 10:03 "Fabien DEDENON"  a écrit:

>> Le 2 oct. 2018 à 09:57, Charles Koprowski  a écrit :
>> 
>> Bonjour à tous,
>> 
>> Est-t-il possible de mettre en place «simplement» une règle de NAT n:n sur
>> un Fortigate ?
>> 
>> Je m'explique :
>> 
>> Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que :
>> 
>> 192.168.1.1 -> 10.5.3.1
>> 192.168.1.2 -> 10.5.3.2
>> …
>> 192.168.1.254 -> 10.5.3.254
> 
> Hello,
> 
> Il semblerait que ca soit simple: 
> http://kb.fortinet.com/kb/viewContent.do?externalId=FD31893
> 
> ++
> 
> Fabien
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org
> 
> --
> Ce message a été vérifié par MailScanner
> pour des virus ou des polluriels et rien de
> suspect n'a été trouvé.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortigate - NAT n:n

2018-10-02 Par sujet Fabien DEDENON




> Le 2 oct. 2018 à 09:57, Charles Koprowski  a écrit :
> 
> Bonjour à tous,
> 
> Est-t-il possible de mettre en place «simplement» une règle de NAT n:n sur
> un Fortigate ?
> 
> Je m'explique :
> 
> Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que :
> 
> 192.168.1.1 -> 10.5.3.1
> 192.168.1.2 -> 10.5.3.2
> …
> 192.168.1.254 -> 10.5.3.254
> 

Hello,

Il semblerait que ca soit simple: 
http://kb.fortinet.com/kb/viewContent.do?externalId=FD31893

++

Fabien


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fortigate - NAT n:n

RE: [FRnOG] [TECH] Fortigate - NAT n:n

Re: [FRnOG] [TECH] Fortigate - NAT n:n

Re: [FRnOG] [TECH] Fortigate - NAT n:n

Re: [FRnOG] [TECH] Fortigate - NAT n:n

Re: [FRnOG] [TECH] Fortigate - NAT n:n

Re: [FRnOG] [TECH] Fortigate - NAT n:n

7 matches

Site Navigation

Mail list logo

Footer information