NAT avec deux interfaces en amont?

Dans quelques jours, je travaillerai sur un matériel de terrain, composé d'une demi-douzaine de boîtes Centos en réseau, mais pas sur Internet. Pour faire mon travail (en particulier, pour appliquer les mises à jour), je devrai relier temporairement ces petits réseaux à Internet.

Très probablement, ma connection ascendante se fera via l'interface wifi de mon ordinateur portable Fedora (et ensuite via un modem 4G). L'idée générale est de faire du NAT sur mon ordinateur portable, de twigr son interface ethernet dans le réseau de terrain avec une adresse IP locale appropriée et de configurer temporairement cette option comme itinéraire par défaut sur les machines de terrain.

Jusqu'à présent, bon, mais une complication résulte du fait que certaines des mises à jour devront provenir du réseau de notre entreprise (via un client VPN propriétaire sur mon ordinateur portable) et certains de l'Internet public. Le server VPN ne transmet pas le trafic hors bureau à Internet, on s'attend à ce que les clients ne roulent que les packages «bureautiques» sur le VPN et envoient directement le trafic Internet.

Je ne suis pas particulièrement spécialist du routing, iptables, etc. J'ai ramassé ces extraits de configuration qui font presque le NAT dont j'ai besoin:

iptables -A FORWARD -i $NAT_IF -j ACCEPT iptables -A FORWARD -o $NAT_IF -j ACCEPT iptables -t nat -A POSTROUTING -o $WAN_IF -j MASQUERADE 

… où $NAT_IF est le port ethernet de mon ordinateur portable (le côté local) et $WAN_IF est l'interface wifi ou l'interface ppp créée par le client VPN. Ainsi, je peux laisser les machines clientes se connecter soit à Internet, soit au bureau de la société, mais pas les deux à la fois. Ce n'est pas très pratique lorsqu'une command de dnf update peut avoir besoin d'extraire des RPM publics et certains d'entre eux.

Malheureusement, je ne suis pas en mesure de l'essayer maintenant, mais peut-être est-il aussi simple que de dupliquer la dernière ligne ci-dessus, l'une utilisant le VPN comme $ WAN_IF et l'interface wifi. Cependant, je soupçonne pas, car il ne semble pas faire quoi que ce soit pour spécifier quels packages doivent subir l'interface ppp (n'importe quoi pour 10.0.0.0/8) et qui sont directement vers le wifi (tout le rest).

Que dois-je faire sur mon ordinateur portable (en tant que routeur) pour permettre aux machines du réseau local de parler à la fois au bureau et à Internet, la distinction entre les deux étant très préférablement faite sur l'ordinateur portable plutôt que d'avoir à configurer chaque client?

Merci de votre aide.

One Solution collect form web for “NAT avec deux interfaces en amont?”

Pour différencier l'itinéraire de circulation, vous devez append des routes

 ip route add 10.0.0.0/8 dev $VPN_IF 

ou

 ip route add 10.0.0.0/8 via $TUNNEL_REMOTE_IP 

Comment l'append, dépend de votre configuration vpn.

Par exemple: vous pouvez configurer des routes supplémentaires dans l'interface graphique de NetworkManager


Et vous devez probablement faire une masquage pour VPN comme pour WAN

 iptables -t nat -A POSTROUTING -o $VPN_IF -j MASQUERADE 

Si le server VPN de votre entreprise ne sait rien de votre sous-réseau LAN.

  • IPTABLE et solution de réseau IP-routed pour HOST net et le sous-réseau de VM
  • Linux: trois passerelles par défaut?
  • VPC EC2 NAT ne fonctionne pas en utilisant pfsense
  • Puis-je configurer un téléphone VoIP pour me connecter à sa passerelle via VPN avec différents sous-réseaux?
  • Comment rouler, utiliser Linux, depuis les sous-réseaux privés nesteds vers Internet
  • Le DNS ne se dirige pas correctement vers la NAN WAN lorsque Dnscrypt est utilisé
  • Routage du trafic spécifique via vpn
  • Réseau de pont routé pour les invités KVM avec interfaces eth1 alias pour un hébergement partagé avec des adresses IP dédiées pour chaque hôte virtuel
  • Est-il possible d'inclure des interrupteurs dans le tracé de houblon?
  • Rotation des adresses IP sortantes
  • Est-ce que les routeurs de commutation lors de l'utilisation de la même IP provoquent des time d'arrêt temporaires?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.