Rendre accessible un hôte derrière un NAT par VPN

Cet article va vous expliquer comment rendre accessible depuis le net une machine LAN située derrière un dispositif de NAT. Vous devez au préalable avoir configuré la liaison VPN entre cette machine et le serveur VPN distant.

 

Vous avez besoin de :
– Un serveur VPN extérieur accessible depuis le net
– Une machine derrière le NAT avec un client VPN
– Une connexion VPN entre les deux (voir article sur PPTPD)
– Une ip publique dédiée a la machine client

 

Côté serveur VPN :
– eth0       -> 8.8.8.8   (ip publique principale du serveur)
– eth0:0   -> 9.9.9.9  (ip publique dédiée a la future machine)
– ppp0      -> 192.168.30.1  (ip de l’interface vpn côté serveur)

 

Côté machine Cliente :
– eth0       -> 10.0.0.100  (ip lan de la machine)
– ppp0      -> 192.168.30.100 (ip de l’interface vpn côté client)

 

Règles Iptables à exécuter sur le serveur VPN :

Une fois la connexion établie, voici les règles iptables permettant de rediriger le trafic de l’ip 9.9.9.9 vers l’interface vpn et de rediriger le trafic de la machine cliente vers internet en ayant comme source l’ip 9.9.9.9 (et non l’ip principale 8.8.8.8) :

iptables -t nat -A PREROUTING -d 9.9.9.9 -j DNAT –to-destination 192.168.30.100
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -j SNAT –to-source 9.9.9.9

N’oubliez pas que les règles iptables ne fonctionnent plus après un redémarrage. Pensez à faire un script contenant toutes vos règles. (/etc/init.d/regles-iptables.sh, et « update-rc.d regles-iptables.sh defaults » pour le lancer au démarrage)

 

Résumé :

Client –> Internet –> Serveur VPN –> LIAISON VPN –> Machine derriere le NAT

 

One comment

  1. Le protocole OpenVPN est à mon gout plus aisée à utiliser que le protocole PPTP.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *