salut,
Est-il possible de relier par VPN 2 sites distants qui utilisent la même plage d'adresses privées (192.168.10.x) ?    
 
On utilise des Firewall ZyXELL 50 et 10W pour les VPN.
 
Comment une machine du site A (192.168.10.20) pourra accéder à une machine du site B (192.168.10.30) par le VPN alors qu'elles sont sensé être dans le même réseau local ?    
 
Bien sur il nous est impossible de changer les adresses privés du site A comme du B.
 
Serait-il possible de faire du NAT pour palier ce problème cad par exemple donner l'adresse 192.168.11.30 à la machine 192.168.10.30 du site B afin que la machine 192.168.10.20 du site A passe obligatoirement par le firewall pour sortir du sous réseau 192.168.10.x ???
 
Merci d'avance !

c'est tout a fait possible dans l'absolu en activant les fonctions de proxy arp. Par contre avec ton matos je sais pas si ca va marcher.

 
Peux-tu m'expliquer en quoi consiste le proxy arp, dans mon cas que peut-il m'apporter ?

le proxy arp est un système qui répond à une requette ARP à la place du destinataire réel et qui redirige vers la destination réelle le flux.
 
Ton PC site A en 192.168.10.20 fait une requette ARP pour joindre l'adresse IP 192.168.10.30. Si le proxy sait joindre cette adresse par une autre de ces interfaces (il faut une route en /32 pour joindre cette adresse via le tunnel VPN) alors il va répondre à cette requette ARP et transmettre le trafic qu'il va recevoir vers l'@IP destination. Mais la il te faudrait activer la fonction sur tes deux FW, et ca je n'ai jamais testé...

Si 2 machines (une sur chaque site) a la meme ip, tu fais comment ?

ca marche pas  
C'est vrai que c'est plutot utilisé en PC to LAN.
 
Mais même avec le NAT ca va poser problème. il faut faire du NAT sur la source et sur la destination dans ce cas la.

Pour le proxy arp, il faut sur le ZyWall A que je donne l'adresse MAC de l'interface WAN pour l'IP 192.168.10.30 (machine du reseau B) afin qu'il passe par le tunnel VPN pour accéder à cette machine ?
 
Voici les commandes ZyNOS relatives à l'arp :
 
arp            
   add  <hostid> ether <ether addr>  add arp
   drop <hostid> [ether]          drop arp  
   flush                     flush arp
   publish                    add proxy arp
   status                     display ip arp status
 
Donc la commande serait : arp add 192.168.10.30 xx:xx:xx:xx:xx:xx (<- @MAC if. WAN)
 
 

je dirais plutot que c'est la commande publish
Par contre tu as bien des adresses différentes entre ton site A et ton site B (même si elles sont dans le même sous-réseaux) ? sinon fait du NAT source+destination

Non, on est pas sur du tout qu'il n'y ai pas de machines qui aient la meme adresse que les notres...
Je peux faire du NAT src et destination avec les 2 firewalls qui gèrent le VPN ou c'est un autre equipement qui doit s'en charger ?
Je suis pas certain qu'il soit possible de faire ne NAT+VPN en meme temps...  
 
Il y a une option "NAT Traversal" dans les propriétés de config VPN mais c'est juste pour laisser passer le NAT dans le tunnel...
 
 

techniquement tu peux faire ton NAT sur tes firewalls, mais comme je ne connais pas ton matos je peux pas te le certifier.

 
J'ai ecrit au support de Zyxell pour savoir si le Firewall peut faire lui meme du NAT dans un VPN... j'attends la réponse.
 
PC1 <-> NAT <-> VPN = VPN <-> NAT <-> PC2
 
 

drapeau