Opnsense : NAT 1:1 entre ZeroTier (VPN) et le réseau WAN (Box)
De www.yakakliker.org
Ce scénario permet d'exposer un équipement situé sur le réseau de votre Box (WAN) à travers une adresse IP virtuelle sur un réseau ZeroTier.
- OPT1 : Réseau : 10.10.37.0/24
- WAN : Réseau : 192.168.1.0/24
- LAN : Réseau : 192.168.37.0/24
- Equipement à translater (NAS) : 192.168.1.50
Création de l'adresse IP virtuelle Zerotier
Interfaces -> IPs virtuelles -> Paramètres
- Mode : Alias d'IP
- Interface : OPT1
- Réseau / Adresse : 10.10.37.10/32
Configuration du NAT 1:1 (L'Aiguillage)
L'objectif est de lier l'IP virtuelle ZeroTier à l'IP réelle du NAS.
Firewall -> NAT -> 1:1
- Interface : OPT1
- Réseau externe (cible) : 10.10.37.10
- Source / Interne : 192.168.1.50
Configuration du Masquage / SNAT (Le retour des paquets)
Indispensable pour que le NAS réponde à l'OPNsense plutôt qu'à la Box, évitant ainsi de configurer des routes statiques sur la Box.
Firewall -> NAT -> Outbound
Bien vérifier le paramètre : Génération de règles NAT sortantes hybrides (les règles générées automatiquement sont appliquées après les règles manuelles)
- Interface : WAN
- Adresse source : Hôte unique ou Réseau > 10.10.37.10/32
- Adresse de destination : Hôte unique ou Réseau > 192.168.1.50/32
- Translation / destination : Adresse de l'interface
PS : Il est conseillé de paramétrer aussi les ports de destination
Règle de Firewall (L'autorisation)
Ouvrir la porte pour laisser passer le trafic.
Firewall -> Rules -> OPT1 (ZeroTier)
- Action : Autoriser
- Interface : OPT1
- Source : OPT1 Net
- Destination : Hôte unique ou Réseau > 192.168.1.50/32 (L'IP interne du NAS)
PS : Il est conseillé de filtrer aussi sur les ports de destination
