Hello Charles, Si tu veux ne faire que du SNAT (tes flux 192.168.1.X sont masqués par 10.5.3.X), c'est de l'IPpool, tu peux faire le mode "one-to-one" ou le "Fixed Port Range" (ma préférence perso va sur le Fixed Port Range). Il te faudra juste une règle port_interne->port_externe et appliquer cet objet NAT dessus.
Si tu veux faire du SNAT + DNAT (tes flux 192.168.1.X sont masqués par 10.5.3.X et tes flux 10.5.3.X sont redirigés vers 192.168.1.X), tu peux créer une VIP : config firewall vip edit "snat_dnat" <-- le nom de ta VIP set mappedip 192.168.1.1-192.168.1.253 <--j'ai omis 192.168.1.254 qui doit être à priori le routeur set extip 10.5.3.1-10.5.3.253 set extintf "port_externe" <-- le port côté site distant next end Il te faudra 2 règles : Port_externe->Port_interne : src="ip_distantes" + dst="snat_dnat" + NAT disable Port_interne->Port_externe : src=192.168.1.[1-253] + dst ="ip_distantes" + NAT enable (sans option) Un use case est le VPN avec des subnets identiques de chaque côté (je suppose que c'est ton cas) est présenté ici : https://www.youtube.com/watch?v=wcEsTuwlYTA N'hésite pas à revenir vers moi en cas de souci. A+ Michael -----Message d'origine----- De : frnog-requ...@frnog.org <frnog-requ...@frnog.org> De la part de Guillaume Tournat Envoyé : mardi 2 octobre 2018 14:57 À : Charles Koprowski <c...@audaxis.com>; frnog-tech <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] Fortigate - NAT n:n Bonjour, Il suffit de créer un objet IP Pool, de type "one-to-one" : Et ensuite de le mettre en option du NAT dans la règle d'accès : Le 02/10/2018 à 09:57, Charles Koprowski a écrit : > Bonjour à tous, > > Est-t-il possible de mettre en place «simplement» une règle de NAT n:n > sur un Fortigate ? > > Je m'explique : > > Je souhaite mapper le réseau 192.168.1.0/24 en 10.5.3.0/24 de sorte que : > > 192.168.1.1 -> 10.5.3.1 > 192.168.1.2 -> 10.5.3.2 > … > 192.168.1.254 -> 10.5.3.254 > > Le prestataire qui info-gère ledit Fortigate m'affirme qu'il n'est pas > possible de faire cela avec une seule règle car dans ce cas le NAT se > ferait de manière «aléatoire» mais qu'il faut, au lieu de ça, mettre > en place les 254 règles de NAT 1:1 correspondantes. > > Je n'ai personnellement ni accès au boitier, ni l'expertise du produit > pour le vérifier, mais cela me parait tout de même étrange que ce type > NAT ne puisse pas être mis en place simplement / proprement. > > Avez-vous déjà rencontré ce cas de figure ? > > Merci d'avance. > > Bonne journée, > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/