Bonjour, voilà mon soucis et j'ai besoin de votre aide.
j'utilise des routeurs mikrotiks.voilà le shéma:
 
(Lan)R4----switch-------R3-----internet------R1-------R2(Lan)
 
les routeurs R2 et R4 appartiennent aux plages d'@ privées respectives: 192.168.0.0/24 (R2)          192.168.1.0/24 (R4)
 
une configuration NAT existe sur les routeurs R3 et R1 permettant la traduction d'@ privées en @ public.
 
j'aimerai que tous les paquets issus de R2 vont toujours et toujours sur R4.  
quelle configuration dois-je utiliser pour faire cela? la redirection des ports? je n'en sais trop rien  
merci d'avance pour vos efforts

Bonjour,
Je ne comprends pas bien ta demande, tu veux que tout le trafic issu d'équipements du lan derrière R2 traverse internet jusqu'au routeur R4 et ce quelque soit la destination de ce trafic ?
exemple: si un équipement derrière R2 tente une connexion HTTP sur www.google.fr, ce flux devrait passer d'abord via R4 puis ensuite routé normalement vers www.google.fr ?

Et après avoir atteint R4, ce trafic doit être routé comment ?

A froid comme cela, je dirais que le plus simple serait de monter un VPN entre R2 et R4.

Juste comme ça, il serait bien que tu indiques/expliques la finalité de ta demande au lieu de partir sur une prémisse d'idée technique lorsque tu crées un sujet. Ça serait probablement plus clair et on pourrait mieux t'aiguiller, car là, il y a pas mal de flou... et suivant l'objectif réel, il y aurait différentes solutions (en particulier avec ton autre topic sur le NAT et le ping) :-)

Je suis stagiaire dans une entreprise. En fait R1 et R3 sont les routeurs de l'entreprise en question . R2 et R4 ( routeurs tests)sont des routeurs installés par moi (R4 est un routeur physique et R2 est un routeur virtuel créé dans VirtualBox).Et mon but est de créer un VPN entre R2 et R4.  
R2 est en mode Bridge et a accès à Internet.  je crois que pour que R4 ait accès à internet il doit etre configuré avec une route par défaut .R1 et R3 (routeurs de l'entreprises) utilisent la traduction NAT pour l'accès à Internet de ses machines locales.
j'aimerai que tous les paquets issus de R2 arrivent à R4 et vice versa pour pouvoir réaliser mes tests.
Tous sont des routeurs Mikrotiks

1. Je t'ai déjà dit comment configurer d'un point de vue routage R2 et R4 dans un autre topic pour qu'ils aient accès à internet. Je n'ai pas eu de retour/question sur mon post. Etait-ce clair ?

2. Dès le départ tu aurais pu dire que tu voulais faire un VPN et que d'un côté tu avais du virtualbox... C'est un peu fatiguant dans les forums d'aller grappiller les informations aussi évidentes/essentielles par petits bouts auprès de la personne qui demande de l'aide.

3. As tu déjà regardé quel protocole utiliser et ce que supportait tes routeurs (R4 et routeur virtuel) ? IPsec, vpn ssl, etc...

4. Est ce que tu peux modifier ou faire modifier la conf de R1 et R3 pour faire du NAT dans le sens internet->lan en se basant soit sur une adresse IP publique (si tu peux en avoir plusieurs sur les routeurs d'entreprise) soit sur un port
Pour faire un VPN site à site derrière du NAT nous sommes obligés de mettre en place une redirection de port sur les routeurs qui font le NAT
  - UDP 500 + 4500 (de mémoire) pour de l'IPsec par exemple.

5. Pourquoi R4 est-il en bridge ?

Je me trompe peut être mais avec tes différents topics j'ai l'impression que tu ne sais pas du tout par où commencer ni ce qu'est concrètement un VPN. Si ?  Y a pas de mal à ne pas savoir, mais autant le dire tout de suite, au moins on peut répondre suivant le niveau et t'orienter correctement pour que tu comprennes ce que tu fais

oui je suis d'accord pour le 1 , c'était juste pour plus de précision!
 
2- je m'excuse pour le désagrément
 
3-je veux un IPsec , j'ai quelques notions sur le VPN mais pas approfondies, ce que c'est quoi!  Mes routeurs supportent IPsec
 
4-stp explique bien le 4 soit plus concret (plus pratique quoi) je n'ai pas bien cerné ce que tu me demandes  
 quand tu dis:

tu veux dire qu'on doit utiliser le NAT statique?  
Et quand tu dis:

tu parles de la redirection des ports? bon celui-ci je n'en sais trop rien sur son fonctionnement. essaie d'éclairer ma lanterne stp
 
5-c'est R2 qui est en bridge (et non R4) pour pouvoir avoir accès à Internet comme il est virtuel
 
disons que j'aime d'abord me casser la tête avant de demander de l'aide.Peut-être je ne vais pas directement droit au but disons que ça fait parti de ma personnalité. c'est ma 1ere dans le VPN c'est pour cela que je suis un peu perdu

Que tu te casses la tête si tu veux mais il faut penser aux gens à qui tu demandes de l'aide, ils le font sur leur temps libre et ne sont pas là pour deviner quelle est réellement ta finalité... Faut être pragmatique. On veut bien aider mais se creuser la tête pour lire entre les lignes et deviner ci ou ça...

Je te demande simplement si tu peux mettre ou faire mettre des règles de NAT spécifique pour le trafic entrant sur R1 et R3.
Tes routeurs R2 et R4 vont envoyer du trafic IPsec. Exemple dans un sens:
  - le trafic IPsec de R2 va être "source-naté" par R1 (remplacement de l'adresse source par uen adresse publique)
  - ce trafic va être routé par internet jusqu'à R3 (destinataire de ce trafic).
  - ce n'est pas R3 qui termine le VPN IPsec (si j'ai bien compris), mais R4.
  - donc R3 doit savoir qu'il doit transférer ce trafic IPsec à R4
  - vu que l'on a du NAT, IPSec se trouve encapsuler dans de l'UDP (port 4500)
  - il faut donc mettre une règle sur R3 disant que le trafic UDP arrivant sur l'adresse publique et sur le port 4500 doit être envoyé à R4
Sinon il droppera ce trafic.

Et idem pour le udp/500 qui est utilisé pour la négociation du vpn.

On a deux solutions :
  - soit le faire sur le port UDP 4500 (tout trafic udp/4500 sera forwardé sur r4)
  - soit utiliser une adresse IP dédiée si tu en as les moyen.

C'est assez clair ?   NAT statique oui, si t'appelle ça comme ça.
 

Le mettre en bridge n'est pas la seule solution pour avoir accès à internet. Je ne connais pas assez les fonctions de routage de virtual box mais je me demande vraiment si ce côté supportera IPSec... Et ta config en mode bridge renforce mon doute. Je voudrais avoir plus d'info sur comment t'as configuré cette partie là. C'est pas clair.

 
c'est très clair!!!  
 

 bon voilà: j'ai créé un routeur Mikrotik dans virtualBox et je l'ai attribué 2 cartes réseaux(la 1ère je l'ai configuré en mode "host-only"  comme ça je pourrai avoir accès à son interface graphique grace à winBox et la 2ième en mode "Bridge"  pour que le routeur virtuel soit dans le meme segment réseau(192.168.0.0/24) que ma machine hote afin d'avoir accès à internet)  et lorsque je lance winbox et que j'accède à l'interface graphique du routeur virtuel je configure l'interface "ethernet 2"  en client DHCP (une @ IP lui ait attribué automatiquement dans la plage 192.168.0.0/24) D'où son accès à Internet .
 

y a t-il une autre solution que du Bridge?

OK, ça devrait aller alors.

 
donc en plus de la configuration de la  redirection du port udp 4500 je dois aussi le faire pour le port udp 500 pr prendre en charge le vpn?

Le plus simple c'est que tu regardes ce qu'est IPsec pour les VPN de site à site (ESP/AH) ainsi que les méthodes de négociation (IKE) et comment ils interragissent au travers d'un NAT (NAT-T ou NAT-Traversal.. Tout coulera de source après.

salut; j'ai configuré mes routeurs(R2 et R4) comme indiqué dans ma doc.  j'ai terminé la configuration mais ça ne fonctionne pas   .  bon voilà le schéma de la doc
 
   ----(192.168.0.0/24)-----R1 (10.15.15.1/24)----internet------(10.15.15.2/24) R2-----(192.168.1.0/24)  
ET voici le mien  
 
  -----R4(192.168.3.0/24)----SWITCH----R3(41.205.79.16/30)----iNTERNET----(41.205.79.23/30)R1------SWITCH----R2-----(192.168.0.0/24)R2
 
  il applique leur configuration sur R1 ET R2(Routeur directement connecté à Internet) et moi je fais ces memes configurations sur R4 ET R2(routeurs ayant internet par le biais d'autres routeurs comme on le voit sur la figure).  
 
j'aimerai savoir si cela peut etre à l'origine du non fonctionnement du VPN

Quelle doc ?
La redirection de trafic sur R1 et R2 est faite correctement ?

je ne sais pas. en tout cas voici l'@ de la page: file:///E: /IMPORTANT/IMPORTANT/Christian%20L%27avenir%20ONANA.htm

s'il te plait à partir de ce lien essaie de trouver une correspondance avec mon modèle et de m'éclaircir  
 

T'es au courant que je n'ai pas accès à ton disque dur ?

Je veux bien aider, mais faut faire un minimum...
1. le NAT/redirection : au lieu de me dire "je sais pas" tu pourrais décrire ce que tu as fait...
2. coller une url qui pointe sur ton disque dur sur un forum en espérant que j'y accède... et vouloir faire un vpn site à site... comment dire...

Toujours est-il que :

Si tu ne comprends pas ce que tu fais, tu arriveras à rien...