Interconnecter des réseaux dont les plans d'adressages se recouvrent
Dans le cas de réseaux dont les plans d'adressage se recouvrent, aucun des deux réseaux privés ne peut utiliser ses adresses IP réelles à travers le tunnel. En effet, les correspondants estimeraient appartenir au même réseau et tenteraient donc de se contacter directement sur ce réseau local au lieu d'emprunter le tunnel IPsec.
La stratégie sera donc ici de :
- Masquer les adresses IP réelles des hôtes du réseau A aux hôtes du réseau B et inversement.
- Faire admettre aux hôtes du réseau A que le réseau B utilise un plan d'adressage différent.
- Rétablir les destinations réelles en sortie de tunnel pour acheminer les paquets vers les adresses IP réelles des hôtes des deux réseaux.
Cela nécessite de modifier l’adresse IP source avant l’envoi des paquets dans le tunnel IPsec, et de rétablir l’adresse IP de destination réelle dans les paquets provenant du tunnel, et ce, sur les deux sites à relier.
Ici Net-A-Real et Net-B-Real sont dans le même plan d'adressage.
Nous définissons donc :
- Net-A-Virt pour décrire le réseau A tel que B le percevra.
- Net-B-Virt pour décrire le réseau B tel que A le percevra.
La politique IPsec ne connaît que les plans d'adressage IP dits "virtuels" (-virt). La translation des adresses source survient avant le passage dans le tunnel IPsec (avant chiffrement). La translation de l’adresse de destination survient après passage dans le tunnel (après déchiffrement du paquet provenant du tunnel).