Connection SSH Timeout

OrionB · Le 21/10/2015, à 18:21

Bonjour,

Je suis actuellement en vacances à 500km de chez moi et j’essaie de me connecter à mon PC de bureau via SSH. J'ai installé openssh-server et tout fonctionnait en LAN.
Maintenant que je suis en vacances et que j'entre mon nameuser@ip (j'ai bien sûr pris l'ip Internet de mon pc) j'ai une erreur de Timeout :

connect to host x.x.x.x port 22: Connection timed out

quand je fais une requête ping je la reçois sans aucun soucis...

Savez-vous que faire ?

ps : c'est moi qui ai mis les "x" pour cacher mon ip

OrionB

Dernière modification par OrionB (Le 21/10/2015, à 18:36)

Cyralien · Le 21/10/2015, à 18:24

Bonjour,

Tu as mis un règle NAT sur ta box ?

Dernière modification par Cyralien (Le 21/10/2015, à 18:24)

OrionB · Le 21/10/2015, à 18:31

Bonjour,

Je n'ai malheureusement rien configuré sur ma box, j'ai suivi bêtement le bookin sur Linux du Site du Zero... (il était écrit que il fallait juste se connecter avec user@ipnet)
Il n'y à rien à faire j'imagine..? ^^' (je connais mes ip LAN s'il le faut)

OrionB

Dernière modification par OrionB (Le 21/10/2015, à 18:35)

Cyralien · Le 21/10/2015, à 18:44

Dans ce cas, non, il n'y a rien à faire.
Il fallait créer une règle sur ta box pour rediriger le port ( 22 ) vers ton PC.

Edit : Peut-être que tu pourrai accéder au compte de ton F.A.I et paramétrer la règle.

Dernière modification par Cyralien (Le 21/10/2015, à 18:55)

OrionB · Le 21/10/2015, à 19:10

D'accord, je vais voir pour le l’accès au compte F.A.I. Que dois-je faire ? Choisir le protocole TCP (et UDP ?), choisir l'ip LAN et le port ? Il y a-t-il une différence entre port interne et externe ou je mets 22 pour les deux ?

Merci pour votre aide
OrionB

Cyralien · Le 21/10/2015, à 20:34

Déjà commence par voir si effectivement tu peux créer une règle NAT depuis le compte F.A.I.

Sais-tu si ta box est en IP fixe ou bien si elle change régulièrement d'IP ?

Edit : Pour la règle choisis TCP avec port externe, par exemple, 35655 ( tu pourrai choisir port 22, mais il est souvent scanné ) et port interne 22 ( sauf si tu à modifier le port par défaut du serveur SSH ) avec l'IP LAN du PC a atteindre. Du coup la commande devient :

tonuser@ip_box -p 35655

Si tu peux créer cette règle, il serai bien que tu fixes l'IP LAN du PC avec un baux permanent si ce n'est pas déjà fait.

EDIT 2 : Oups j'ai oublié le ssh....

ssh tonuser@ip_box -p 35655

Dernière modification par Cyralien (Le 21/10/2015, à 21:36)

Nasman · Le 21/10/2015, à 21:29

Avais tu déjà testé ssh depuis un autre site que localement ?

Si ton serveur est derrière une box

Depuis l'extérieur le schéma est le suivant
ssh -p 1234 user@ip_publique_box

et il faut que sur ta box tu redirige le port 1234 (pris comme exemple) de ta box vers le port 22 de ton pc (si le pc écoute sur le port 22)
ta box aura par exemple une ip locale 168.xxx.yyy.zzz et ton PC une ip locale 168.xxx.yyy.ttt

Il faut aussi :
- que ta box ait une ip fixe (dépend de ton fai)
- que l'ip locale du PC soit fixe (par exemple en attribuant une adresse ip selon la l'adresse mac de la carte réseau du pc)

OrionB · Le 22/10/2015, à 12:49

Bonjour et merci pour ses réponses !

Cyralien :
Malheureusement je ne peux créer un règle NAT sur ma box à distance. Je ne pourrai accéder à mon PC avant la fin de mes vacances.
Il me semble que c'est une ip fixe pour l'ip Internet donc pas de soucis.
Merci pour les renseignements ; si j'ai bien compris :
Après avoir paramétré ma box je dois :
-Envoyer une requête ssh à ma box (ssh user@ipInternetBox -p xx) avec un port xx paramétré port externe.
-La box redirige le flux de son port externe xx vers l'ip LAN de mon pc fixe vers un port interne yy en l’occurrence 22 pour le ssh.
Es-ce bien cela ?
Je n'ai jamais vu mon ip LAN changer mais il faut que je jette une coup d’œil.. il n'y a pas une histoire de DCHP..? DCHP pour Protocole je suppose..?

Nasman : Non je n'avais jamais testé autrement, je savais en partant que je prenais des risques.
Merci pour toutes ces explications !

OrionB

Cyralien · Le 22/10/2015, à 13:39

OrionB a écrit :

Après avoir paramétré ma box je dois :
-Envoyer une requête ssh à ma box (ssh user@ipInternetBox -p xx) avec un port xx paramétré port externe.
-La box redirige le flux de son port externe xx vers l'ip LAN de mon pc fixe vers un port interne yy en l’occurrence 22 pour le ssh.
Es-ce bien cela ?

Oui

OrionB · Le 24/10/2015, à 20:51

Je viens de paramétrer ma box:

NAT
Protocole: TCP
Port : port
Port externe : yyyyy
IP de destination : 192.168.1.z (z étant les derniers chiffres de mon adresse LAN)
Port de destination : 22 (mon openssh-server écoute sur le port 22)
Statu : activé

Lorsque (depuis chez moi, ça ne pose pas de problèmes ?) j'entre :

ssh -p yyyyy user@ipPubliqueBox

J'ai toujours un timeout...
Savez-vous où pourrait-être le problème ? Je ne pense pas que ça pose de problème si je teste depuis chez moi.. non ?

Dernière modification par OrionB (Le 24/10/2015, à 21:11)

OrionB · Le 25/10/2015, à 22:45

Personne ?..

jplemoine · Le 26/10/2015, à 00:11

Il faut que tu testes depuis l’extérieur de ton LAN.
Ça ne fonctionne pas depuis l'une des machines de ton réseau local.

OrionB · Le 26/10/2015, à 18:03

D'accord.. ça m’intéresse de savoir pourquoi...:
Ne serait-ce pas le FAI qui ne peut faire "une boucle" ? (un flux qui sort et qui doit être redirigé au même endroit)
Mon hypothèse est bonne où est-ce autre chose ?

Dernière modification par OrionB (Le 26/10/2015, à 19:46)

Sub0 · Le 05/11/2015, à 22:11

Presque. Pas le FAI, mais ton routeur (autrement dit, ta « box »). Je tente une réponse, probablement perfectible car ça m'a permis de faire quelques tests chez moi.
Quand tu lances une connexion SSH depuis LAN sur l'adresse publique, tu ne causes qu'à ton routeur, et à aucune autre machine ! Il n'y a donc aucune boucle dehors.

Le routeur écoute sur plusieurs interfaces (d'un côté l'intérieur - LAN - de l'autre l'extérieur - WAN).
Ce qui écoute sur LAN n'est pas accessible sur WAN, et vice versa, sauf règle spécifique.

Quand tu communiques via ton IP publique, c'est au routeur que tu t'adresses, directement.

Tes machines obtiennent une IP via un démon DHCP (et non DCHP) qui est à l'écoute sur l'interface LAN. Pour le routeur, ça se passe de la même manière, mais vers l'extérieur. Un serveur DHCP attribue un bail au client (le routeur) qui le demande via un client sur l'interface WAN au FAI.
Quand une machine sur LAN souhaite accéder à l'extérieur (internet), alors le routeur va « forwarder » les paquets après les avoir modifiés afin de transformer l'IP de la machine (192.168.X.X) en l'IP publique. Les paquets entrants subissent le même sort, les paquets sont modifiés pour pouvoir être routés vers la machine à laquelle ils sont destinés (c'est ça du SNAT/DNAT).

Quand tu appelles ton ip publique depuis LAN, il connait la route : c'est lui-même.

Pour faire simple, si tu ping (protocole ICMP) ton propre routeur depuis LAN, le routeur « sait » qu'il s'agit de lui-même, sur WAN. C'est donc lui qui va répondre.
Donc si tu appelles ta propre IP publique depuis LAN, le routeur va rejeter ou « droper » les paquets. Pourquoi ? Parce que (sauf modif' de ta part), il n'y a pas de SSH à l'écoute sur son interface WAN et que ta règle de NAT ne s'applique que pour ce qui vient de l'extérieur.

Pour t'en convaincre, ping ton routeur sur LAN

ping -c 3 192.168.1.1

Puis ping ton routeur sur l'IP publique

ping -c 3 ip-publique

et compare les temps de réponse : tu obtiendras environ la même chose. Si tu pouvais faire un

tcpdump icmp -i interface_wan

sur ton routeur, tu verrais qu'aucun paquet ICMP ne sort quand tu ping ta propre IP publique depuis LAN.

Le timeout pour le SSH signifie que le pare-feu du routeur « DROP » les paquets TCP qui arrivent sur le port 22 et qui lui sont destinés.
Chez moi, si je lance une connexion SSH sur mon IP publique, j'obtientun rejet, sans qu'aucun paquet ne sorte sur WAN. Si je ping mon IP publique, je vois les paquets passer sur le routeur, et les ICMP reply sont emis par l'IP publique, mais sur l'interface LAN !

En résumé, ta règle de NAT dit : les paquets de tel protocole venant de l'extérieur sont dirigés vers telle machine sur tel port.
Ici, les paquets ne viennent pas de dehors : pas de NAT. Quand bien même ce ne serait pas le cas, tu n'as pas de SSH sur le routeur à l'écoute sur l'interface WAN.

Si tu veux tester tes règles NAT depuis l'intérieur, tu peux passer par un proxy à l'extérieur (mais, fais attention au proxy que tu utilises). Par exemple, chez Free, on peut passer par free.proxy.fr sur le port 3128.

Au passage, si tu veux mieux comprendre tout ça :
- Tu peux configurer iptables sur tes machines. C'est très formateur.
- Tu peux libérer ton routeur comme tu as libéré tes ordinateurs. Pour quelques euros en occaz', on trouve des petits routeurs sympathiques à placer derrière ton modem (ta box en mode bridge). Un coup d'OpenWrt (un OS GNU/Linux pour routeurs) et te voilà maitre de cette étrange boîte qu'on appelle une « box ». Mais attention, c'est grisant, addictif, et faut parfois bidouiller des ports série ou JTAG sur les cartes (bien choisir le routeur).

En espérant être un peu clair, c'est pas évident à expliquer.

OrionB · Le 07/11/2015, à 01:02

Bonsoir,

Merci beaucoup pour ces explications ! C'est clair et compréhensible ! ^^

Je n'y connais vraiment pas grand chose mais ça me donne envie d’essayer..! Justement en ce moment je lis des cours sur les ports série, ça me rajoute du travail

Par contre j'ai essayé depuis mon lycée :

ssh -p ppppp $user@$IPPublique

Je ne me souviens pas de la réponse, mais il me semble que c'était quelque chose de l'ordre du refus

Alors que pourtant j'ai (je pense...) bien paramétré mes règles NAT :
Protocole TCP (c'est ce que l'on m'a dit de mettre plus haut)
un port externe ppppp
l'adresse LAN du serveur : 192.168.1.x
le port interne : le port d'écoute ssh de la machine avec l'IP LAN 192.168.1.x, en l’occurrence 22

Alors pourquoi ça ne fonctionnerait pas ?..

Merci d'avance,
OrionB

Dernière modification par OrionB (Le 14/05/2016, à 10:25)

Nasman · Le 07/11/2015, à 13:36

Pour l'adresse ippublique tu peux la connaitre en allant sur un site comme ici

C'est cette adresse publique que tu appelle avec le port ppppp

Sur ta box tu transfère les paquets de ippublique:ppppp vers ipserveurlocal port 22 (sauf si ton serveur écoute sur un autre port).

Au niveau local tu auras par exemple ta box qui aura l'ip locale 192.168.1.254 et ton pc 192.168.1.1, donc l'ippublique devra être transférée vers 192.168.1.1 port 22

Sub0 · Le 07/11/2015, à 14:41

OrionB a écrit :

ssh -p ppppp $user@$IPPublique

On est bien d'accord, ce que tu notes ici $user (ce serait plutôt $USER), tu entres bien juste ton nom d'utilisateur ?
Quelque chose dans le genre :

ssh -p 4556 orionb@IPpublique

? Question bête je sais, mais parfois…

OrionB a écrit :

Alors que pourtant j'ai (je pense...) bien paramétré mes règles NAT :
Protocole TCP (c'est ce que l'on m'a dit de mettre plus haut)
un port externe ppppp
l'adresse LAN du serveur : 192.168.1.x
le port interne : le port d'écoute ssh de la machine avec l'IP LAN 192.168.1.x, en l’occurrence 22
Alors pourquoi ça ne fonctionnerait pas ?..

Pour la règle de NAT, ça semble bon. Re-vérifie tout de même la conf' de ta box.
TCP : oui, mais il faut comprendre pourquoi, hein ?

En supposant que la conf' du routeur est bonne et que tu utilises la bonne IP publique (tu es certain d'avoir une IP fixe ?), le problème peut venir de plusieurs endroits :
- Il y a un pare-feu qui bloque sur la machine cliente ou sur le serveur : les paquets son rejetés (target REJECT dans Iptables). Dans ce cas là, tu as un message de rejet (quand les paquets passent en DROP, tu as un « timeout »). Mais a priori, tu le saurais, ce n'est pas activé par défaut ;
- Ton serveur SSH est mal configuré (je ne pense pas). Au passage, si tu ouvres vers l'extérieur, le configurer est indispensable (pas de login en root, etc.) ;
- Tu tentes de te connecter depuis ton lycée : généralement, on fait pas ce qu'on veut depuis les réseaux des lycées/entreprises/administration. Ton traffic passe par un pare-feu, un proxy filtre (pour éviter que vous alliez sur facetruc ou des sites peu recommandables)... Depuis quel type de machine tu te connectes ?

1 - Est-ce que tu y arrives sans difficulté d'une machine LAN vers une autre sur LAN ?
2 - Ton adresse est joignable (ping) ? Sur une box, sauf configuration spécifique, c'est généralement le cas.
3 - Est-ce que tu as essayé depuis un réseau « simple » (un réseau domestique, chez un ami par exemple) ?

Si ce n'est rien de tout ça, un truc m'échappe, ce qui est possible (faudra creuser).

Je réitère : la meilleure façon d'apprendre le fonctionnement d'un réseau, c'est de jouer avec les pare-feu de tes machines sur LAN. Ça te mettra au clair sur les ports, les protocoles, les statuts des connexions, etc. Tu apprendras aussi à utiliser les outils de debugage et à visualiser ton traffic (traceroute, ping, tcpdump, etc.)

Dernière modification par Akumu (Le 07/11/2015, à 14:51)

OrionB · Le 10/11/2015, à 17:05

Bonjour,

Oui c'est bien l'user auquel je veux me connecter, qui est sur le serveur distant.

Oui c'est bien un truc du style :

ssh -p 4556 orionb@IPpublique

Je ne sais pas (encore) pourquoi TCP (c'est vrai qu'il faut que je comprenne pour être un minimum sérieux... ^^)
Mes IPs locales et publiques sont les mêmes depuis des mois donc oui, elles sont fixes

Les deux premières hypothèses sont (je pense) à éloigner, je pencherais plus pour une restriction du réseau du lycée.. mais pourtant j'ai tout de suite testé le ping vers ma box depuis le lycée et ça a fonctionné... J'ai essayé de me connecter via mon PC portable, qui fonctionne toujours en local.

1- Tout fonctionne en LAN
2- Je peux ping ma box depuis le lycée
3- Non.. mais je ne sais pas quand je pourrai...

Oui faut que je teste tout ça..!

Nasman · Le 10/11/2015, à 17:33

Quelle est ton ippublique ?

Je pense que tu ne mets pas la bonne ip publique mais plutôt une ip locale et du coût ça ne fonctionne pas

OrionB · Le 10/11/2015, à 17:37

Non je suis sûr de mon IP publique (je ne sais pas si c'est très bien de la crier sur tout les toits, je l'ai eu sur le lien que tu m'as passé)
Mais je sais que mes adresses LAN sont en 192.168.1.x et mon IP publique n'a pas du tout cette tête la. ^^

Dernière modification par OrionB (Le 10/11/2015, à 17:37)

Nasman · Le 10/11/2015, à 17:44

A mon taf le ssh est bloqué. Pour pouvoir l'utiliser je l'ai "encapsulé" au travers d'un flux https (port 443) qui lui est utilisable.

Si tu es dans ce cas, regarde du côte de corkscrew

As tu essayé d'atteindre ton serveur depuis un site non bloqué (genre depuis le domicile d'un copain).

OrionB · Le 11/11/2015, à 14:24

Bonjour,

Merci, je vais tester cette technique.
Je ne peux pas tester chez un ami tout de suite et c'est d'ailleurs pour cela que je voulais tester depuis mon lycée

Je vous tient au courant

Dernière modification par OrionB (Le 11/11/2015, à 14:25)

OrionB · Le 12/11/2015, à 15:08

Bonjour,

Je cherche à utiliser corkscrew, il me faut l'adresse du proxy auquel je me connecte une fois sur le réseau, comment puis-je connaître cette adresse ?

Voici l'exemple trouvé sur internet (à copier dans ~/.ssh/config) :

Hostname 123.123.123.123
Port 22
ProxyCommand /usr/bin/corkscrew 234.234.234.234 3128 %h %p

Qu'en pensez vous ? L'adresse de mon proxy (que je cherche) doit être remplacée pas l'adresse en 234.

Dernière modification par OrionB (Le 19/11/2015, à 11:01)

Nasman · Le 12/11/2015, à 15:17

Tu peux peut être essayer avec le nom de ton proxy. Je suppose que tu dois le connaître si tu peux accéder à internet.

Tu devrais pouvoir récupérer son adresse ip en faisant par exemple un

ping nom_du_proxy

Edit :
Voilà ce que j'ai dans mon fichier ~/.ssh/config

Hostname ip_publique_de_ma_box
Port 443
ProxyCommand /usr/bin/corkscrew ip_serveur_proxy port_https_serveur_proxy %h %p

Dernière modification par Nasman (Le 12/11/2015, à 15:22)

Nasman · Le 12/11/2015, à 17:18

Arrives tu à te connecter à internet depuis ton lycée ?
Si oui alors je pense que le proxy a été renseigné, soit au niveau de firefox ou d'un autre navigateur internet, soit dans les paramètres réseau d'Ubuntu.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 21/10/2015, à 18:21

Connection SSH Timeout

#2 Le 21/10/2015, à 18:24

Re : Connection SSH Timeout

#3 Le 21/10/2015, à 18:31

Re : Connection SSH Timeout

#4 Le 21/10/2015, à 18:44

Re : Connection SSH Timeout

#5 Le 21/10/2015, à 19:10

Re : Connection SSH Timeout

#6 Le 21/10/2015, à 20:34

Re : Connection SSH Timeout

#7 Le 21/10/2015, à 21:29

Re : Connection SSH Timeout

#8 Le 22/10/2015, à 12:49

Re : Connection SSH Timeout

#9 Le 22/10/2015, à 13:39

Re : Connection SSH Timeout

#10 Le 24/10/2015, à 20:51

Re : Connection SSH Timeout

#11 Le 25/10/2015, à 22:45

Re : Connection SSH Timeout

#12 Le 26/10/2015, à 00:11

Re : Connection SSH Timeout

#13 Le 26/10/2015, à 18:03

Re : Connection SSH Timeout

#14 Le 05/11/2015, à 22:11

Re : Connection SSH Timeout

#15 Le 07/11/2015, à 01:02

Re : Connection SSH Timeout

#16 Le 07/11/2015, à 13:36

Re : Connection SSH Timeout

#17 Le 07/11/2015, à 14:41

Re : Connection SSH Timeout

#18 Le 10/11/2015, à 17:05

Re : Connection SSH Timeout

#19 Le 10/11/2015, à 17:33

Re : Connection SSH Timeout

#20 Le 10/11/2015, à 17:37

Re : Connection SSH Timeout

#21 Le 10/11/2015, à 17:44

Re : Connection SSH Timeout

#22 Le 11/11/2015, à 14:24

Re : Connection SSH Timeout

#23 Le 12/11/2015, à 15:08

Re : Connection SSH Timeout

#24 Le 12/11/2015, à 15:17

Re : Connection SSH Timeout

#25 Le 12/11/2015, à 17:18

Re : Connection SSH Timeout

Pied de page des forums