Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 17/05/2017, à 11:38

liwei

ssh innaccessible (WAN) et port fermé

Bonjour à tous et merci de prendre le temps de jeter un oeil à ce topic.

Tout d'abord, avant de poster j'ai bien sûr pris le temps de regarder les sujets similaires:
./viewtopic.php?id=445131
https://forum.ubuntu-fr.org/viewtopic.php?id=1160161
https://forum.ubuntu-fr.org/viewtopic.php?id=1242941

Malheureusement, je n'ai pas réussi à résoudre mon problème que voici:

J'ai configuré un serveur SSH sur une machine sur laquelle j'arrive à me connecter en réseau local.
Seulement, impossible de m'y connecter hors du réseau local. Et lorsque je fait un test du port sur ping.eu/port-chk/ avec l'IP externe, il est dit que le port est fermé sad

Voici ma config du serveur SSH
ssh_config :

# This is the ssh client system-wide configuration file.  See
# ssh_config(5) for more information.  This file provides defaults for
# users, and the values can be changed in per-user configuration files
# or on the command line.

# Configuration data is parsed as follows:
#  1. command line options
#  2. user-specific file
#  3. system-wide file
# Any configuration value is only changed the first time it is set.
# Thus, host-specific definitions should be at the beginning of the
# configuration file, and defaults at the end.

# Site-wide defaults for some commonly used options.  For a comprehensive
# list of available options, their meanings and defaults, please see the
# ssh_config(5) man page.

Host *
#   ForwardAgent no
    ForwardX11 yes
#   ForwardX11Trusted yes
#   RhostsRSAAuthentication no
#   RSAAuthentication yes
    PasswordAuthentication yes
#   HostbasedAuthentication no
#   GSSAPIAuthentication no
#   GSSAPIDelegateCredentials no
#   GSSAPIKeyExchange no
#   GSSAPITrustDNS no
#   BatchMode no
#   CheckHostIP yes
#   AddressFamily any
#   ConnectTimeout 0
#   StrictHostKeyChecking ask
#   IdentityFile ~/.ssh/identity
#   IdentityFile ~/.ssh/id_rsa
#   IdentityFile ~/.ssh/id_dsa
#   IdentityFile ~/.ssh/id_ecdsa
#   IdentityFile ~/.ssh/id_ed25519
    Port 7521
    Protocol 2
#   Cipher 3des
#   Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc
#   MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160
#   EscapeChar ~
#   Tunnel no
#   TunnelDevice any:any
#   PermitLocalCommand no
#   VisualHostKey no
#   ProxyCommand ssh -q -W %h:%p gateway.example.com
#   RekeyLimit 1G 1h
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no

sshd_config

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 7521
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
AllowGroups sshusers


RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile	%h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

J'ai tenté de configurer le routeur pour rediriger correctement les ports (Et oui... Je sais, c'est du chinois big_smile ):

IP locale fixe
1495072205.png

Hôte DMZ défini sur l'adresse locale du serveur
1495072411.png

Redirection des ports
1495072463.png

Et voilà le résultat de nmap exécuté sur le serveur:

Nicky lw # nmap localhost

Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-17 17:29 HKT
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000014s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE
80/tcp   open  http
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
5900/tcp open  vnc

Nmap done: 1 IP address (1 host up) scanned in 1.66 seconds

Comme je suis débutant, je ne vois pas bien où se situe le problème...
Please heeeelp!!

Dernière modification par liwei (Le 18/05/2017, à 03:55)

Hors ligne

#2 Le 18/05/2017, à 15:15

ublender

Re : ssh innaccessible (WAN) et port fermé

Bonjour,

Je vois

Port 7521

Donc pour que ça fonctionne, je pense qu'il faut que:
1) tu ouvres le port 7521 en tcp sur le serveur (perso j'utilise ufw)
2) tu mettes une redirection (NAT) d'un port externe (pas obligatoirement 7521) vers le port 7521 de ton serveur
3) tu regardes l'ip de ta box (avec le site what is my ip par exemple)
4) tu te connectes en dehors de ton réseau local avec

ssh nomUtilisateur@ip -p PortExterne

où nomUtilisateur est celui que tu prends d'habitude pour te connecter en ssh, ip est l'ip en 3), Port externe est celui que tu as choisi en 2)

Je peux pas t'indiquer dans quelle capture d'écran il faut rajouter la règle NAT, pour moi c'est du chinois (je pouvais pas m'en empêcher big_smile )

Hors ligne

#3 Le 19/05/2017, à 11:24

liwei

Re : ssh innaccessible (WAN) et port fermé

Bonjour ublender et merci pour ta réponse!
1) Au vu du résultat de nmap, je pense effectivement que le problème se situe dans la première étape. Je vais essayer d'ouvrir le port avec ufw.
2) En ce qui concerne la redirection, il s'agit bien de l'image que j'ai postée en premier lieu (je me doute que tu ne parles pas forcément le chinois, mais ça y ressemble, non?), n'est-ce pas?

Ne pouvant me rendre à mon bureau qu'une fois par semaine (d'où la nécessité d'une connexion SSH!), j’essaierai mercredi prochain.
Encore merci!

Hors ligne

#4 Le 19/05/2017, à 13:17

ublender

Re : ssh innaccessible (WAN) et port fermé

1) Je viens de tester nmap localhost sur mon pc, et il ne trouve pas les ports que j'ai ouvert. Ça doit être une histoire de boucle locale.
2) La première image permet je pense de demander au routeur de ne pas changer l'adresse ip locale de ton serveur, c'est nécessaire mais c'est pas une règle NAT qui permet de rediriger un port de la box vers le port 7521 de ton serveur.
La troisième capture d'écran ressemble à une règle NAT, et l'ip locale correspond à l'ip fixée à la capture 1, donc c'est bien.

Donc si je me trompe pas, je pense que l'étape 1 et 3 sont nécessaires, l'étape 2 non, et pour l'étape 4 le port externe est 7521.

Petite remarque: l'adresse ip de ton routeur n'est pas forcément fixe, ma box de chez orange change environ 1 fois par mois d'adresse ip

Hors ligne

#5 Le 19/05/2017, à 13:21

maxire

Re : ssh innaccessible (WAN) et port fermé

Bonjour,

Ublender a écrit :

1) tu ouvres le port 7521 en tcp sur le serveur (perso j'utilise ufw)

Par défaut, sous Ubuntu, aucun port n'est fermé, il suffit de mettre un programme en écoute à un port pour qu'il soit visible, donc inutile d'utiliser ufw à moins que des règles particulières de pare-feu aient été mises en place lors de l'installation de Ubuntu, ce que ne fait pas l'installation normale.

liwei a écrit :

1) Au vu du résultat de nmap, je pense effectivement que le problème se situe dans la première étape. Je vais essayer d'ouvrir le port avec ufw.

Non, le résultat de nmap ne prouve rien, telle que tu as passé cette commande celle-ci s'est contentée de balayer une liste prédéfinie de ports afin de contrôler leur ouverture.
Cette liste est celle des ports par défaut des serveurs les plus courants, ssh, net-bios, nfs, ... et se limite à 1000 ports sur 65536 possibles.
Le port 7521 n'est pas membre de cette liste, c'est le port 22 dans le cas de ssh qui est testé.

Si tu veux vraiment connaître la liste des ports en écoute de ton serveur, tu passes cette commande à partir de ton serveur (balayage des ports en écoute udp ou tcp:

sudo netstat -tulnp

Normalement tu devrais trouver le port 7521 en écoute.

En terme de sécurité il est parfaitement inutile de remplacer le port 22 par le port 7521, tu aurais pu garder le port 22.

Les recommandations de 2 à 4 de Ublender restent valables.

Comment le routeur lui-même est-il connecté au réseau publique?
Il faudrait nous fournir son adresse, normalement l'interface dlink la présente.
C'est peut-être le problème si le réseau auquel est relié le routeur est lui-même un réseau privé.

Dernière modification par maxire (Le 19/05/2017, à 13:25)


Maxire
Archlinux/Mate + Debian Stretch/Gnome sur portable -- Archlinux/Mate sur poste de travail

Hors ligne

#6 Le 20/05/2017, à 03:17

liwei

Re : ssh innaccessible (WAN) et port fermé

Bonjour et merci pour ces nouvelles informations.

De mémoire je pense que le routeur est connecté via une petite box fournie par le FAI local (comme vous vous en doutiez au vu des photos, je me trouve en Chine). Ceci étant, le routeur est configuré pour se connecter directement en utilisant les identifiants fournis par le FAI.
Je regarderai l'adresse affichée par l'interface dlink si elle est bien présente sur ce modèle une fois de retour au bureau.

Hors ligne

#7 Le 24/05/2017, à 05:58

liwei

Re : ssh innaccessible (WAN) et port fermé

Bonjour à tous et merci pour vos réponses:

maxire, j'ai suivi ton conseil et voilà (entre autre) le résultat:

tcp        0      0 0.0.0.0:7521            0.0.0.0:*               LISTEN      - 
tcp6       0      0 :::7521                 :::*                    LISTEN      - 

Ce port n’apparaît pas pour les protocoles udp et udp6 mais ce doit être normal, non?
Donc si je suit le raisonnement de notre estimé ublender,
1) le port 7521 est bien ouvert en tcp
2) la redirection NAT est bien faite au niveau du routeur (cf 1er post)
3) ip externe: check.
4) connection... failed!

Pour répondre à ta question, maxire, l'adresse locale du routeur est 192.168.0.1
Quand tu parle d'adresse IP affichée sur l'interface dp-link, tu penses sans doute à:
1495598116.jpg
Je ne sais pas trop à quoi cette adresse IP correspond (Elle ne coresspond pas à mon IP publique). Du coup, j'hésite à la poster sur un forum publique.

comment je peux faire pour me connecter à la box du FAI? (Je suis débutant, alors arrêtez de me huer... aïe).
Vu que mon routeur semble bien configuré et qu'il est connecté derrière cette box, sans doute faut-il configurer la redirection de port au niveau de la box, non?

Dernière modification par liwei (Le 24/05/2017, à 06:15)

Hors ligne

#8 Le 24/05/2017, à 08:52

maxire

Re : ssh innaccessible (WAN) et port fermé

Bonjour,

Oui, le serveur ssh est bien à l'écoute sur le port 7521 sans restriction.

Je ne sais pas si c'est bien l'écran auquel je pense, il faudrait nous traduire son titre et les libellés des champs d'affichage.

Je suppose que l'adresse IP dont tu parles est celle du routeur dans le réseau de la box, donc oui, il faudrait également configurer la box et pour cela connaître son adresse locale.


Maxire
Archlinux/Mate + Debian Stretch/Gnome sur portable -- Archlinux/Mate sur poste de travail

Hors ligne

#9 Le 24/05/2017, à 10:21

liwei

Re : ssh innaccessible (WAN) et port fermé

Pour info,
路由设置 = réglages du routeur
             上网设置 = paramètres Internet
                            基本设置 = Réglages de base
                                           IP地址 = adresse IP

Ce qui ne nous avance pas beaucoup... Ceci dit, lorsque je tape cette IP dans mon réseau local, je tombe sur la page d’accueil du serveur Apache. Lorsque je la tape depuis l'extérieur, je n'ai rien.

Je doute que ce soit l'adresse de la box. D'où ma question: comment faire pour connaître l'adresse IP de la box sur laquelle est branché mon routeur?
Les classiques 192.168.1.1 - 192.168.0.2 - 192.168.1.2 ne fonctionnent pas (192.168.0.1 étant l'adresse du routeur)

Y a-t-il une commande qui permettrait de mapper le réseau mieux que windows qui ne m'affiche que mon routeur?

Pour info, un traceroute sur n'importe quel site ne m'affiche que 192.168.0.1 puis directement ce qui semble être une IP externe (100.64.0.1)

Dernière modification par liwei (Le 24/05/2017, à 10:39)

Hors ligne

#10 Le 24/05/2017, à 10:39

maxire

Re : ssh innaccessible (WAN) et port fermé

Cette fameuse adresse IP que tu caches, de quelle classe est-elle?
Commence-t-elle par 192.168 ou 10. ?

C'est vrai qu'une fois les libellés traduits, cela n'avance pas beaucoup.

Désolé, je sèche, il doit bien exister un mode d'emploi de cette fameuse box, as-tu la possibilité de te connecter directement à celle-ci?


Maxire
Archlinux/Mate + Debian Stretch/Gnome sur portable -- Archlinux/Mate sur poste de travail

Hors ligne

#11 Le 24/05/2017, à 10:41

liwei

Re : ssh innaccessible (WAN) et port fermé

Je ne peux avoir qu'un mode d'emploi en chinois (oui, je suis en Chine) et j'y capte un belin.
l'adresse est du genre 100.64....

Et oui, j'y ai un accès direct.

Hors ligne

#12 Le 24/05/2017, à 10:43

maxire

Re : ssh innaccessible (WAN) et port fermé

Informations sur cette adresse 100.64.0.1

[aspire7730z@asus-arch ~]$ whois 100.64.0.1

#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=100.64.0.1?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#

NetRange:       100.64.0.0 - 100.127.255.255
CIDR:           100.64.0.0/10
NetName:        SHARED-ADDRESS-SPACE-RFCTBD-IANA-RESERVED
NetHandle:      NET-100-64-0-0-1
Parent:         NET100 (NET-100-0-0-0-0)
NetType:        IANA Special Use
OriginAS:       
Organization:   Internet Assigned Numbers Authority (IANA)
RegDate:        2012-03-13
Updated:        2016-04-11
Comment:        This block is used as Shared Address Space. Traffic from these addresses does not come from IANA. IANA has simply reserved these numbers in its database and does not use or operate them. We are not the source of activity you may see on logs or in e-mail records. Please refer to http://www.iana.org/abuse/ 
Comment:        
Comment:        Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router interfaces when addresses are identical on two different interfaces. 
Comment:        
Comment:        This block was assigned by the IETF in the Best Current Practice document, 
Comment:        RFC 6598 which can be found at: 
Comment:        http://tools.ietf.org/html/rfc6598
Ref:            https://whois.arin.net/rest/net/NET-100-64-0-0-1


OrgName:        Internet Assigned Numbers Authority
OrgId:          IANA
Address:        12025 Waterfront Drive
Address:        Suite 300
City:           Los Angeles
StateProv:      CA
PostalCode:     90292
Country:        US
RegDate:        
Updated:        2012-08-31
Ref:            https://whois.arin.net/rest/org/IANA


OrgTechHandle: IANA-IP-ARIN
OrgTechName:   ICANN
OrgTechPhone:  +1-310-301-5820 
OrgTechEmail:  abuse@iana.org
OrgTechRef:    https://whois.arin.net/rest/poc/IANA-IP-ARIN

OrgAbuseHandle: IANA-IP-ARIN
OrgAbuseName:   ICANN
OrgAbusePhone:  +1-310-301-5820 
OrgAbuseEmail:  abuse@iana.org
OrgAbuseRef:    https://whois.arin.net/rest/poc/IANA-IP-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#

[aspire7730z@asus-arch ~]$ 

Je dirais que c'est l'adresse de la box.


Maxire
Archlinux/Mate + Debian Stretch/Gnome sur portable -- Archlinux/Mate sur poste de travail

Hors ligne

#13 Le 24/05/2017, à 10:57

maxire

Re : ssh innaccessible (WAN) et port fermé

Plus d'information sur les adresses 100.64 Adresses Ips réservées, ce sont des adresses privées, donc tu peux donner sa valeur sans problème, mais cela n'a aucun intérêt, la seule adresse qui importe est celle de la box.


Maxire
Archlinux/Mate + Debian Stretch/Gnome sur portable -- Archlinux/Mate sur poste de travail

Hors ligne

#14 Le 24/05/2017, à 11:05

maxire

Re : ssh innaccessible (WAN) et port fermé

Encore plus d'information sur ces adresses 100.64 Partage d'adresses publiques, j'ai la vague impression que l'accès à ton serveur ssh de l'extérieur est impossible, à la lecture de cet extrait de la page:

Wiki Carrier-grade NAT a écrit :

It makes it impossible to host services.

Logique si tu partages une même adresse IP publique avec d'autres clients de ton fournisseur.

Mais bon, j'ai peut-être mal compris.

Je pense que contacter le FAI est une bonne idée.

Dernière modification par maxire (Le 24/05/2017, à 11:06)


Maxire
Archlinux/Mate + Debian Stretch/Gnome sur portable -- Archlinux/Mate sur poste de travail

Hors ligne

#15 Le 24/05/2017, à 11:08

liwei

Re : ssh innaccessible (WAN) et port fermé

Donc pour résumer, si je comprends bien:
Le routeur semble bien configuré
Mon serveur SSH semble bien configuré.
Il ne reste que la piste de la box qu'il faudrait configurer en routant le port ssh pour l'ouvrir.
Reste à découvrir un moyen de connaître son IP (vu que ce n'est pas l'IP affichée dans l'interface du routeur puisqu'elle renvoie sur la page d'accueil d'un serveur Apache:/) et de s'y connecter, c'est bien ça?

Hors ligne

#16 Le 24/05/2017, à 11:12

maxire

Re : ssh innaccessible (WAN) et port fermé

C'est bien ça.

As-tu pris connaissance de mes derniers messages?

J'ai un gros doute sur la faisabilité d'une connexion à un quelconque serveur de ton réseau privé à partir du réseau publique.

Dernière modification par maxire (Le 24/05/2017, à 11:13)


Maxire
Archlinux/Mate + Debian Stretch/Gnome sur portable -- Archlinux/Mate sur poste de travail

Hors ligne

#17 Le 25/05/2017, à 04:06

liwei

Re : ssh innaccessible (WAN) et port fermé

Oui, merci. Donc le problème se situerai au niveau du FAI.
Bon, il me reste plus qu'à attendre la semaine prochaine, prendre un mon courage à deux mains et téléphoner au FAI pour tenter de lui expliquer mon problème en Chinois...emoti transpire
Je vous tiendrais au courant de l'évolution...

Dernière modification par liwei (Le 25/05/2017, à 04:09)

Hors ligne

#18 Le 25/05/2017, à 14:29

Barnabé2

Re : ssh innaccessible (WAN) et port fermé

liwei a écrit :

Donc pour résumer, si je comprends bien:
Le routeur semble bien configuré
Mon serveur SSH semble bien configuré.
Il ne reste que la piste de la box qu'il faudrait configurer en routant le port ssh pour l'ouvrir.
Reste à découvrir un moyen de connaître son IP (vu que ce n'est pas l'IP affichée dans l'interface du routeur puisqu'elle renvoie sur la page d'accueil d'un serveur Apache:/) et de s'y connecter, c'est bien ça?



Salut,


Dans ta box, tu vas dans NAT/PAT, tu ouvres :

Secure shell server ( SSH ) - port interne 22 - port externe 22 - protocole les deux ou TCP - appareil " routeur ou box ".


ps : avant vérifie les mises à jour de ta box.

Dernière modification par Barnabé2 (Le 25/05/2017, à 18:16)


Ubuntu 16.04 LTS

Hors ligne