Créer un tunnel SSH ?

inconnu · Le 12/02/2009, à 02:22

Bonjour, je voudrais créer un tunnel SSH pour le protocole VNC, car je veux pouvoir accéder à mon ordinateur par mot de passe depuis chez une amie. Le truc c'est que je veux rester avec le programme VNC par défaut(je ne veux pas utiliser par exemple : xvnc4viewer) donc je veux simplement tunneler le protocole VNC, j'avais vu un lien sur un programme qui permet de tunneler un protocole, mais je ne le trouve plus.

D'autre part comment faire une suggestion à l'organisme Linux pour améliorer le VNC par défaut sous Ubuntu pour qu'on puisse avoir une case à cocher pour choisir ou non la sécurité SSH pour VNC, et choisir (comme dans le terminal lorsqu'on se connecte avec la commande ssh) si on fait une connexion avec clé auto générée ou avec clé spécifiée. Je pense que cela simplifierai la tâche.

Dernière modification par Redman31 (Le 12/02/2009, à 02:28)

Bhajnaal · Le 12/02/2009, à 11:34

On peut tunnelliser à peu près n'importe quoi avec la commande ssh et l'option -L :

ssh -L 6900:localhost:5900 login@host

Tu connecteras le client vnc sur localhost:6900

Je te suggère d'utiliser les options suivantes :

ssh -C2TNn -o CompressionLevel=9 -L 6900:localhost:5900 login@host

Ça n'ouvrira pas de console sur le serveur, pour interrompre la connexion il faudra presser les touches Ctrl+c.

Jette un coup d'œil au manuel de ssh

Dernière modification par Bhajnaal (Le 12/02/2009, à 11:35)

inconnu · Le 13/02/2009, à 00:17

Bhajnaal a écrit :

On peut tunnelliser à peu près n'importe quoi avec la commande ssh et l'option -L :
ssh -L 6900:localhost:5900 login@host
Tu connecteras le client vnc sur localhost:6900

selon la commande

man ssh

je trouve

[-L  [bind_address:]port:host:hostport]

Donc 6900 c'est le port depuis lequel le client distant se connecte, localhost où il se connecte et 5900 le port depuis lequel le serveur local, passe la connexion. Mais pourquoi le port du client et du serveur sont différent ? VNC est sur un seul port non ? Donc est-ce 6900 ou 5900 et quand je vais aller configurer l'ordi client pour tunnelliser VNC je dois faire la même commande, n'est-ce pas ?

Et cette commande Tunnelilise que pour la session ? Si je ferme une des 2 sessions ou que je reboot Ubuntu ou le ferme, il faudra la retaper à la prochaine session ? Si oui ça n'est pas un problème en fait.

Dernière modification par Redman31 (Le 13/02/2009, à 00:21)

kralisec · Le 13/02/2009, à 03:06

je me permets de répondre @Bhajnaal

presque ...

"et 5900 le port depuis lequel le serveur local, passe la connexion"
et 5900 le port VERS lequel le serveur local passe la connexion (euhh ... y'a pas de "serveur" local ?)

Le port du serveur est le port sur lequel vnc est en attente d'une connexion: 5900 par défaut
la valeur 6900 est prise au hasard (mieux vaut éviter les ports < 1000),
cela peut être 5900 mais si tu as déjà un vnc en attente local: cela ne vas pas fonctionner

exemple sur mon poste:

ssh -L 5900:localhost:5900 login@host
Password: xxxxx
bind: Address already in use
channel_setup_fwd_listener: cannot listen to port: 5900
Could not request local forwarding.

voilivoilou ;-)

a+,
Laurent.

inconnu · Le 13/02/2009, à 03:55

Merci donc de mon côté j'en aurai pas de VNC déjà en attente en local mais ça sera que le mien qui sera en attente d'un autre distant.:)

Donc cette commande je la fais pour me connecter au VNC donc c'est le client qui veut se connecter au VNC distant qui tapes cette commande, c'est ça ?

En local met avec le hostport à 6900 ça marche pas donc je peux pas tester mais pas grave. Mais je voudrais être sûr que ça marchera quand je serai chez ma copine. Donc si je me trompes pas je tapes la commande, et ensuite une fois activé, la commande ouvre VNC(de Ubuntu donc l'interface graphique) connecté au serveur ?

Dernière modification par Redman31 (Le 13/02/2009, à 11:39)

Bhajnaal · Le 13/02/2009, à 12:50

Je n'arrivais plus à accéder à ce fil, c'est bizarre !

La commande ssh est effectivement à exécuter côté client

Pour préciser un peu le fonctionnement de la commande je vais la détailler :

ssh -L 6900:localhost:5900 login@host

-L indique qu'on veut ouvrir un tunnel

"6900:" Comme l'a dit kralisec, j'ai choisi arbitrairement 6900 pour éviter les ports déjà utilisés, celui-ci est donc ouvert en local.

"localhost:5900" Cette partie concerne le serveur : une fois connecté en ssh il ouvre un tunnel de ton port local 6900 vers le port local 5900 du serveur. À la place de localhost on pourrait mettre une autre adresse pour "rebondir" vers celle-ci à partir du serveur.

Donc si je me trompes pas je tapes la commande, et ensuite une fois activé, la commande ouvre VNC(de Ubuntu donc l'interface graphique) connecté au serveur ?

Une fois la connexion ssh établie, ton client vnc habituel doit se connecter à ton port local 6900 qui enverra tout vers le port 5900 distant au travers d'un tunnel crypté.

Par exemple :

ssh -L 6900:localhost:5900 naal@mon-domaine.org

puis dans une autre console :

xvnc4viewer localhost:6900

Tout ce que j'envoie sur localhost:6900 est en réalité envoyé à mon-domaine.org puis localhost:5900.

J'espère que ce n'est pas trop confus

Dernière modification par Bhajnaal (Le 13/02/2009, à 15:12)

max edroume · Le 13/02/2009, à 13:15

euh ... vous avez vu qu'il y a de la doc ICI et LÀ ?

inconnu · Le 13/02/2009, à 14:07

max edroume : Ton deuxième lien est invalide, et pour le premier lien j'ai déjà précisé que je veux pas utiliser x14xncviewer(je suis pas sûr du nom) et X11vnc car la personne qui utilisera VNC n'a pas forcément des connaissances pour mettre au point se système. Donc je veux une commande simple.

Bhajnaal

Cela veut t'il dire qu'il faut utiliser aussi la commande

xvcn4viewer localhost:6900

La première commande seule ne suffit pas ?

Je re précise(je m'étais mal exprimé avant) que je veux en tout cas passer par vinagre autrement dit "Bureau à distance".

C'est ce qui serait le plus intuitif et simple à utiliser pour que ma petite amie puisse configurer l'autorisation de visualisation voire contrôle avec ou sans mot de passe/demande d'autorisation

Ensuite du côté pratique la visualisation et contrôle du bureau à distance et bien avec vinagre.

Bhajnaal · Le 13/02/2009, à 15:06

La première commande ouvre le tunnel, la seconde est juste un exemple de ce qu'il faudrait taper pour ton client vnc.

La manipulation fonctionne quel que soit le client vnc, donc avec vinagre. Tu dois simplement te connecter à localhost:6900

max edroume · Le 13/02/2009, à 15:11

Non, les deux liens sont valides. C'est juste que le serveur où est située la doc a des problèmes en ce moment...

Si tu tiens absolument à utiliser vinagre plutôt que xvnc4viewer, c'est ton choix. Encore que le deuxième soit considéré meilleur que le premier, enfin bref...
Mais de toute façon ça ne change rien. Ce sont des clients vnc, c'est tout. Il suffit d'adapter ce que tu lis dans la doc au client que tu choisis.

La première commande seule ne suffit pas ?

Non elle ne suffit pas, elle ne sert qu'à tunneliser, il faut lancer un client vnc.

A part ça, tu n'es pas très clair:

pour que ma petite amie puisse configurer l'autorisation de visualisation voire contrôle avec ou sans mot de passe/demande d'autorisation

ceci est typiquement la description de la configuration du "bureau à distance". Or ce n'est pas vinagre qui est configuré ainsi, c'est vino. C'est à dire le serveur vnc!

Peux-tu préciser exactement ce que tu cherches à faire? Quelle machine doit prendre le contrôle de l'autre?
Parce que entre ton premier post et le dernier, il y a contradiction

kralisec · Le 13/02/2009, à 19:37

Effectivement: si c'est juste pour accéder à une machine "host" sur le port 5900
alors une commande directe comme vncviewer host doit fonctionner

Si cela ne fonctionne pas c'est qu'un firewall bloque l'accès sur le port 5900
c'est donc un choix de filtrer le port 5900 et de laisse le port 22 de ssh ouvert ?

On utilise une redirection de port pour accéder à un service d'une machine qui n'est pas accessible en direct,
en clair: on met un port local quelconque sur la machine locale en communication
avec un port sur une autre machine (appelé "port distant": ce port n'est pas accessible directement)

exemple type: je suis qque part sur internet, je veux accéder à l'écran d'une machine qui se trouve derrière un firewall,
je fais qque chose comme:
ssh -L 6900:ip_machine_derrière_firewall:5900 login@firewall

C'est peut-être pour cela que nos exemples ne sont pas très parlant, en fait il ne font rien d'utile
(sauf si un firewall bloque le port en directe)

a+,
Laurent.

inconnu · Le 14/02/2009, à 06:36

Alors je récapitule je voudrais que depuis l'ordi de ma copine on puisse accéder au mien, après je me fiche du nom que vous donner mais je parle de la fonctionnalité bureau distant autant pour la configurer que pour la visualisation apparemment la commande vinagre exécute bien le visualiseur VNC par défaut de Ubuntu. Donc le nom y a en plein donc je m'y perds donc je m'attarde pas sur le nom.

Voilà un pote m'a dit que c'était pas vraiment la peine de me prendre la tête car je prend pas de risque sauf avec les mails frauduleux, en gros mon ip des sites auxquels je visite l'ont. Ceux qui se connecter avec moi sur MSN l'ont mais c'est tout. Donc puisque c'est trop compliqué à comprendre avec la commande terminal je vais faire sans.

Parce que je trouve que c'est un peu le bordel pour tunnelier le protocole VNC. Et sur l'espace brainstorm de Ubuntu Fondation(le site) j'ai suggéré aux développeurs d'implémenter la sécurité SSH au protocole VNC(logiciel par défaut aussi) par défaut de Ubuntu http://brainstorm.ubuntu.com/idea/18013/. En espérant que ça sois mis à jour bientôt.

Dernière modification par Redman31 (Le 14/02/2009, à 06:40)

Bhajnaal · Le 14/02/2009, à 10:03

Sans ssh, il te suffit de te connecter avec le client par défaut comme d'habitude
Il faut juste veiller à ce que la session soit déjà ouverte, il me semble que le serveur vnc ne se lance pas avant.

Sinon tu peux utiliser NX de nomachine qui passe par ssh, et a l'avantage d'être beaucoup plus fluide. En revanche c'est un programme fermé.

Dernière modification par Bhajnaal (Le 14/02/2009, à 10:04)

inconnu · Le 15/02/2009, à 01:14

Je vais faire normalement avec "Bureau à distance" mais pas avec le mot de passe mais avec la demande de confirmation, en attendant que Ubuntu sois mise à jour avec une fonctionnalité de sécurité SSH intégré à "Bureau à distance".

Compte supprimé · Le 30/09/2015, à 20:53

Tuto : Connexions VNC distantes sécurisées dans un tunnel SSH et tunnel SSH inversé.

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 12/02/2009, à 02:22

Créer un tunnel SSH ?

#2 Le 12/02/2009, à 11:34

Re : Créer un tunnel SSH ?

#3 Le 13/02/2009, à 00:17

Re : Créer un tunnel SSH ?

#4 Le 13/02/2009, à 03:06

Re : Créer un tunnel SSH ?

#5 Le 13/02/2009, à 03:55

Re : Créer un tunnel SSH ?

#6 Le 13/02/2009, à 12:50

Re : Créer un tunnel SSH ?

#7 Le 13/02/2009, à 13:15

Re : Créer un tunnel SSH ?

#8 Le 13/02/2009, à 14:07

Re : Créer un tunnel SSH ?

#9 Le 13/02/2009, à 15:06

Re : Créer un tunnel SSH ?

#10 Le 13/02/2009, à 15:11

Re : Créer un tunnel SSH ?

#11 Le 13/02/2009, à 19:37

Re : Créer un tunnel SSH ?

#12 Le 14/02/2009, à 06:36

Re : Créer un tunnel SSH ?

#13 Le 14/02/2009, à 10:03

Re : Créer un tunnel SSH ?

#14 Le 15/02/2009, à 01:14

Re : Créer un tunnel SSH ?

#15 Le 30/09/2015, à 20:53

Re : Créer un tunnel SSH ?

Pied de page des forums