[Abandonné] SSH connexion local via ip publique

dragonfly1206 · Le 05/05/2016, à 09:55

Bonjour,

Etant seulement lecteur d'ubuntu-fr, je vous remercie pour tous les problèmes déjà résolus sans même à avoir poster une seule demande
Les tuto sont très clairs et les réponses sur le forum répondent quasi systématiquement à toutes mes questions

Aujourd'hui, je me confronte à un problème que je n'arrive pas à résoudre malgré mes recherches !

Je vais pour mon 1er post, essayé d'être clair car étant toujours "novice" dans le monde du Pingouin, je n'aurai peut-être pas tous les termes techniques adéquates ( veuillez m'en excuser par avance )

J'ai lu quelque poste pensant avoir le même problème mais pas vraiment. si le sujet existe déjà j'en suis désolé.

Mon problème : je pense que le titre parle de lui même
En détails : concernant la connexion ssh sur mes 2 machines ( une vm sur ubuntu avec IHM, et une machine physique sur ubuntu server )

j'arrive à me connecter à partir du local et à distance via ip publique. vous me direz alors .. ou est le problème ?

Récemment je suis passé de la freebox v6 à la livebox v3 ( pour la fibre )
Je n'avais que 2 sessions ssh via putty pour accéder à mes ordi

la configuration des 2 sessions utilisait l'ip publique et tout fonctionnait très bien, hors aujourd'hui, impossible, je suis obligé d'utiliser l'ip local.

En espérant, que je n'ai rien oublié, mais si c'est le cas n'hésitez pas

Ma config Livebox

Baux DHCP statiques

Pare-feu

Configuration NAT/PAT

je vais prendre la config du Pc physique / ubuntu server autrement dit : TITANIUK
j'ai volontairement désactiver le parfeu / retirer les filtres iptables pour essayer à "nu" la connexion

Ssh_Config

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 443
# Use these options to restrict which interfaces/protocols sshd will bind to
ListenAddress ::
ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
HostKey /etc/ssh/ssh_host_ed25519_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 1024

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

MaxStartups 10:30:60
Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
Compression yes

ufw

05-05-2016 09:46:27 : demonfly@TITANIUK ~ > sudo ufw disable
Le pare-feu est arrêté et désactivé lors du démarrage du système

iptables -L

05-05-2016 09:53:07 : demonfly@TITANIUK ~ > sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ufw-before-logging-input  all  --  anywhere             anywhere
ufw-before-input  all  --  anywhere             anywhere
ufw-after-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-reject-input  all  --  anywhere             anywhere
ufw-track-input  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-before-forward  all  --  anywhere             anywhere
ufw-after-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-reject-forward  all  --  anywhere             anywhere
ufw-track-forward  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-before-output  all  --  anywhere             anywhere
ufw-after-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
ufw-reject-output  all  --  anywhere             anywhere
ufw-track-output  all  --  anywhere             anywhere

Chain ufw-after-forward (1 references)
target     prot opt source               destination

Chain ufw-after-input (1 references)
target     prot opt source               destination

Chain ufw-after-logging-forward (1 references)
target     prot opt source               destination

Chain ufw-after-logging-input (1 references)
target     prot opt source               destination

Chain ufw-after-logging-output (1 references)
target     prot opt source               destination

Chain ufw-after-output (1 references)
target     prot opt source               destination

Chain ufw-before-forward (1 references)
target     prot opt source               destination

Chain ufw-before-input (1 references)
target     prot opt source               destination

Chain ufw-before-logging-forward (1 references)
target     prot opt source               destination

Chain ufw-before-logging-input (1 references)
target     prot opt source               destination

Chain ufw-before-logging-output (1 references)
target     prot opt source               destination

Chain ufw-before-output (1 references)
target     prot opt source               destination

Chain ufw-reject-forward (1 references)
target     prot opt source               destination

Chain ufw-reject-input (1 references)
target     prot opt source               destination

Chain ufw-reject-output (1 references)
target     prot opt source               destination

Chain ufw-track-forward (1 references)
target     prot opt source               destination

Chain ufw-track-input (1 references)
target     prot opt source               destination

Chain ufw-track-output (1 references)
target     prot opt source               destination
05-05-2016 09:53:58 : demonfly@TITANIUK ~ >

Oops le mal élevé : MERCI PAR AVANCE

Dernière modification par dragonfly1206 (Le 11/05/2016, à 17:19)

Bigcake · Le 05/05/2016, à 18:47

Bonjour,

Si tout fonctionnait avec la freebox, tu n'a rien a changer sur tes PC (comme tu semble l'entendre)
Je crois que j'ai déjà eu le même pb, il y a très lgtps quand j'étais derrière une livebox.
Je pense que c'est la livebox qui est mal foutu et qui ne permet pas, par défaut, d'attaquer ton IP publique à partir de ton réseau interne.
Si ça a déjà fonctionné avec ta livebox, reboot ta box, ça résoudra peut être le problème.
Sinon essaye par l'entrée DNS (le FQDN) de ta box, il me semble que orange donne des IP publique dynamiques à ses clients donc tu n'as peut-être plus l'IP que tu utilisait pour te connecter.

Dernière modification par Bigcake (Le 05/05/2016, à 18:48)

dragonfly1206 · Le 05/05/2016, à 19:22

Tout d'abord merci pour ta réponse

Bigcake a écrit :

Si tout fonctionnait avec la freebox, tu n'a rien a changer sur tes PC (comme tu semble l'entendre)
Je crois que j'ai déjà eu le même pb, il y a très lgtps quand j'étais derrière une livebox.
Je pense que c'est la livebox qui est mal foutu et qui ne permet pas, par défaut, d'attaquer ton IP publique à partir de ton réseau interne.Si ça a déjà fonctionné avec ta livebox, reboot ta box, ça résoudra peut être le problème.

En effet sur la Freebox, cela fonctionnait simplement "directement" ( elle me manque déjà )
J'avais 2 idées au départ, soit une option que je n'ai pas effectué au niveau du ssh_config pour autoriser l'ip publique via le local. mais en repensant à la freebox je savais que je n'avais pas eu ce problème.

Du coup par élimination, la livebox ...

Bigcake a écrit :

Sinon essaye par l'entrée DNS (le FQDN) de ta box, il me semble que orange donne des IP publique dynamiques à ses clients donc tu n'as peut-être plus l'IP que tu utilisait pour te connecter.

je vais regarder ca, je te tiens au courant

Dernière modification par dragonfly1206 (Le 05/05/2016, à 19:23)

dragonfly1206 · Le 05/05/2016, à 20:40

Bon je reviens vers toi

Bigcake a écrit :

Sinon essaye par l'entrée DNS (le FQDN) de ta box, il me semble que orange donne des IP publique dynamiques à ses clients donc tu n'as peut-être plus l'IP que tu utilisait pour te connecter.

ca va te paraitre bête, et je pensais avoir compris ce que c'était ou bien trouver facilement quelque chose de parlant au sein de l'admin de la box mais ou est-ce que je le trouve et à quoi ca ressemble

est ce que c'est le DNS primaire IPv4 / DNS secondaire IPv4 dont tu parles ?

parce que j'ai une ip publique qui a l'air d'être une IP Fixe ( depuis février et après mainte reboot, elle n'a pas changé )

Dernière modification par dragonfly1206 (Le 05/05/2016, à 20:41)

sinbad83 · Le 05/05/2016, à 21:13

Bonjour,
peux-tu préciser ton besoin ? Tu veux te connecter à distance sur un poste local ? Ou le contraire ?
Si tu veux te connecter de l'extérieur, tu lances une connexion vers ton IP publique

ssh <ton_login>@<IP_Publique>

Et tu mets sur la Freebox (de destination) une redirection du port 22 vers l'IP du poste local destinataire (page Configurer ma Freebox/Redirection):

Port externe:22  Protocole: TCP  IP destination: <IP locale destination>  Port interne: 22

Si tu veux de l'extérieur, te connecter à plusieurs destinations, il faut utiliser plusieurs ports pour faire la distinction.

Dernière modification par sinbad83 (Le 05/05/2016, à 21:15)

dragonfly1206 · Le 05/05/2016, à 21:59

Bonsoir Sinbad et merci pour ta réponse

comme dit plus haut, j'aimerai via mon ordi win10 me connecter via putty au ssh d'un ordinateur local non pas avec l'ip local mais avec l'ip publique , chose que j'ai fait avec ma freebox. mais depuis le passage à la livebox d'orange .. je ne peux plus le faire :'(

sinbad83 a écrit :

Bonjour,
peux-tu préciser ton besoin ? Tu veux te connecter à distance sur un poste local ? Ou le contraire ?
Si tu veux te connecter de l'extérieur, tu lances une connexion vers ton IP publique
ssh <ton_login>@<IP_Publique> 
Et tu mets sur la Freebox (de destination) une redirection du port 22 vers l'IP du poste local destinataire (page Configurer ma Freebox/Redirection):
Port externe:22  Protocole: TCP  IP destination: <IP locale destination>  Port interne: 22
Si tu veux de l'extérieur, te connecter à plusieurs destinations, il faut utiliser plusieurs ports pour faire la distinction.

sinbad83 · Le 06/05/2016, à 07:55

Il y a toujours quelque chose que je ne comprends pas: si tu cherches simplement à te connecter en local d'un poste Win sur un poste Linux, pas besoin de passer par l'IP publique, ni configurer ta Freebox. La seule chose à faire, c'est paramétrer Putty. Regarde la page http://www.coursinforev.org/doku.php/putty pour l'utilisation de Putty.

Dernière modification par sinbad83 (Le 06/05/2016, à 07:56)

carreti · Le 06/05/2016, à 08:35

Hello,

effectivement je ne crois pas qu'il soit possible de tester depuis son LAN l'accès via son adresse publique sur une Livebox, il faut forcement sortir du réseau.
Avant j'avais même un shell account exprès pour tester depuis l'extérieur, autrement en utilisant un VPN ou un proxy qui autorisent le ssh (je ne sais pas si cela existe gratuitement).

Sinon, juste une remarque, c'est une bonne idée d'avoir pris le port 443, ça autorise souvent de traverser en sortant certains firewalls qui interdisent le ssh mais autorisent le https et donc de créer un tunnel ssh et finalement de s'autoriser n'importe quel trafic sur un tel réseau (à condition d'avoir un serveur proxy sur la machine et de ne pas oublier le DNS pour être vraiment discret), par contre rien n'oblige sur la box à NATer le 443 extérieur vers un 443 intérieur. Tu pourrais très bien envisager, si rien d'autre ne tourne sur le port 22 de cette machine (TITANIUK ou sur une VM qu'elle hébergerait) de NATer le 443 extérieur vers le port 22 à l'intérieur, mais c'est juste un détail.

Dernière modification par carreti (Le 06/05/2016, à 09:48)

dragonfly1206 · Le 06/05/2016, à 08:43

Hello,

Comme dis dans le 1er message. Ça marchait avant avec la freebox et je voulais que ça marche de la même façon.

Pourquoi je tiens tant à ce que ça marche comme ça. Étant donné que je veux comprendre pourquoi aujourd'hui avec livebox d'Orange ca ne marche plus.

Je suis "bidouilleur" plus ou moins novice et j'aimerai apprendre plus (soif d'apprendre / curieux ) et être autonome au cas où un jour ça se renouvelle ici ou ailleurs au boulot par exemple.

Comme je l'ai dis généralement je teste toutes les possibilités que je connais. Je regarde sur le net sans poster jusqu'à que je craque ça fait 3 mois que je cherche lol.

Tout simplement :-)

sinbad83 · Le 06/05/2016, à 09:03

Pour la LiveBox,
https://doc.ubuntu-fr.org/livebox
https://assistance.orange.fr/medias/woo … 151008.pdf
http://assistance.orange.fr/livebox-mod … ebox-modem
http://www.ghanassia.com/fichier/LIVEBO … _2_ADS.pdf
Mais cela n'a toujours rien à voir avec une connexion locale SSH...http://www.ghanassia.com/fichier/LIVEBOX/Guide_Livebox_2_ADS.pdf

Compte supprimé · Le 06/05/2016, à 09:07

Bonjour,
Quand j'étais chez Orange, je ne pouvais pas utiliser l'IP publique pour une connexion interne au réseau local. Seule l'IP locale fonctionnait.

Pour approfondir, il faudrait chercher s'il existe un paramétrage de la Livebox qui peut passer outre.

Dernière modification par Compte supprimé (Le 06/05/2016, à 09:08)

sinbad83 · Le 06/05/2016, à 09:33

De toute façon, on voit dans la copie d'écran NAT/PAT qu'il n'y a rien de configuré pour le poste Windows (192.168.1.17).

Dernière modification par sinbad83 (Le 06/05/2016, à 09:35)

dragonfly1206 · Le 06/05/2016, à 11:10

Merci pour vos confirmation ! ca me rassure, j'ai pas raté un chapitre

@carreti : le port 443 effectivement , du boulot il n'y a que celui la qui fonctionne, les ports personnalisés et le port 22 ne sont pas "autorisés"

Cependant il y a quelque chose qui m'intrigue. Dans l'admin de la LiveBox, il est possible de configuré le pare-feu selon plusieurs méthode dont la méthode "personnaliser".

Quand je sélectionne cette option "personnaliser", il y a déjà des ports prédéfinis du genre : HTTP ==> port :80 / HTTPs : 443 , ainsi que celui du ssh : 22.

Quand je modifie le HTTP en 8080 ==> je n'ai plus accès aux sites internet.
ce qui veut dire que le port 443 : est déjà utilisé par la box pour le HTTPs, ce qui je présume pourrait bloquer la tentative de ma connexion ssh via ip publique avec le même port.

Ne vous inquiétez pas j'ai essayé tenter de changer de port pour ma connexion ssh en source :14443 destination : 14443 et évidement dans le sshd_config malheureusement ca ne change rien au problème. ( snif snif )
et surtout que j'ai pour mes tests mis sans parefeu ..

Je tourne en rond comme un hamster !!!

j'aimerai tenter la solution de Bigcake, mais je n'ai pas compris sa demande, si quelqu'un peut essayer d'éclairer ma lanterne ? SVP ?

Bigcake a écrit :

Sinon essaye par l'entrée DNS (le FQDN) de ta box, il me semble que orange donne des IP publique dynamiques à ses clients donc tu n'as peut-être plus l'IP que tu utilisait pour te connecter.

sinbad83 · Le 06/05/2016, à 11:46

Vérifie peut-être ton IP publique

wget -qO- icanhazip.com

dragonfly1206 · Le 06/05/2016, à 11:54

sinbad83 a écrit :

Vérifie peut-être ton IP publique
wget -qO- icanhazip.com

humm Kezako et comment ca marche ?

y a t - il vraiment besoin d'un "utils" pour avoir son ip publique ?

pour ma part je pense que mon ip publique est bien la bonne vu que j'accède à mon ssh & mon site internet via mon téléphone portable en 4G

dragonfly1206 · Le 10/05/2016, à 13:10

Bonjour,

Ok j'ai vu à quoi ca servait, mais bon j'avais déjà mon ip publique donc toujours pas résolu à l'immédiat...

Je présume qu'avec orange on ne pourra jamais le faire du coup.

D'ailleurs je ne le saurais jamais, vu que j'ai résilié avec orange et je repasse sur la Freebox ( pour autres Raisons ) tant pis pour la fibre optique, on attendre que Free le fasse

Comment je clos le sujet qui est sans correction disponible ???
je met dans le titre Résolu Mais ? Pas de solution ???

Compte supprimé · Le 10/05/2016, à 13:26

Tu peux aussi mettre "Abandonné"

Dernière modification par Compte supprimé (Le 11/05/2016, à 17:24)

dragonfly1206 · Le 11/05/2016, à 17:20

Merci, c'est fait

dragonfly1206 · Le 25/05/2016, à 13:38

Bonjour,

je ne relance pas le débat mais juste pour vous informer que je suis retourné avec la freebox et ça fonctionne très bien !

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 05/05/2016, à 09:55

[Abandonné] SSH connexion local via ip publique

#2 Le 05/05/2016, à 18:47

Re : [Abandonné] SSH connexion local via ip publique

#3 Le 05/05/2016, à 19:22

Re : [Abandonné] SSH connexion local via ip publique

#4 Le 05/05/2016, à 20:40

Re : [Abandonné] SSH connexion local via ip publique

#5 Le 05/05/2016, à 21:13

Re : [Abandonné] SSH connexion local via ip publique

#6 Le 05/05/2016, à 21:59

Re : [Abandonné] SSH connexion local via ip publique

#7 Le 06/05/2016, à 07:55

Re : [Abandonné] SSH connexion local via ip publique

#8 Le 06/05/2016, à 08:35

Re : [Abandonné] SSH connexion local via ip publique

#9 Le 06/05/2016, à 08:43

Re : [Abandonné] SSH connexion local via ip publique

#10 Le 06/05/2016, à 09:03

Re : [Abandonné] SSH connexion local via ip publique

#11 Le 06/05/2016, à 09:07

Re : [Abandonné] SSH connexion local via ip publique

#12 Le 06/05/2016, à 09:33

Re : [Abandonné] SSH connexion local via ip publique

#13 Le 06/05/2016, à 11:10

Re : [Abandonné] SSH connexion local via ip publique

#14 Le 06/05/2016, à 11:46

Re : [Abandonné] SSH connexion local via ip publique

#15 Le 06/05/2016, à 11:54

Re : [Abandonné] SSH connexion local via ip publique

#16 Le 10/05/2016, à 13:10

Re : [Abandonné] SSH connexion local via ip publique

#17 Le 10/05/2016, à 13:26

Re : [Abandonné] SSH connexion local via ip publique

#18 Le 11/05/2016, à 17:20

Re : [Abandonné] SSH connexion local via ip publique

#19 Le 25/05/2016, à 13:38

Re : [Abandonné] SSH connexion local via ip publique

Pied de page des forums