Ubuntu-fr

kastopidiak

Re : connexion ssh

La machine depuis laquelle tu teste est bien en IPv6 ? Retour, sur celle-ci de :

ip a

iznobe

Re : connexion ssh

En plus des demandes precedentes , montre sur le serveur :

sudo systemctl status ssh sshd

@kasto , d' apres le #30 , on dirait bien que pour les 2 clients , le 2eme etant un smartphone , oui

EDIT , ba en fait non , vu :

Ici client en dehors du réseaux :

...
4: enx020200506031: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 02:02:00:50:60:31 brd ff:ff:ff:ff:ff:ff
    inet 192.168.42.196/24 brd 192.168.42.255 scope global dynamic noprefixroute enx020200506031
       valid_lft 3578sec preferred_lft 3578sec
    inet6 fe80::1cfe:5690:a9f9:438b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

@Edrahil511
pour tester telecharge l' appli juiceSSH sur ton smartphone et en données mobiles connecte toi a ton serveur en IPV6 , pas facile pour entrer l' ip à la main je le reconnais ...

là , si j' ai bien compris , tu as connecté le tel en USB a ton ordi , et tu ne disposes pas dans ce cas de l' IPV6 .
pour que l ' IPV6 soit fonctionnel en " externe " , il faut une ligne comme cela ( sur le serveur ET le client ) :

2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether bc:ae:c5:21:0d:47 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.100/24 brd 192.168.1.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6  2001:861:8c87:61e0:beae:c5ff:fe21:d47/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86323sec preferred_lft 14323sec
    inet6 fe80::beae:c5ff:fe21:d47/64 scope link
       valid_lft forever preferred_lft forever

Dernière modification par iznobe (Hier à 18:44)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

O_20_100_O

Re : connexion ssh

normalement, maintenant la connexion par mot de passe est bien désactivé

Oui !

ssh edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47
edrahil@2001:861:8c87:61e0:beae:c5ff:fe21:d47: Permission denied (publickey).

Et pas besoin de connecter le téléphone pour "être à l'extérieur" quand tu vas vers une IPV6 publique. Tu peux le faire à partir du PC client de ton réseau local si l'IPV6 y est activée.

Dernière modification par O_20_100_O (Hier à 19:08)

iznobe

Re : connexion ssh

bizzarrement , j' ai l' impression que le fichier " /etc/ssh/sshd_config.d/config.perso.conf " n ' est pas pris en compte .
je sais pas si c' est pareil pour le demandeur , mais voici chez moi , sur le serveur :

iznobe@k-pi3:~ $ cat /etc/ssh/sshd_config.d/config.perso.conf
# ne permet que les adresses locales IPV4 :
PasswordAuthentication no
Match Address 192.168.1.0/24
    PasswordAuthentication yes
iznobe@k-pi3:~ $ cat /etc/ssh/sshd_config
#	$OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile	.ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem	sftp	/usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#	X11Forwarding no
#	AllowTcpForwarding no
#	PermitTTY no
#	ForceCommand cvs server
iznobe@k-pi3:~ $

Dans le doute , apres les modifications , j ' ai redemarré le pi .

je recupere mon ip publique de la box dans lequel est le pi et de mon ordi , je passe :

iznobe@iznobe-pc:/datas/iznobe/Téléchargements$ ssh iznobe@XXX.XXX.XXX.XX -p XXXX
The authenticity of host '[XXX.XXX.XXX.XX]:XXXX ([XXX.XXX.XXX.XX]:XXXX)' can't be established.
ED25519 key fingerprint is SHA256:v/Kyu3LuNZv6gjFj6cnW7WsyMH8GVHAY6Yq7bTI1vypyc.
This host key is known by the following other names/addresses:
    ~/.ssh/known_hosts:1: [hashed name]
    ~/.ssh/known_hosts:3: [hashed name]
Are you sure you want to continue connecting (yes/no/[fingerprint])? no
Host key verification failed.
iznobe@iznobe-pc:/datas/iznobe/Téléchargements$

et ca fonctionne ...
habituellement je ne me sers pas de cette ip qui n' est pas fixe , j ' utilise tailscale , mais bon , pour dire , curieux non ?
mon ordi est sous ubuntu 24.04 , et le serveur est sous raspbian bullseye , mais je pense pas que ce soit là le soucis .

Dernière modification par iznobe (Hier à 20:21)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Edrahil511

Re : connexion ssh

La machine depuis laquelle tu teste est bien en IPv6 ? Retour, sur celle-ci de :

ip a

tutur@tutur-System-Product-Name:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s31f6: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 18:31:bf:b1:b3:b6 brd ff:ff:ff:ff:ff:ff
3: enx020200506031: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 02:02:00:50:60:31 brd ff:ff:ff:ff:ff:ff
    inet 192.168.42.196/24 brd 192.168.42.255 scope global dynamic noprefixroute enx020200506031
       valid_lft 3585sec preferred_lft 3585sec
    inet6 fe80::1cfe:5690:a9f9:438b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

En plus des demandes precedentes , montre sur le serveur :

sudo systemctl status ssh sshd

edrahil@edralia:~$ sudo systemctl status ssh sshd
Unit sshd.service could not be found.
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/usr/lib/systemd/system/ssh.service; disabled; preset: enabled)
     Active: active (running) since Fri 2025-01-17 17:14:47 CET; 13h ago
TriggeredBy: ● ssh.socket
       Docs: man:sshd(8)
             man:sshd_config(5)
   Main PID: 4224 (sshd)
      Tasks: 1 (limit: 19100)
     Memory: 3.1M (peak: 4.1M)
        CPU: 499ms
     CGroup: /system.slice/ssh.service
             └─4224 "sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups"

janv. 17 21:10:17 edralia sshd[4485]: Connection closed by authenticating user edrahil 192.168.1.11 port 44636 [preauth]
janv. 17 21:11:11 edralia sshd[4487]: Connection closed by authenticating user edrahil 192.168.1.11 port 44514 [preauth]
janv. 17 21:14:50 edralia sshd[4491]: Accepted publickey for edrahil from 192.168.1.11 port 49886 ssh2: ED25519 SHA256:qgA3xlPOTO8pEUZqa8nrBENdmikkRPm5m3+m>
janv. 17 21:14:50 edralia sshd[4491]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
janv. 17 21:22:08 edralia sshd[4711]: Accepted publickey for edrahil from 192.168.1.11 port 50389 ssh2: ED25519 SHA256:qgA3xlPOTO8pEUZqa8nrBENdmikkRPm5m3+m>
janv. 17 21:22:08 edralia sshd[4711]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
janv. 18 07:00:11 edralia sshd[6341]: Accepted publickey for edrahil from 192.168.1.11 port 53298 ssh2: RSA SHA256:eGIaHQjErF/XtVy0csGDzas2LBOo9EiaKoWYgeg0>
janv. 18 07:00:11 edralia sshd[6341]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
janv. 18 07:08:09 edralia sshd[6509]: Accepted publickey for edrahil from 192.168.1.11 port 41898 ssh2: RSA SHA256:eGIaHQjErF/XtVy0csGDzas2LBOo9EiaKoWYgeg0>
janv. 18 07:08:09 edralia sshd[6509]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
...skipping...
Unit sshd.service could not be found.
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/usr/lib/systemd/system/ssh.service; disabled; preset: enabled)
     Active: active (running) since Fri 2025-01-17 17:14:47 CET; 13h ago
TriggeredBy: ● ssh.socket
       Docs: man:sshd(8)
             man:sshd_config(5)
   Main PID: 4224 (sshd)
      Tasks: 1 (limit: 19100)
     Memory: 3.1M (peak: 4.1M)
        CPU: 499ms
     CGroup: /system.slice/ssh.service
             └─4224 "sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups"

janv. 17 21:10:17 edralia sshd[4485]: Connection closed by authenticating user edrahil 192.168.1.11 port 44636 [preauth]
janv. 17 21:11:11 edralia sshd[4487]: Connection closed by authenticating user edrahil 192.168.1.11 port 44514 [preauth]
janv. 17 21:14:50 edralia sshd[4491]: Accepted publickey for edrahil from 192.168.1.11 port 49886 ssh2: ED25519 SHA256:qgA3xlPOTO8pEUZqa8nrBENdmikkRPm5m3+m>
janv. 17 21:14:50 edralia sshd[4491]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
janv. 17 21:22:08 edralia sshd[4711]: Accepted publickey for edrahil from 192.168.1.11 port 50389 ssh2: ED25519 SHA256:qgA3xlPOTO8pEUZqa8nrBENdmikkRPm5m3+m>
janv. 17 21:22:08 edralia sshd[4711]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
janv. 18 07:00:11 edralia sshd[6341]: Accepted publickey for edrahil from 192.168.1.11 port 53298 ssh2: RSA SHA256:eGIaHQjErF/XtVy0csGDzas2LBOo9EiaKoWYgeg0>
janv. 18 07:00:11 edralia sshd[6341]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
janv. 18 07:08:09 edralia sshd[6509]: Accepted publickey for edrahil from 192.168.1.11 port 41898 ssh2: RSA SHA256:eGIaHQjErF/XtVy0csGDzas2LBOo9EiaKoWYgeg0>
janv. 18 07:08:09 edralia sshd[6509]: pam_unix(sshd:session): session opened for user edrahil(uid=1000) by edrahil(uid=0)
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
~
 ESCOC

C'est le retour attendu ? car cela se répète plusieurs fois (sans différence apriori)

@Edrahil511
pour tester telecharge l' appli juiceSSH sur ton smartphone et en données mobiles connecte toi a ton serveur en IPV6 , pas facile pour entrer l' ip à la main je le reconnais ...

là , si j' ai bien compris , tu as connecté le tel en USB a ton ordi , et tu ne disposes pas dans ce cas de l' IPV6 .
pour que l ' IPV6 soit fonctionnel en " externe " , il faut une ligne comme cela ( sur le serveur ET le client ) :

2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether bc:ae:c5:21:0d:47 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.100/24 brd 192.168.1.255 scope global enp2s0
       valid_lft forever preferred_lft forever
    inet6  2001:861:8c87:61e0:beae:c5ff:fe21:d47/64 scope global dynamic mngtmpaddr noprefixroute
       valid_lft 86323sec preferred_lft 14323sec
    inet6 fe80::beae:c5ff:fe21:d47/64 scope link
       valid_lft forever preferred_lft forever

Mais j'ai bien l'impression qu'il y ai une ipV6 sur le serveur et sur le client d'après les retour donné post #30 ou je me trompe ?

Avec JuiceSSH je n'y arrive pas non plus :  No adress associated with hostname

Dernière modification par Edrahil511 (Aujourd'hui à 07:48)

kastopidiak

Re : connexion ssh

Ton retour montre que le client n'a pas d'IPv6 publique :

3: enx020200506031: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 02:02:00:50:60:31 brd ff:ff:ff:ff:ff:ff
    inet 192.168.42.196/24 brd 192.168.42.255 scope global dynamic noprefixroute enx020200506031
       valid_lft 3585sec preferred_lft 3585sec
    inet6 fe80::1cfe:5690:a9f9:438b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Il faut vérifier que ton opérateur fourni bien une connectivité IPv6 et le cas échéant ta configuration réseau.

---
@iznobe : ta configuration doit fonctionner mais je ne comprends pas ton retour où c'est toi qui refuse la connexion.

Edrahil511

Re : connexion ssh

Ton retour montre que le client n'a pas d'IPv6 publique :

3: enx020200506031: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 02:02:00:50:60:31 brd ff:ff:ff:ff:ff:ff
    inet 192.168.42.196/24 brd 192.168.42.255 scope global dynamic noprefixroute enx020200506031
       valid_lft 3585sec preferred_lft 3585sec
    inet6 fe80::1cfe:5690:a9f9:438b/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Il faut vérifier que ton opérateur fourni bien une connectivité IPv6 et le cas échéant ta configuration réseau.

---
@iznobe : ta configuration doit fonctionner mais je ne comprends pas ton retour où c'est toi qui refuse la connexion.

Désolé, j'aimerai bien comprendre , moi je vois cette ligne

inet6 fe80::1cfe:5690:a9f9:438b

N'est ce pas l'ipV6 ??

Mais bon d'après tes dire le problème viendrai de la tout simplement, donc, ma connexion téléphone 4/5G n'a pas d'ipV6. Je veux bien une explication pour ce que j'ai dit au dessus pour pouvoir comprendre et regarder de mon coté si je peux changer cela

edit : c'est le "noprefixroute" qui dit que j'en ai pas ? il m'écrit pourtant bien un truc qui ressemble à un ipV6 juste avant

Dernière modification par Edrahil511 (Aujourd'hui à 08:49)

O_20_100_O

Re : connexion ssh

en ipv6 il y a 2 choses:
- Le FAI qui te donne un subnet sur lequel tu définis autant d'ipv6 que tu veux
- Une ipv6 auto-attribuée privée uniquement adressable sur le réseau local (un peu l'équivalent d'un réseau 192.168.1.0/24 autoconfiguré)

le réseau privé autoconfiguré c'est fe80::/10
le réseau fourni par le FAI c'est 2001:861:8c87:61e0::/64 (les 64 premiers octets de l'adresse ipv6 de tous les équipements derrière la box)

C'est dommage, tu n'exploites pas toutes les informations de ce sujet, celle là comme d'autres.

Dernière modification par O_20_100_O (Aujourd'hui à 08:59)

iznobe

Re : connexion ssh

@Edrahil511
Bonjour, teste en direct sans connecter le telephone au client , comma l' a dit @Vincent .
ca devrait fonctionner .

Pour le retour de " systemctl status " , oui c' est le retour attendu , il faut taper Q pour " quit " .
d' ailleurs on y voit que la clé est acceptée lorsque tu t ' y connectes avec le client , du coup c' est bizzare car on voit qu ' il accepte la connexion ... de ton client ( : 192.168.1.11 ) .

inet6 fe80::1cfe:5690:a9f9:438b

N'est ce pas l'ipV6 ??

si , mais d' apres ce que j' ai compris , c ' est la partie locale uniquement .( elle commence par " FE80 " ) cette adresse permet une connexion en local uniquement ??? a confirmer par les autres ...
pour un usage global et donc un acces externe il faut la ligne commencant par " inet6 " et comprenant le mot GLOBAL. cette adresse permet une connexion de n' importe ou . ( j' avais mis en gras dans le message precedent , et souligné le mot global , pensant que ca serait clair ) .

la difference entre les 2 , c' est que la partie locale ne passe pas par le routeur / box et donc fonctionne meme si pas d' IPV6 activé sur celui-ci ( box ) , tu peux d' ailleurs testé de ton client à ton serveur ( sans passer par la box ni le telephone avec l' adresse IPV6 locale )
à L ' inverse , il faut que l ' IPV6 soit fonctionnel aussi ( en plus du client et du serveur ) sur le routeur / box , pour accéder en global .et donc en externe .

@kasto :

@iznobe : ta configuration doit fonctionner mais je ne comprends pas ton retour où c'est toi qui refuse la connexion.

oui , je refuse la connexion . ca ne m' interresse pas de me connecter au travers d' une adresse ip dynamique .
et ma configuration ne fonctionne pas puisque ce que je veux , c' est me connecter avec une ip locale sur le reseau 192.168.1.0/24 uniquement et qu ' il refuse tout le reste , ou alors uniquement par clés .

Dernière modification par iznobe (Aujourd'hui à 09:51)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

kastopidiak

Re : connexion ssh

inet6 fe80::1cfe:5690:a9f9:438b

N'est ce pas l'ipV6 ??

C'est une adresse de lien local (*), ce n'est pas une adresse publique. C'est l'équivalent de la plage 169.254.0.0/24 en Ipv4
cf. la page Wikipedia en anglais sur les adresses de lien local (la page en français est très incomplète)

(*) page incomplète et imprécise

---

et ma configuration ne fonctionne pas puisque ce que je veux , c' est me connecter avec une ip locale sur le reseau 192.168.1.0/24 uniquement et qu ' il refuse tout le reste , ou alors uniquement par clés .

on ne peut pas savoir puisque tu refuses la connexion…
Telle quelle ta configuration accepte toutes les connexions. Elle accepte l’authentification par clefs dans tous les cas et l’authentification par mot de passe uniquement pour les clients dans la plage 192.168.1.0/24.
Et encore une fois si tu veux déboguer, utilise le mode bavard avec -v

Dernière modification par kastopidiak (Aujourd'hui à 09:29)

iznobe

Re : connexion ssh

Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Failed to add the host to the list of known hosts (/home/iznobe/.ssh/known_hosts).
iznobe@xx.xx.xx.xx: Permission denied (publickey).
iznobe@iznobe-PC:~$

tu as raison ...

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

kastopidiak

Re : connexion ssh

Si tu veux n'accepter les connexions que pour les adresses locales, il faut utiliser la directive Listen, par exemple si le serveur a pour adresse 192.168.1.100 :

AddressFamily inet
ListenAddress 192.168.1.100

ainsi il n'écoutera que sur cette interface IPv4 et sera totalement invisible de l'extérieur.

iznobe

Re : connexion ssh

je n' accède pas en local , sauf en cas d' urgence , j ' accede en externe via tailscale ( un VPN on va dire ) comme expliqué avant , mais ne veut pas cour circuiter la discussion ...

Dernière modification par iznobe (Aujourd'hui à 09:54)

---

retour COMPLET et utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .