Bonjour,
J'aimerais créer un tunnel ssh pour pouvoir me connecter au reseau de mon domicile lorsque je n'y suis pas. Pour la machine à mon domicile, j'ai un serveur qui troune sous mint et un serveur ssh dessus. Pour celle qui est à l'extérieur du domicile, j'ai un client ssh et un terminal gnome classique.
J'ai lu les docs mais c'est quand même un petit peu compliqué à comprendre !!
Pourriez-vous m'aider dans le code à saisir dans le terminal et la logique du truc : j'aime bien savoir ce que j'écris !
Merci
Pour commencer, je me bas là-dessus :
Rediriger un port distant vers un tunnel SSH
La redirection de port à distance est l’opposé de la redirection de port local. Il vous permet de rediriger un port de la machine distante (serveur ssh) vers un port de la machine locale (client ssh), qui est ensuite redirigé vers un port de la machine de destination.
La redirection de port à distance est principalement utilisée pour donner accès à un service interne à quelqu’un de l’extérieur.
Cela nécessite de modifier la configuration du serveur SSH.
ssh -R [REMOTE:]REMOTE_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER
Est-ce que c'est bon ? Si oui, à quoi correspondent les ports (remote_port), (destination_port) ? Faut-il ouvrir dans ma Livebox une règle NAT pour rediriger le traffic vers mon serveur ssh ? Si oui, quel port , remote_port ou destination_port ?
Bon, plus je lis moins je comprends !!! Je ne sais plus si je dois faire une redirection de port local ou distant !!
tunnel ssh
-
piratebab
- Site Admin
- Messages : 5852
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : En ligne
Bonjour,
normalement, tu n'as rien à configurer coté client et serveur, c'est déja préconfigurer par l'"quipe debian.
Essaie déja à l'intérieur de ton réseau local.Le server écoute sur un port, il faut que le client se connecte sur ce port du serveur.
Par cotre pour accéder à ton serveur depuis l'extérieur de ton réseau, c'est un peu plus compliqué car il y a ta box entre les 2 (routeur).
Ton client va se connecter coté internet de la box, mais elle ne saura pas quoi faire de cette demande. Il faut configurer ta box pour qu'il redirige cette demande à l'intérieur de ton réseau, sur la bonne machine, et sur le bon port.
Ca s’appelle la redirection de port.
normalement, tu n'as rien à configurer coté client et serveur, c'est déja préconfigurer par l'"quipe debian.
Essaie déja à l'intérieur de ton réseau local.Le server écoute sur un port, il faut que le client se connecte sur ce port du serveur.
Par cotre pour accéder à ton serveur depuis l'extérieur de ton réseau, c'est un peu plus compliqué car il y a ta box entre les 2 (routeur).
Ton client va se connecter coté internet de la box, mais elle ne saura pas quoi faire de cette demande. Il faut configurer ta box pour qu'il redirige cette demande à l'intérieur de ton réseau, sur la bonne machine, et sur le bon port.
Ca s’appelle la redirection de port.
-
toto69
- Membre
- Messages : 45
- Inscription : 28 août 2024, 14:18
- Status : Hors-ligne
Bonjour,
La redirection de port sur la livebox je sais faire.
C'est le reste que je ne maîtrise pas encore : donc si je te suis, le port ssh par défaut est Local_Port ou non ? Si je décide de changer pour le port 5000, j'aurais :
Par exemple : ssh -L 5000:machine_local :5901 -N -f machine_distante@192.168.1.x. C'est quoi dans ce cas 5901 ?
La redirection de port sur la livebox je sais faire.
C'est le reste que je ne maîtrise pas encore : donc si je te suis, le port ssh par défaut est Local_Port ou non ? Si je décide de changer pour le port 5000, j'aurais :
Par exemple : ssh -L 5000:machine_local :5901 -N -f machine_distante@192.168.1.x. C'est quoi dans ce cas 5901 ?
-
piratebab
- Site Admin
- Messages : 5852
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : En ligne
Je ne suis pas certain de comprendre cette phrase
Tu veux dire que tu as un serveur web, et que tu veux te connecter dessus à distance via un serveur ssh qui est sur la même machine ?j'ai un serveur qui troune sous mint et un serveur ssh dessus.
-
piratebab
- Site Admin
- Messages : 5852
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : En ligne
Je ne pourrais pas expliquer mieux que ça:
https://www.malekal.com/comment-configu ... n-de-port/
https://www.malekal.com/comment-configu ... n-de-port/
-
toto69
- Membre
- Messages : 45
- Inscription : 28 août 2024, 14:18
- Status : Hors-ligne
Salut
J'ai un pc (appelons le machine distante). Il tourne sous l'os linux mint. Depuis ce pc, je voudrais créer un tunnel ssh avec mon serveur ssh à la maison. Depuis ce tunnel ssh, je pourrais ensuite me connecter à d'autres appareils chez moi (pc, raspberry, smartphone,...).
J'ai un pc (appelons le machine distante). Il tourne sous l'os linux mint. Depuis ce pc, je voudrais créer un tunnel ssh avec mon serveur ssh à la maison. Depuis ce tunnel ssh, je pourrais ensuite me connecter à d'autres appareils chez moi (pc, raspberry, smartphone,...).
-
zargos
- Membre
- Messages : 197
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
Bonjour,
je plussoie le dernier post de @piratebab .
Pour simplement se connecter en ssh une simple redirection de ta box vers ton serveur suffit en s'eassurant de ne jamais utiliser le port 22 sur la partie coté internet, car c'est la porte ouverte à des attaques massives.
mais si tu veux ensuite te connecter sous d'autres protocoles que le ssh vers d'autres machine le VPN est plus recommandé. Mais cela implique pour toi d'avoir un certificat publique (let's encrypt est ton ami) car le couple logon/mot de passe risque d'être insuffisant au regard de la situation actuelle en termes de cybersécurité.
je plussoie le dernier post de @piratebab .
Pour simplement se connecter en ssh une simple redirection de ta box vers ton serveur suffit en s'eassurant de ne jamais utiliser le port 22 sur la partie coté internet, car c'est la porte ouverte à des attaques massives.
mais si tu veux ensuite te connecter sous d'autres protocoles que le ssh vers d'autres machine le VPN est plus recommandé. Mais cela implique pour toi d'avoir un certificat publique (let's encrypt est ton ami) car le couple logon/mot de passe risque d'être insuffisant au regard de la situation actuelle en termes de cybersécurité.
-
zargos
- Membre
- Messages : 197
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
Ce qui est aussi une faiblesse, car il suffit de compromettre le client pour accéder :)piratebab a écrit : 03 sept. 2024, 16:43 wireguard ne travaille pas avec logon/mot de passe.
Le serveur te genere une clef pour chaque client, que tu copies dans un fichier de conf
Avec le tryptique certif/login/mdp, il devient très difficile de pouvoir pirater l'accès.
-
piratebab
- Site Admin
- Messages : 5852
- Inscription : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : En ligne
C'est le risque à prendre pour une utilisation facile (rien à renter). On n'est pas non plus à la NSA ...
Si on me vole mon telephone, je désactive immédiatement le client dans wireguard.
Si on me vole mon telephone, je désactive immédiatement le client dans wireguard.
-
zargos
- Membre
- Messages : 197
- Inscription : 07 juil. 2023, 13:34
- Status : Hors-ligne
Non ça c'est du standard simple, à la NSA c'est encore plus compliqué avec MFAsystèmes dédiés et spécifiques.piratebab a écrit : 03 sept. 2024, 23:17 C'est le risque à prendre pour une utilisation facile (rien à renter). On n'est pas non plus à la NSA ...
suffit juste de récup la clé pas besoin de te piquer ton téléphoneSi on me vole mon telephone, je désactive immédiatement le client dans wireguard.
Après tu m'objectera que ca ne présente pas d'intérêt: si les bots, l'usurpation d'identité, etc.. :)