Se connecter en SSH à un PC connecté en 3G

Salut,

J’ai PC connecté à internet avec un Domino 3G Orange (une clef 3G). Et là, je remarque dans l’interface de la clef 3G une section Serveur Virtuel qui permet de configurer des redirections de ports WAN/LAN. Cool ! Je configure donc une redirection vers le port SSH du PC et j’essaie d’y acceder depuis un autre poste. Mais rien à faire, ça ne passe pas. En local, évidemment ça marche. Quand les deux posts sont connectés à la clé 3G. Mais sinon : NIET !

J’appelle Orange mais les mecs ne comprennent pas ma question. Ils me disent de patienter quelques secondes “un instant s’il vous plait” et ils me raccrochent au nez (hahaha les enfoirés, certains font les acteurs et tout et tout). D’autres me demandent d’expliquer ce qu’est un port SSH. Bref, les joies du support technique. On se marre. Bon, après 4-5 raccrochages inopinés, je tombe sur un pékin qui va se renseigner auprès d’un “Expert” (oh putain il va voir un Expert) et qui me rapporte que voilà finalement l’Expert a parlé. Pas de redirections de ports sur le Domino. Ce n’est pas un routeur. OK, si je ne suis pas tombé sur Alain Delon (il est carrément possible que le type du support soit parti aux gogues au lieu d’aller chercher son expert) donc la section serveur virtuel serait juste un truc bidon, une sorte de piège à geek juste là pour la déconne.

Bon OK, je laisse tomber les redirections, je désactive le parfeu du Domino et je teste en mettant mon port SSH à écouter sur les ports 443, 80 ou 53. Rien, que dalle. Je fais un nmap pour voir les ports qui sont ouvert et j’ai que le port 80 !

Donc le machin à l’air complètement bridé au port 80 et visiblement ils filtrent les connexions. Du coup, je me demandais ce qu’il restait comme solution. Une connexion VPN passant par le port 80 ? Ils ne peuvent pas filtrer le VPN comme ils le font avec SSH ? On pourrait faire passer du VNC là dessus ?

Je ne connais pas du tout ce “Domino” 3G aussi je vais poser des questions qui peuvent paraître bêtes.

Comment est-il connecté au PC ? En ethernet, USB, wifi, autre ?

Si c’est via une interface réseau physique (ethernet, wifi) ou émulée (USB-ethernet), quel est la catégorie d’adresse IP attribué à cette interface ? Privée (10.x.x.x, 172.12-15.x.x, 192.168.x.x) ou publique ?

Si c’est une adresse IP privée, elle n’est pas joignable directement de l’internet public. Pour utiliser une redirection de port, il faut se connecter de l’extérieur à l’adresse IP publique du Domino (à supposer qu’il en ait une), seule visible de l’extérieur. As-tu identifié cette adresse IP (comment) et est-ce bien à celle-ci que tu as essayé de te connecter avec ssh et nmap ?

Une façon assez simple de permettre les connexions vers une machine qui n’est pas accessible publiquement, c’est le “reverse tunnel” : la machine connectée via le Domino établit une connexion SSH vers un serveur distant accessible publiquement et crée des redirections de ports distants (-R).

si on en croit les testeur de 01.net, c’est un vrai routeur
01net.com/fiche-produit/pris … ge-domino/
MAis ce site n’est pas une réference technique

Et la doc est des plus simpliste! Dans la description de l’interface d’administration, l’explication se limite à dire que c’est réservé aux experts!
Est ce que tu peux récupérer l’adresse IP publique via cette page (si il y en a une) ?

Je suis pessimiste sur ton histoire: J’ai regardé mon téléphone 3G de la façon suivante:

  1. IP extérieure, 193.253.141.64 en l’occurrence qui est une machine de france telecomn(vérifié sur un de mes serveurs)

  2. traceroute depuis le portable, en gros celui a une adresse sur 10.0.0.0/8 et le traceroute donne (je tapes de mémoire)

10.x.y.z -> 2-3 étapes -> 10.x’.y’.z’ -> 80.a.b.c -> 193.253.141.64 -> extérieur

bref je doute que tu puisses accéder directement à ta machine depuis l’extérieur.

Il est connecté en WiFi. Le Domino est en 192.168.1.1 et le PC est connecté sur la 1ère adresse de DHCP (pour les tests) qui est 192.168.1.20. J’ai créé la règle suivante dans la Section Serveur virtuel :

Nom: SSH
Port WAN : 22
Adresse IP LAN : 192.168.1.20
Port LAN : 22
Protocole : TCP/UDP
Statut : Marche

Ensuite, j’ai récupéré l’adresse IP publique du PC connecté au Domino avec ipecho. C’est une ip dynamique, un serveur Orange. Puis j’ai essayé de m’y connecter en SSH. Comme ça ne fonctionnait pas, j’ai testé des ports alternatifs comme le 443. Le nmap je l’ai fait sur l’ip publique et il m’a indiqué que seul le port 80 était ouvert. J’ai essayé de passer par le port 80 mais là aussi j’ai fait choux blanc.

Le traceroute était bizarre c’est vrai. Je ne pourrais pas le sortir de mémoire :slightly_smiling: mais je n’ai pas la machine à porté de main aujourd’hui.

François : donc Orange ferait du CGN (carrier grade NAT, NAT opérateur) avec ta connexion 3G. Ce n’est pas toujours le cas : là où je travaille, on utilise de la 3G Orange pour faire du VPN et les postes reçoivent des adresses IP publiques en 90.x.y.z. Probablement pas les mêmes abonnements.

Le PC n’a pas d’adresse IP publique, il n’a qu’une adresse IP privée. Au mieux, c’est le Domino qui a cette adresse IP publique. Au pire comme illustré par François, ce n’est même pas l’adresse du Domino mais d’un NAT ou proxy de l’opérateur. Le reverse DNS de cette adresse pourrait éventuellement renseigner sur son rôle. Tu peux aussi faire un traceroute de cette adresse depuis le poste connecté au Domino pour voir à quelle distance elle est. Si c’est à plus d’un saut et avec une forte latence, ce n’est pas le Domino.

Aussi, puisque le port 80 est ouvert tu pourrais essayer de t’y connecter avec un navigateur pour voir ce qu’il y a dessus.

Pour moi ce ne serai pas possible.
L’ip “public” utilisée par la clef 3g est partagée avec plein de monde. L’idée c’est qu’une personne va utilisé 2 sockets pour sortir (donc un ip va plus ou moins hébergé 32768 utilisateurs différents.
Vu sous cette angle … on ne possède que 2 sockets, et je suppose qu’ils sont dynamique en fonction des besoins.

http://www.commentcamarche.net/forum/affich-12584387-quel-ip-pour-la-3g

en plus on dirait qu’il y a un proxy …

http://openclassrooms.com/forum/sujet/acceder-depuis-la-3g-a-un-pc-avec-free-59040

OK, ça à l’air d’être impossible :unamused: Bon, juste pour la forme :

traceroute depuis le PC connecté sur la clé 3G sur l’ip renvoyée par ipecho :

[quote]$ traceroute 80.10.159.81
traceroute to 80.10.159.81 (80.10.159.81), 30 hops max, 60 byte packets
1 Domino.home (192.168.1.1) 1.804 ms 1.993 ms 1.989 ms
2 10.164.228.146 (10.164.228.146) 587.187 ms 587.466 ms 587.496 ms
3 10.164.224.2 (10.164.224.2) 773.506 ms 773.855 ms 773.889 ms
4 10.164.226.62 (10.164.226.62) 773.896 ms 773.850 ms 773.836 ms
5 10.164.226.66 (10.164.226.66) 774.179 ms 774.113 ms 773.774 ms
6 * * *

[/quote]

Depuis ma connexion ADSL :

[quote]$ nslookup 80.10.159.81
Server: 208.67.222.222
Address: 208.67.222.222#53

** server can’t find 81.159.10.80.in-addr.arpa: SERVFAIL
[/quote]

Il ne te reste que la solution proposée par Pascal au début: te servir d’un serveur relais avec une IP publique classique.

Désolé, je réponds un peu tard. Je poste ici au cas où quelqu’un qui aurait le même problème tomberait sur cette page.

Merci de m’avoir rappelé la solution de Pascal. Je ne connaissais pas du tout le Reverse Tunneling :stuck_out_tongue:

J’ai suivi le mini tuto ici : https://www.howtoforge.com/reverse-ssh-tunneling

Et ça fonctionne nickel ! Merci les gars :smiley:

Je vais lancer une session SSH au démarrage avec un login auto par clef RSA et ça devrait le faire.