Pb passerelle/proxy

Support Debian
#1

Bonjour,
Bon voilà j’ai changé de taff recemment, et comme j’ai un petit serveur @home je voudrai avoir un access SSH a ma petite boite (Guruplug). L’ayant déjà fait dans mon autre boite je me suis dit pas de pb ca va me prendre 1/2 heure aux max … ben non le reseau ici est “étrange”, je vous fait le topo.

  • Machine sous XP SP3
  • IE 7 & FF 3.6 d’installé sur les machine mais seule IE peut accéder au Net (limité)
  • Un conky-like sur les machines permettant d’avoir les info du PC, on y trouve :
    [ul][li]2 adresse IP, une en 192.168.X.Y & une autre en 152.8.X.X (les masques étant respectivement 255.255.0.0 & 255.255.255.0)[/li]
    [li]1 adresse paserelle en 152.8.A.1[/li]
    [li]2 DNS en 152.8.B.C & 152.9.D.E[/li][/ul]

Ce que j’utilisais (a mon ancien taff) pour me connecter.
Client : PUTTY + proxy + @home:443
Serveur : SSLH + OpenSSH (le premier sert a faire le tri sur le port 443 (HTTPS) entre les connections SSH & HTTPS, car en général les proxy sont configurés pour ne pas laissés passer les connection sur le port 22, donc on feinte en passant par le port 443, non filtré, puisque le traffic SSH & HTTPS sont fortement similaire :stuck_out_tongue: )

Bon maintenant mon problème :

  • La configuration d’IE est “automatique”, dans les paramètres réseau j’ai “détecter automatique les paramètres de connexion”, donc pas de proxy.pac et autre aide. Coté FF seul le reseau local fonctionne.

  • En faisant un “netstat” j’ai quand même trouvé un début de piste. J’ai lancé un IE sur google et regarder ou il se connectait sur le reseau. J’ai trouvé un “proxy-master” en 192.168.V.W:8080, en testant un telnet sur le serveur j’ai trouvé un “proxy02” en 152.7.R.S qui m’affichait une page SQUID de demande de login/pass. Bien sur j’ai essayé de me connecter a toutes ces IP avec PUTTY/telnet pour voir que ça me donnais mais sans résultat

  • Dernière chose j’ai aussi trifouillé avec ntlmaps car je pensais que le proxy était un produit Redmondien mais sans grand résultat, et avec la page SQUID finalement j’ai des doutes sur son utilité dans mon cas.

Bon voilà, tout ça pour vous dire que je comprend pas comment fonctionne le reseau interne et je préfèrerai quand même utiliser FF pour aller sur le net au lieu de laissé la porte ouverte avec IE :confused:

#2

Ben si le HTTPS passe par un proxy, je ne pense pas que le proxy comprenne ce que Putty lui demande, ni qu’il puisse initier la connexion avec ton SSH.

Mais le mieux serait peut-être de demander à l’admin. C’est plus simple et ça t’évite des problèmes…

Sinon, il te faudrait trouver un port qui est ouvert aux postes. Par exemple, il se peut que les ports 25 et 110 soient ouverts pour permettre aux utilisateurs d’utiliser leur messagerie. Ou peut-être que l’admin a ouvert le port 22 pour se connecter à un de ses serveurs persos…

En dernier recours, tu peux faire du tunnelling HTTP.

#3

Si, vue que j’y suis déjà arrivé dans mon autre boite, le proxy ne fait que “garde frontière” si je m’identifi correctement ça fonctionne sans problème.

[quote=“kna”]
Mais le mieux serait peut-être de demander à l’admin. C’est plus simple et ça t’évite des problèmes…[/quote]
Malheureusmeent l’admin se trouve dans un batiement a l’autre bout de la France et tout passe par un “support informatique”. C’est le problème avec les très grosse boite, tout est impersonnel et “froid”.

[quote=“kna”]
Sinon, il te faudrait trouver un port qui est ouvert aux postes. Par exemple, il se peut que les ports 25 et 110 soient ouverts pour permettre aux utilisateurs d’utiliser leur messagerie. Ou peut-être que l’admin a ouvert le port 22 pour se connecter à un de ses serveurs persos…[/quote]
Malheureusement je doute que le reseau me permette d’accéder a beaucoup de port, il serais même du genre a bloqué plus qu’il ne faut :angry:

[quote=“kna”]
En dernier recours, tu peux faire du tunnelling HTTP.[/quote]
Oui malheureusement je crois que je vais me rabattre sur cette solution :12

#4

Lorsque tu saisis le nom et le port du proxy de ton entreprise dans Firefox (configuration manuelle du proxy -> proxy HTTP), puis que tu essayes de surfer, que se passe-t-il ?

#5

Bon pour le HTTP&HTTPS j’ai trouvé le truc.
Il faut bien que je passe par le proxy en 192.168.X.Y avec login (domaine\user) & pass.
Maintenant PUTTY ne veut pas se connecter et me renvoi un “authentification nécessaire” alors que je renseigne bien les info dans la conf de PUTTY :12

#6

Pour l’authentification proxy, en général, c’est ton user + mot de passe windows

#7

Oui j’ai essayé ça, en ajoutant le domaine aussi mais rien ne passe.
Sous IE & FF HTTP(S)=OK, sous Opera le HTTPS me pose des soucis, certains sites passent et pas d’autres :12 par exemple ce forum ne s’affiche pas en HTTPS mais linufr.org lui est OK :119

Bon de toute facon je met le problème réglé car je suis arrivé a trouvé la porte de sorti du reseau

#8

[quote=“Mimoza”]

Bon de toute facon je met le problème réglé car je suis arrivé a trouvé la porte de sorti du reseau[/quote]

Et la soluce c’était quoi ? Juste utiliser les paramètres de proxy dans Putty ou il y’a autre chose ?

j’ai le même souci que toi :wink:

#9

Non je n’ai la solution que pour FF & Opera (même si ce dernier semble poser quelques soucis pour le HTTPS)

Pour PUTTY (& WGET) pas moyen de passer le proxy, je me demande si ce n’est pas un parefeu applicatif, donc avec du DPI (Deep Packet Inspection = inspection de packet en profondeur). Du coup il “verrais” que ce n’est pas du HTTPS et refuserais la connexion.
En fait il me sort tout le temps un “407 authentification nécessaire” alors que je lui file bien mon domaine/login/mdp. Je vais essayer d’approcher un admin reseau pour lui soutirer quelques info, car le téléchargement de grosse archive plante aussi.

#10

Normalement, un proxy c’est un filtre applicatif. Par exemple, pour le web : le navigateur demande une page au proxy, le proxy se charge de la requête DNS et va demander la page au serveur concerné, puis la délivre au navigateur, parfois en la modifiant (il peut enlever le javascript, le flash, le pr0n, selon les règles fixées par l’admin). Il n’intervient pas au niveau réseau (TCP/IP) comme iptables mais au niveau applicatif (HTTP, FTP,…).

Je suppose que ce que tu as vu dans ton ancienne boite n’était pas un « vrai » proxy, mais simplement un pare-feu qui demandait une authentification pour t’ouvrir au réseau extérieur…

#11

Tu as surement raison pour le pare-feu de mon ancienne boite …
Mais ça ne résout toujours pas mon problème :angry:
Je suis en train de tester ce tuto mais ça n’as pas l’air de fonctionner :013
Si tu as une piste pour passer au travers d’un proxy :083

#12

Pas testé (et encore moins à travers un firewall) mais ajaxterm est peut-être une solution.

#13

je viens d’installer et tester en local, c’est pas mal et ça marche plutot bien :smiley:
Maintenant il faut que ca passe le proxy et ça c’est pas encore gagné :12

#14

Je viens de faire un tour dans mes log de mon serveur et j’ai bien de nombreuse tentative d’accès (SSL & SSH) venant du proxy de mon taff :041
Bon le truc maintenant c’est de savoir pourquoi il ne veut pas initier la connexion.
Dans les log j’ai un truc du genre :

Sep 14 11:33:32 <monserveur> sshd[19825]:Bad protocol version identification '\026\003\001\001p\001' from 127.0.0.1

Les connexions viennent bien de sslh qui est en front sur le port 443 et qui le redirige en interne sur le port 22. dans les logs de SSLH je retrouve bien :

Sep 14 11:33:23 <monserveur> sslh[1105]: connection from 81.80.239.162:58088 forwarded to SSH

Par contre je ne comprend pas pourquoi il y a presque 10 seconde de différence entre les deux :108 log …

Enfin bon je creuse toute les pistes on verra bien :016

#15

Voilà une très liste longue avec de nombreux logiciel similaire

edit :
Finalement j’ai opté pour cette console en ligne plus simple a installé.

#16

Bon après avoir “exploser” mon quota :blush: je viens de tester ce shell en PHP et il fonctionne sans “trop” de problème. Apparement il se fait un peut vieux et avec un PHP recent on a droit a une joli erreur avec la fonction “ereg”, j’ai mis un “@” juste devant et il me sort a chaque commande un joli :

Mais cela n’est pas bloquant :083

#17

Pour ceux qui ont du mal comme moi à trouver la config “détecté” automatiquement par IE c’est peut être par “wpad”, un article qui en parle brièvement (voir dans les commentaires)

Grosso modo quand sous IE la config est “automatique” et que vous êtes sur qu’il y a un pare-feu/proxy il y a obligatoirement un fichier de configuration de proxy (proxy.pac). Le truc c’est qu’il est automatiquement charger a une URL “standard”.

= XXX.com, YYY.fr ou .ZZZ et oui il arrive que dans les grosse boite le TLD soi le nom de la boite par exemple on peut trouver des URL de cette forme http://intranet.debian

Ce qui est le cas à mon taff :stuck_out_tongue:

#18

Bon au final avec NTLMaps j’ai pu accéder a mon serveur … aller savoir pourquoi ça ne marchais pas avant. J’ai juste changer de pc :unamused: