Problème de connexion avec ssh

Salut à tous,

j’ai besoin d’aide pour configurer mon server ssh.

Voilà le topo: je cherche à me connecter via ssh sur mon ordi maison depuis l’ordi boulot.
Mon ordi boulot est sous etch et l’ordi boulot est sous XP équipé de Putty.

Lorsque je tape mon adresse IP publique dans Putty, la connection est “timed out” à chaque fois. Le port 22 est bien “forwardé” sur mon pc maison équipé de ma debian, je ne comprends donc pas.

D’ailleurs lorsque je ping mon adresse ip publique depuis le boulot sur la maison, cela ne fonctionne pas!

Un ami m’a dit que c’est mon fournisseur d’accès qui bloquait les connexions entrantes via mon Ip publique.

J’ai vraiment besoin d’aide, merci à tous par avance.

Déjà, il faut être sûr que le serveur SSH soit accessible depuis Internet. On peut le vérifier si tu précises ton adresse IP (tu n’es pas obligé).

Ensuite, la connexion à ton travail est peut-être protégée par un pare-feux, un proxy, etc. Généralement, le port 22 n’est pas autorisé. Une solution simple peut être de mettre l’écoute du serveur SSH sur un port autorisé (souvent 80, 443, 563, etc.).

Je te remercie infiniment pour ta réponse super rapide.

En effet je ne préfère pas mettre mon IP sur un forum (question de sécurité )

Je suis d’accord avec toi sur le fait du filtrage intensif exercé par le réseau du boulot. Je vais essayer en changeant de port d’écoute demain mais est-ce que tu trouves normal que même mon ping ne passe pas?

Il n’existe pas de problème de filtre au niveau de mon fournisseur d’accès?

Merci par avance

Il peut y avoir plein de raisons qui font que le ping ne passe pas. Tu passes peut-être (sans le savoir) par un proxy transparent.

De ce côté là, le principal problème reste la configuration du routeur/*box.

OK,

je te remercie pour tes réponses, cela confirme un peu ce que je pensais… trop de filtre nuit à une bonne connection!

Bref, je vais essayer de puis un réseau local plus “direct” pour voir et essayer d’autres ports d’écoute.

Je reviendrai déterrer ce sujet si le problème persiste.

Bonne nuit à toi!

Bon bah,

j’ai essayé de faire un ping de mon adresse IP publique depuis un PC domestique et le résultat est le même, c’est à dire que… cela ne marche pas!

Le ping d’une adresse IP publique est-il désactivé par les fournisseurs d’accès? Car j’ai bien vérifié mon routeur et il n’y a pas de filtrage à ce niveau…

Merci par avance

Quelqu’un pour remédier à mon ignorance et ma soif de savoir???

Ben il faut un peu plus de renseignements, quel est le FAI par exemple? Tu n’as qu’à envoyer ton IP par mp pour que je fasse un test…

effectivement il faudrait plus de renseignements notamment savoir si tu as une adresse ip public statique ce qui n’est pas le cas à mon avis…donc si telle n’est pas le cas déjà elle change assez souvent il te faudra passer par un service de dns dynamique comme dyndns.org pour avoir un nom de domaine et le configurer sur ton routeur/box.

Pour le ping qui répond pas sur l’adresse ip publique ça peut s’expliquer par une configuration du routeur/box pour empêcher le ping de l’extérieur (sur ma livebox par défaut elle accepte le ping mais il suffit de cocher l’option ne pas autoriser le ping/protocol icmp pour que ça ne réponde plus).A mon avis tu ne t’es pas suffisamment plongé dans la configuration de ton routeur/box et pourtant c’est là que se trouve la solution pour le ping mais aussi et surtout la redirection du port ssh vers l’adresse ip privée de ta machine où tourne le serveur ssh.

Je ne suis pas convaincu par le filtrage à ton boulot.Le port qu’utilise ton client ssh (dans ton cas putty) n’est à mon avis pas filtré (au cas où : il ne s’agit pas du port 22, qui lui sert au serveur ssh donc éventuellement filtré chez toi).

Merci a tous pour vos reponses,

mon adresse ip publique n’est pas statique en effet, mais cela ne devrait pas entrer en ligne de compte pour le ping…

Pour ce qui est de mon routeur, le port 22 a bien ete forwarde sur mon ip prive comme indique plus haut et il n’y a pas de blocage de ping. (c’est un vieux modele, l’option n’est pas dispo).

Je vis actuellement en Grece, mon FAI est OTENET…

Je pense au filtrage de mon boulot car nous sommes une grande entreprise (une celebre marque d’antivirus commencant par S…) et sommes plein de firewalls, proxy, tout en travaillant sur des machines virtuelles…

Le responsable reseau de chez nous m’a indique que c’est surement le FAI qui bloque le ping, ce qui me parait louche…

En partant du principe que les deux ordis soient sans filtrage abusif et avec les ports forwarde, ssh devrait etre capable de se connecter avec une ip dynamique?

Merci par avance

PS: Putty utilise bien le port 22…

en effet ça ne change rien sauf si celle-ci a changé avant que tu ne fasses tes tests de ping

désolé je maintiens que non et la simple commande netstat te le confirmera, putty est un client ssh il utilise aléatoirement un port TCP élevé (ex: chez moi 50160 à l’instant) au même titre que pour naviguer sur internet tu n’as pas besoin d’ouvrir le port 80 c’est seulement le serveur web qui utilise ce port pour écouter les requêtes http toi, le navigateur/client utilise là encore un port élevé et aléatoire pour avoir une réponse à sa requête.

Le FAI qui bloque le ping jamais entendu mais quand une machine à empêcher le ping y a toujours la commande nmap avec les options qui vont bien pour savoir si celle-ci est joignable/en ligne, cette commande te permettra également de savoir si ton port ssh est bien ouvert et non filtré.

Pourrais-tu nous copier le contenu de ton /etc/ssh/sshd_config
Vérifies que le démon sshd est bien lancé sur ta machine (ps aux | grep sshd
Cette machine a une adresse ip privé statique?je pose cette question au cas où si celle-ci est en dhcp, elle aurait pu changer et donc ta redirection ne marcherait plus.

Salut,

oui mon ip privée est statique.

Je suis d’accord avec toi sur le principe des ports utilisés aléatoirement par le client ssh mais que dans le cas des réponses aux requêtes pas pour émettre.
Donc à part ouvrir le port 22, je ne peux ouvrir “aléatoirement” les ports utilisés pour les réponses…

Un petit indice: lorsque je tente en réseau local de me connecter cela fonctionne en mettant mon adresse ip privée: c’est normal tu vas me dire.
Mais lorsque je rentre mon adresse publique pour me connecter toujours en réseau local, cela fonctionne… La connection “sort” bien de mon réseau local pour y revenir ou je me trompe?

Je t’envoie mon /etc/ssh/sshd_config ce soir, là je suis au boulot et j’essaierai nmap dès que je rentre.

Merci pour les réponses

Pour se connecter au port 22 du serveur ssh, le client/putty ouvre aléatoirement un port TCP élevé par exemple le 50160 et il recevra sa réponse à sa requête de connexion qu’il a demandé sur ce même port.Là pour t’en persuader y a pas plus objectif que la commande netstat avec certaines options (ex: netstat -taupe).
Sinon tu lance une capture/analyse de ce qui se passe sur ton réseaux avec wireskark (anciennement ethereal) ensuite tu lance putty pour te connecter à ton serveur ssh ensuite tu peux tapper diverses commandes : ça ne résoudra pas ton problème mais je pense que ça pourra t’aider un jour ou l’autre (rien que pour faire des règles de parefeu).

[quote]Un petit indice: lorsque je tente en réseau local de me connecter cela fonctionne en mettant mon adresse ip privée: c’est normal tu vas me dire.
Mais lorsque je rentre mon adresse publique pour me connecter toujours en réseau local, cela fonctionne… La connection “sort” bien de mon réseau local pour y revenir ou je me trompe?[/quote]

Voilà qui peut déjà éliminer des éventualités : cela prouve que ton serveur ssh est fonctionnel et que ta redirection adresse public/adresse privée pour ssh fonctionne également : conclusion personnelle ton soucis de connexion viendrais donc effectivement bien du réseau de ton boulot.

Sinon vu que tu peux naviguer sans problème sur le net apparemment depuis le pc de ton boulot tu pourrais peut-être tester un client ssh web (j’ai déjà vu que ça existait en java par exemple qui ressemble à putty)ou encore créer un tunnel web avec httptunnel par exemple

Pense également à vérifier que ton adresse ip publique n’a pas changer entre temps

Bonjour,

Même si le client ouvre un port aléatoire dans une tranche élevé, le client a besoin de sortir sur le port 22. Ce n’est que la réponse du serveur qui revient sur le port aléatoire eleve.

En règle général les entreprises bloque tous les ports de sortie et n’autorise que certains. Dans la majorité des entreprises que j’ai pu rencontré le port 80 (http) et le port 443 (https) etait ouvert.

La meileur solution est donc de configurer ton serveur SSH pour qu’il ecoute sur le 443 et sur le 22, il suffit de rajouter Port 443 en dessous de la ligne Port 22 et de relancer SSH. Ensuite ton serveur ecoutera sur le port 443 et 22. Ensuite sur ton routeur, tu redirige les requetes arrivant sur le port 443 vers ton PC hebergeant le serveur SSH. Ceci est dans l’hypothese ou tu n’as pas deja un serveur web ecoutant sur le port 443. Il faudra aussi penser à ouvrir le port 443 sur le pare feu eventuel.

Il est toujours preferables que ton adresse IP ne reponde pas au ping, c’est une securite par l’obscurantisme mais cela aide un peu.

Après le test de connexion SSH depuis chez toi vers ton adresse publique n’est pas fiable, tu a été jusqu’à ton routeur et tu es retourne sur ton serveur SSH donc tu n’es pas reelement sorti sur Internet.

Si tu as la possibilité, le meilleur test serait que tu sois chez un amis, voisins … et de voir si tu arrive a joindre ton serveur SSH, le test sera dans ce cas parlant.

en effet en bloquant le port 22 en sortie sur la machine depuis laquelle est exécuté le client ssh la connexion au serveur ssh n’est plus possible…méacoulpa (du coup je comprends pas pourquoi ni netstat ni wireshark auxquels je faisais confiance ne montrent de connexion sortant du port 22 mais uniquement par le port élevé)

Salut Micky979,

je suis tout à fait d’accord avec toi, je pense que mon test via mon LAN est un “leurre”, je n’ai pas du vraiment sortir de mon réseau.

Ton idée pour ouvrir un autre port “en parallèle” est excellente, c’est ce que je ferai demain.

J’ai une dernière question: y-a-t-il un outil type “sniffer” pour déterminer si le port 443 de mon entreprise est bien ouvert?

J’ai fait quelques petites recherches et il s’avère que ta réponse est très pertinente! Le port 443 est considéré comme un port sécurisé et donc laissé ouvert par beaucoup d’entreprises! Je testerai avec impatience demain!

Question finale donc: Le port 443 est https par défaut et donc sécurisé pour n’importe quelle machine ou peut-on le configurer?

Merci infiniment pour tes renseignements! Savoir c’est bien, apprendre c’est mieux!

Arrrrgh!

Gros problème, je fais les test en réseau local en changeant de port par 443 ou 80 et la seule réponse que l’on me renvoie est… Access denied!!!

Les ports sont bien forwardés à chaque fois, comprends plus rien!

Envie de pleurer…

Qu’un seul mot me vient à l’esprit help!

La meilleur solution est d’utiliser une URL repondant sur le port 443. Ce forum peux repondre sur le port 443, il suffit d’utiliser cette adresse : google.auth-o-mat.com/

J’avoue ne pas avoir compris le sens de la question.

Pourras tu coller le contenu de ton fichier sshd_config ici ? As tu bien relancer SSH entre chaque modif du fichier sshd_config ? Sur ton serveur ou tourne SSH que retourne cette commande : netstat -anpute | grep LISTEN | grep '\(:22\|:443\|:80\)'

Re,

erreur de débutant, je n’ai pas relancé mon serveur… Mille excuses pour ce dérangement inutile.

Je retente plus tard dans la soirée car là j’ai du monde à la maison et je te tiens au courant.

Dans tous les cas merci micky979, t’assures un max! (expression empruntée à un jeune)

Bye

OK, alors j’ai relancé mon serveur ssh et cela fonctionne en réseau local sous le port 443!

Je te remercie infiniment micky979, tu m’as vraiment beaucoup aidé.

Je vais tester demain depuis mon boulot et te dire directement si cela a fonctionné.

Si c’est le cas, je t’invite à venir en Grèce pour que je te paie un bon repas dans une taverne!

Encore merci et bonne nuit!