tunnel ssh

toto69 · 30 août 2024, 10:52

Bonjour,

J'aimerais créer un tunnel ssh pour pouvoir me connecter au reseau de mon domicile lorsque je n'y suis pas. Pour la machine à mon domicile, j'ai un serveur qui troune sous mint et un serveur ssh dessus. Pour celle qui est à l'extérieur du domicile, j'ai un client ssh et un terminal gnome classique.
J'ai lu les docs mais c'est quand même un petit peu compliqué à comprendre !!
Pourriez-vous m'aider dans le code à saisir dans le terminal et la logique du truc : j'aime bien savoir ce que j'écris !

Merci

Pour commencer, je me bas là-dessus :
Rediriger un port distant vers un tunnel SSH

La redirection de port à distance est l’opposé de la redirection de port local. Il vous permet de rediriger un port de la machine distante (serveur ssh) vers un port de la machine locale (client ssh), qui est ensuite redirigé vers un port de la machine de destination.

La redirection de port à distance est principalement utilisée pour donner accès à un service interne à quelqu’un de l’extérieur.

Cela nécessite de modifier la configuration du serveur SSH.
ssh -R [REMOTE:]REMOTE_PORT:DESTINATION:DESTINATION_PORT [USER@]SSH_SERVER

Est-ce que c'est bon ? Si oui, à quoi correspondent les ports (remote_port), (destination_port) ? Faut-il ouvrir dans ma Livebox une règle NAT pour rediriger le traffic vers mon serveur ssh ? Si oui, quel port , remote_port ou destination_port ?

Bon, plus je lis moins je comprends !!! Je ne sais plus si je dois faire une redirection de port local ou distant !!

30 août 2024, 11:27

Bonjour,
normalement, tu n'as rien à configurer coté client et serveur, c'est déja préconfigurer par l'"quipe debian.
Essaie déja à l'intérieur de ton réseau local.Le server écoute sur un port, il faut que le client se connecte sur ce port du serveur.
Par cotre pour accéder à ton serveur depuis l'extérieur de ton réseau, c'est un peu plus compliqué car il y a ta box entre les 2 (routeur).
Ton client va se connecter coté internet de la box, mais elle ne saura pas quoi faire de cette demande. Il faut configurer ta box pour qu'il redirige cette demande à l'intérieur de ton réseau, sur la bonne machine, et sur le bon port.
Ca s’appelle la redirection de port.

toto69 · 30 août 2024, 11:55

Bonjour,

La redirection de port sur la livebox je sais faire.

C'est le reste que je ne maîtrise pas encore : donc si je te suis, le port ssh par défaut est Local_Port ou non ? Si je décide de changer pour le port 5000, j'aurais :

Par exemple : ssh -L 5000:machine_local :5901 -N -f machine_distante@192.168.1.x. C'est quoi dans ce cas 5901 ?

30 août 2024, 14:31

Je ne suis pas certain de comprendre cette phrase

j'ai un serveur qui troune sous mint et un serveur ssh dessus.

Tu veux dire que tu as un serveur web, et que tu veux te connecter dessus à distance via un serveur ssh qui est sur la même machine ?

30 août 2024, 14:34

Je ne pourrais pas expliquer mieux que ça:
https://www.malekal.com/comment-configu ... n-de-port/

toto69 · 30 août 2024, 16:21

Salut

J'ai un pc (appelons le machine distante). Il tourne sous l'os linux mint. Depuis ce pc, je voudrais créer un tunnel ssh avec mon serveur ssh à la maison. Depuis ce tunnel ssh, je pourrais ensuite me connecter à d'autres appareils chez moi (pc, raspberry, smartphone,...).

30 août 2024, 18:53

Dans ce cas là, un VPN est plus adapté. Perso j'ai mis le VPN dans le routeur derrière ma box.
Regarde du coté de wireguard.

zargos · 03 sept. 2024, 12:06

Bonjour,

je plussoie le dernier post de @piratebab .

Pour simplement se connecter en ssh une simple redirection de ta box vers ton serveur suffit en s'eassurant de ne jamais utiliser le port 22 sur la partie coté internet, car c'est la porte ouverte à des attaques massives.

mais si tu veux ensuite te connecter sous d'autres protocoles que le ssh vers d'autres machine le VPN est plus recommandé. Mais cela implique pour toi d'avoir un certificat publique (let's encrypt est ton ami) car le couple logon/mot de passe risque d'être insuffisant au regard de la situation actuelle en termes de cybersécurité.

03 sept. 2024, 16:43

wireguard ne travaille pas avec logon/mot de passe.
Le serveur te genere une clef pour chaque client, que tu copies dans un fichier de conf

zargos · 03 sept. 2024, 22:56

piratebab a écrit : ↑03 sept. 2024, 16:43 wireguard ne travaille pas avec logon/mot de passe.
Le serveur te genere une clef pour chaque client, que tu copies dans un fichier de conf

Ce qui est aussi une faiblesse, car il suffit de compromettre le client pour accéder :)
Avec le tryptique certif/login/mdp, il devient très difficile de pouvoir pirater l'accès.

03 sept. 2024, 23:17

C'est le risque à prendre pour une utilisation facile (rien à renter). On n'est pas non plus à la NSA ...
Si on me vole mon telephone, je désactive immédiatement le client dans wireguard.

zargos · 04 sept. 2024, 12:53

piratebab a écrit : ↑03 sept. 2024, 23:17 C'est le risque à prendre pour une utilisation facile (rien à renter). On n'est pas non plus à la NSA ...

Non ça c'est du standard simple, à la NSA c'est encore plus compliqué avec MFAsystèmes dédiés et spécifiques.

Si on me vole mon telephone, je désactive immédiatement le client dans wireguard.

suffit juste de récup la clé pas besoin de te piquer ton téléphone

Après tu m'objectera que ca ne présente pas d'intérêt: si les bots, l'usurpation d'identité, etc.. :)