Re: Joindre une machine derrière un proxy ou dans un LAN non…

Top Page

Reply to this message
Author: Patrice Karatchentzeff
Date:  
To: Olivier Allard-Jacquin
CC: GUILDE
New-Topics: Re: Joindre une machine derrière un proxy ou dansun LAN non routable
Subject: Re: Joindre une machine derrière un proxy ou dans un LAN non routable
Aïe, ce n'est pas si simple que je pensais...

J'ai un autre routeur entre chez moi et le portable : je suppose qu'il
s'agit du cas ta présentation p43.

J'ai un autre souci : ce routeur est déjà configuré pour rerouter les
connexions ssh sur mon poste... donc tous les connexions au port 22
sont renvoyées sur ma machine.

Je ne comprends pas ce que « voit » les machines individuellement. À
la sortie du premier tunnel (donc du portable vers mon "premier point
d'arrivée") :

1 - on a un flux en TCP ouvert sur le port 22
2 - en théorie, le serveur ssh à l'arrivée "comprend" et renvoie deux
flux en TCP sur les port 10022 et 10900 (si on a choisi ces deux-là
lors du tunnel)
3 - il suffit de se brancher dessus avec l'outil ad-hoc sur le
matériel d'arrivée

Si le matériel d'arrivée est un routeur, il suffit de lui faire
renvoyer le trafic du port en question (10022) vers celui qu'on a
envie (monpc:20022). En théorie, ça fonctionne. En pratique non car il
faut un serveur ssh sur le routeur pour interpréter la deuxième étape.
(dans les faits, j'ai testé et effectivement, ça ne fonctionne pas).

Or, d'après ton crobar, ça fonctionne... Quel est le truc que je n'ai pas pigé ?

Merci

PK

Le mar. 18 déc. 2018 à 09:14, Patrice Karatchentzeff
<patrice.karatchentzeff@???> a écrit :
>
> OK, je n'avais pas compris. C'est une bonne technique.
>
> Je n'ai pas le problème puisque je peux ouvrir une session ssh
> complète sur ma machine.
>
> Merci
>
> Le lun. 17 déc. 2018 à 22:20, Olivier Allard-Jacquin
> <olivieraj@???> a écrit :
> >
> >         Bonsoir,

> >
> > Le 16/12/2018 à 21:00, Patrice Karatchentzeff a écrit :
> > > Salut Olivier,
> > >
> > > C'est exactement ce que je veux faire...
> > >
> > > En revanche, je ne vois pas trop l'intérêt de ton programme en C ?
> >
> >         C'est simple : La personne tu que veux aider doit ouvrir une session
> > SSH CHEZ TOI. Or, je ne veux pas que cette personne ait shell sur
> > machine, et qu'il puisse pas exemple s'en servir pour faire quoi que ce
> > soit.

> >
> >         Donc le programme en C sert uniquement à maintenir la connexion ouvert
> > (une simple connexion à /usb/bin/true n'est pas suffisante).

> >
> >         De plus, l'utilisateur à distance peut interrompre la session à tout
> > moment, avec un ctrl+c. Donc c'est lui qui garde le contrôle de
> > l'ouverture et la fermeture de la session.

> >
> > > Par contre, je viens de me rendre compte que j'utilisais déjà une
> > > variante de cela avec un proxy traversable pour deux machines, avec
> > > une seule atteignable en direct. En fait, tu balances les deux ports à
> > > la fois : à l'époque je n'en faisais qu'un !
> >
> >         Tu peux transférer autant de ports que tu veux. Chez un de mes
> > utilisateurs, je transférai aussi le port 80 de la box ADSL, afin de
> > pouvoir faire de la maintenance sur lui-aussi.

> >
> >         Avec une telle technique, on peut aussi monter un VPN, si l'on veut
> > accéder à tout le réseau à distance.

> >
> >         Note que l'accès aux serveurs x11vnc (5900) et ssh (22) se font en
> > localhost. Car j'ai aussi configuré ces deux softs-là, afin qu'ils
> > n'écoutent que sur leur interface loopback, afin de ne pas exposer ces
> > ports aux interfaces wifi et réseau. Cela réduit la surface d'attaque
> > contre ces services-là.

> >
> >         Cordialement,

> >
> >                                                         Olivier

> >
> > > Merci
> > >
> > > PK
> > >
> > > Le dim. 16 déc. 2018 à 20:51, Olivier Allard-Jacquin
> > > <olivieraj@???> a écrit :
> > >>
> > >>         Bonjour Patrice

> > >>
> > >> Le 16/12/2018 à 20:18, Patrice Karatchentzeff a écrit :
> > >>> Salut
> > >>>
> > >>> J'ai un portable qui se balade de temps en temps dans une zone non
> > >>> routable et derrière une box généralement non configurable.
> > >>>
> > >>> J'aimerais pouvoir le joindre depuis l'extérieur pour prendre la main dessus.
> > >>>
> > >>> Les deux machines sont des Linux. La personne sur le portable peut
> > >>> éventuellement engager une action (je ne vois pas comment on pourrait
> > >>> faire sans de toute façon).
> > >>>
> > >>> Est-ce qu'il est possible de créer un tunnel depuis le portable vers
> > >>> la machine extérieur (routable et accessible en ssh), puis ensuite,
> > >>> utiliser ce canal depuis l'extérieur (soit en ssh en CLI, soit pour
> > >>> faire passer ce que l'on veut, éventuellement un VNC).
> > >>>
> > >>> Je cherche, mais je ne trouve pas.
> > >>>
> > >>> Une idée ?
> > >>>
> > >>> Merci
> > >>
> > >>         Je fais cela pratiquement tous les jours, avec du "ssh callback".

> > >>
> > >>         J'ai fait une conf sur ce sujet il y a quelques années, mes slides sont là:
> > >> http://olivieraj.free.fr/fr/linux/information/prise_en_main_a_distance_avec_linux/presentation/index.html

> > >>
> > >> La partie qui t'intéresse commence ici :
> > >> http://olivieraj.free.fr/fr/linux/information/prise_en_main_a_distance_avec_linux/presentation/img36.html
> > >>
> > >>         Par le tunnel ssh, je fais passer bien sur du ssh, mais aussi du
> > >> "x11vnc + tightvnc", ce qui me permet d'interagir avec le même bureau
> > >> que l'utilisateur (il voit ce que je fais).

> > >>
> > >>         Je peux te mettre à disposition un script "one-clic" pour l'utilisateur
> > >> à distance, qu'il doit cliquer lorsque tu veux prendre la main sur sa
> > >> machine.

> > >>
> > >>         Cordialement,

> > >>
> > >>                                                         Olivier

> > >>
> > >> --
> > >> ~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> > >> Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
> > >>        /   / \  / \   \   Web:  http://olivieraj.free.fr/
> > >>       /___/  /  \  \___\  Mail: olivieraj@???
> > >> ~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!

> > >>
> > >
> > >
> >
> >
> > --
> > ~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
> > Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
> >        /   / \  / \   \   Web:  http://olivieraj.free.fr/
> >       /___/  /  \  \___\  Mail: olivieraj@???
> > ~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!

> >
>
>
> --
>       |\      _,,,---,,_           Patrice KARATCHENTZEFF
> ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
>      |,4-  ) )-,_. ,\ (  `'-'
>     '---''(_/--'  `-'\_)




-- 
      |\      _,,,---,,_           Patrice KARATCHENTZEFF
ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:patrice.karatchentzeff@gmail.com
     |,4-  ) )-,_. ,\ (  `'-'
    '---''(_/--'  `-'\_)