[ssh] Accès à une machine à distance (résolu)

[Tristelune]

Salut à tous,

j'aimerais accéder à une machine à distance, donc qui n'est
pas au même lieu géographique. J'aimerais y accéder par ssh ou
copier via scp, mais ça ne fonctionne plus. En effet, ça allait jusqu'au
moment où le routeur menant à la machine a été changé. Et depuis je n'y arrive plus.
C'est sûr à 99% que la connexion est bloqué par le routeur. Et je ne m'y connait pas
trop . J'ai jeté un coup d'oeil à la configuration du routeur et j'ai
un vague souvenir qu'il faut ajouter une règle NAT. Mais ensuite je coince, je peux ajouter soit:

- une règle WAN ETHoP
- une règle WAN PPPoE

J'ai trouvé quelques infos sur PPPoE, mais rien sur ETHoP. Quel est la différence et sur quoi je dois me baser pour faire un choix ?

Ensuite, peut importe ce que je choisis, je dois toujours entrer la même chose et tout n'est pas clair.

A noter qu'on a essayé de se renseigner chez le founisseur du routeur... je ne sais toujours pas s'il n'y connais rien ou s'il ne voulait pas nous aider . Encore à noter que l'adresse IP de la machine à l'air d'être fixe à 192.168.1.4 pour une raison que j'ignore... mais bon ça ira .

Je dois remplir les champs suivants et je vais spécifier chaque fois que j'ai une idée.
Après le "->" mes commentaires et les choix sont séparés par des "/":

Matching:
Source address: Any/User defined/192.168.1.4 -> je suppose que any va bien
Destination address: Any/User defined/192.168.1.4 -> je pense la machine sur laquelle j'aimerais me connecter, donc 192.168.1.4
Protocol: -> SSH me paraît bien

Operation:
NAT/NAPT : quelle est la différence ?

NAT Adresses:
Add/User defined/192.168.1.1, "Source IP translation rule" -> 192.168.1.1 est l'adresse du routeur. Aucune idée ici.

Merci pour le coup de main!

[Tristelune]

Ca y est, ça fonctionne !!!

Alors je ne connais pas la cause exacte, mais il se trouve
que le routeur a été changé sur le réseau de la machine distante.
Donc je pense que c'est lui qui me faisait des misères. On a
essayé au pif d'établir des règles NAT, mais ça n'a pas fonctionné.

Il faut faire un port forwarding et là ça fonctionne. Je ne sais encore
pas exactement ce que c'est, mais bon, le résultat est là. Je pense tout simplement
que quand une communication arrive sur le port mentionné, le routeur le redirige
sur la machine mentionnée dans la règle.

Bref, au poil maintenant!!!

[z3bra]

quand une communication arrive sur le port mentionné, le routeur le redirige
sur la machine mentionnée dans la règle.

C'est exactement ça
Lorsque tu te connectes à ta machine à distance, tu utilises pour ça ton IP publique, et la machine qui reçoit cette connection (disons sur le port 22), c'est ton routeur. Et ce dernier n'a, à la base, aucun service en écoute sur ce port, il se contente donc d'attendre que ça passe. En revanche, en ajoutant une règle NAT, tu peux rediriger les connections arrivant vers le port 22 de ton routeur, vers un port d'une machine du réseau local (disons sur le port 1234).

En te connectant depuis l'exterieur, tu vas envoyer tes paquets vers le port 22 de ton routeur qui va lui, tout retransmettre à ta machine sur son port 1234.

J'espère avoir été clair et que ça te permettra de comprendre comment ça fonctionne

[Tristelune]

Merci pour tes explications, mais je vais profiter pour te demander quelques compléments.

En revanche, en ajoutant une règle NAT

Là ce n'est pas clair. En fait au départ je voulais ajouter une règle NAT.
C'est pourquoi dans la partie sécurité du routeur, on a choisi NAT. Et là
on pouvait ajouter une règle. Mais ça n'a pas fonctionné. Il a fallu
faire le réglage dans port forwarding. Que comprend-t-on par règle NAT ?

tu peux rediriger les connections arrivant vers le port 22 de ton routeur, vers un port d'une machine du réseau local (disons sur le port 1234).

A ce niveau-là, on a fait aucun changement. C'est redirigé vers le port
22 de la machine distante. Vaut-il mieux rediriger vers un autre port ?
Si oui, pourquoi ?

[oktoberfest]

tu peux rediriger les connections arrivant vers le port 22 de ton routeur, vers un port d'une machine du réseau local (disons sur le port 1234).

A ce niveau-là, on a fait aucun changement. C'est redirigé vers le port
22 de la machine distante. Vaut-il mieux rediriger vers un autre port ?
Si oui, pourquoi ?

Tu peux plutôt faire le contraire : lancer ton serveur ssh sur le port 22, et faire une redirection de ton routeur du port 1234 vers le port 22 de ton serveur.

Les avantages que je vois :
- dans ton réseau local tu accèdes à ton serveur ssh via le port standard, donc pas de configuration spécifique
- de l'extérieur tu dois utiliser le port 1234, qui n'est pas le port standard ssh. Celui qui veut accéder à ton réseau interne via ssh va tester le port 22 de ton routeur. Même s'il voit que le port 1234 est ouvert, il ne pensera pas qu'il y a du ssh derrière. C'est une bonne pratique de ne pas utiliser les ports standards pour ajouter une 'difficulté' à celui qui veut entrer chez toi.

[benjarobin]

Le port forwarding (http://fr.wikipedia.org/wiki/Redirection_de_port) est une règle NAT particulière
Sinon non tu peux très bien sans aucun souci garder le même port pour l'entrée et la sortie (ici le port 22)

Il faut savoir que le serveur sshd écoute sur le port 22 donc le port locale doit être le 22 (sauf si tu as changé la configuration de sshd), mais le distant tu peux très bien mettre autre chose que le 22 : Dans ce cas lors de la connexion avec ssh (le client) tu doit spécifier le nouveau port, car par défaut il utilise le 22

@oktoberfest Tu n'ajoute aucune difficulté, mais tu permet d'éviter les "bot" (robot) qui ne test que le port 22, un humain trouvera en quelques secondes la changement de port

[Tristelune]

Parfait, merci pour ces précisions!!!

[defer]

bonjour
et pourquoi ne pas tout simplement configurer sshd pour écouter sur le port 1234?
exit le port 22