Tunnel Ssh (Probl

[stefjmj]

Bonjour à tous,

Je suis sous DSM 4.3 et je souhaite installer un tunnel SSH, mais celui ne fonctionne pas. Firefox indique que la connexion a échoué.

Voici les actions menées :

1. Voici le contenu de mon fichier (etc/ssh/sshd_config). Notez que j'ai modifié le port 22 en 443.

# $OpenBSD: sshd_config,v 1.82 2010/09/06 17:10:19 naddy Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

Port 443
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
- /etc/ssh/sshd_config 1/141 0%

# $OpenBSD: sshd_config,v 1.82 2010/09/06 17:10:19 naddy Exp $

# This is the sshd server system-wide configuration file. See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented. Uncommented options change a
# default value.

Port 443
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

# The default requires explicit activation of protocol 1
#Protocol 2

# HostKey for protocol version 1
#HostKey /etc/ssh/ssh_host_key
# HostKeys for protocol version 2
#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_dsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key

# Lifetime and size of ephemeral version 1 server key
#KeyRegenerationInterval 1h
#ServerKeyBits 1024

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#RSAAuthentication yes#RSAAuthentication yes
#PubkeyAuthentication yes
#AuthorizedKeysFile .ssh/authorized_keys

# For this to work you will also need host keys in /etc/ssh/ssh_known_host
#RhostsRSAAuthentication no
# similar for protocol version 2
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# RhostsRSAAuthentication and HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to no to disable s/key passwords
#ChallengeResponseAuthentication yes
ChallengeResponseAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

#UsePAM no
AllowAgentForwarding yes
AllowTcpForwarding yes
GatewayPorts yes
#X11Forwarding no
#X11DisplayOffset 10
#X11UseLocalhost yes
#PrintMotd yes
#PrintLastLog yes
TCPKeepAlive yes
UseLogin no
#UsePrivilegeSeparation yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
UseDNS no
#PidFile /var/run/sshd.pid
#MaxStartups 10
PermitTunnel yes
ChrootDirectory none
#ChrootDirectory /var/services/homes/%u
#DenyUsers admin

# no default banner path
#Banner none

# override default of no subsystems
#Subsystem sftp /usr/libexec/sftp-server
#Subsystem sftp internal-sftp -f DAEMON -l VERBOSE -u 000
Subsystem sftp internal-sftp -f DAEMON -u 000
#Subsystem sftp /usr/syno/sbin/sftp-server -l DEBUG3

# the following are HPN related configuration options
# tcp receive buffer polling. disable in non autotuning kernels
#TcpRcvBufPoll yes

# allow the use of the none cipher
#NoneEnabled no

# disable hpn performance boosts.
#HPNDisabled no

# buffer size for hpn to non-hpn connections
#HPNBufferSize 2048

# Example of overriding settings on a per-user basis
Match User root
# X11Forwarding no
AllowTcpForwarding yes
# ForceCommand cvs server

2/ J'ai redirigé le port 443 vers mon synology (voir copie écran).

3/ Paramétrage de putty (session tunnel) => Voir copie écran

Je clique sur open et je me connecte en root (pas de message d'erreur).

4/ Dans le navigateur firefox, dans la partie hôte socks, j'ai mis 127.0.0.1 avec le port 443.

Lorsque j'essaye de naviguer sur internet, firefox m'indique que la connexion a échouée.

Je ne parviens pas à m'en sortir, quelqu'un peut-il m'aider ?

Merci d'avance

[Fravadona]

n'oublies pas de configurer Firefox pour qu'il utilise 127.0.0.1:443 comme proxy

[bud77]

Généralement, dans "destination" , je met "localhost:443" car là, a mon avis, il ne sait pas ou envoyer tes requêtes sur le port 443

[stefjmj]

Merci tous les deux pour votre aide.

@bud77 : Ton message m'a aidé à progresser. Au lieu d'avoir la connexion à échouée, j'ai La connexion a été refusée par le serveur proxy !

Apriori, j'ai un problème avec le proxy, mais là, je ne comprends pas, car j'ai bien redirigé le port 443 vers mon nas et j'ai désactivé le pare-feu windows.

J'ai aussi mis la clef network.proxy.socks_remote_dns à true dans firefox...

J'ai aussi désactivé le pare-feu windows... au cas où ? Auriez-vous une piste ?

Ais-je autre autre action à réaliser ?

Mon fournisseur d'accès internet est free (revolution).

[bud77]

Vérifie que tu as bien désactivé le firewall du syno (cocher la case "si aucune règle remplie -> autoriser l'accès")

[stefjmj]

Merci beaucoup. le problème venait bien du proxy du synology. je testerai demain dans un réseau extérieur. Encore merci bud.

[bud77]

C'est tellement rare de voir encore des gens faire des tunnels SSH, que j'étais obligé de répondre

PS : A ta place, je modifierai pas le port SSH, mais je ferait une redirection du port 443 vers le port 22 dans le routeur freebox

Modifié le 28 octobre 2013 par bud77

[stefjmj]

Cela a pourtant des aspects bien pratiques. si je vais teste dans un site qui possède un proxy. Devrais-je paramétrer quelque chose dans le menu proxy de putty ou cela sera transparent ?

[bud77]

Je préfère un tunnel SSH à un vpn, mais bon, tout les gouts sont dans la nature

Sinon, normalement, rien à changer de plus

[stefjmj]

Snif...

Je suis sur un site en extérieur. Putty se connecte bien sur mon synology, par contre firefox indique que la connexion a échoué Firefox ne peut établir de connexion avec le serveur à l'adresse www.leterrierweb.fr.

Côté putty, j'ai indiqué :

Source port :443

Destination : localhost:443

Côté firefox :

dans la partie hôte socks, j'ai mis 127.0.0.1 avec le port 443.

Je sèche

[bud77]

Je me doutais que çà ne fonctionnerai pas comme çà

Là, tu veux que ton syno soit ton proxy, sauf que, il n'a pas la fonction proxy à l'heure actuelle

Il faudrait voir si squid (inclus dans le package squidguard) te rajouterai la fonction

Il faudra alors crée ton tunnel du port 443 vers le localhost:XXXX (port de squid)

Sinon, je vois pas trop comment procéder

[Fravadona]

Pour moi le proxy SOCKSv5 fonctionne, mais je n'utilises pas putty

Etablissement tunnel SSH

ssh -D 1234 -N user@syno.exemple.fr 

Et sur firefox

SOCKS Host: localhost            Port : 1234

SOCKS v5

No Proxy for:   localhost, 127.0.0.1, syno.exemple.fr

[cultive]

Je confirme que le tunnel SSH fontcionne avec putty sur un pc client sur un réseau local avec restriction d'accès.

SUR PUTTY :

config de connexion : ton IP avec le port 443 (perso j'ai fais une redirection du 22 sur le 443 par ma box c'est beaucoup plus simple)

config le proxy du réseau local ou tu te trouves (dans les options de ie ou firefox c'est configuré par défaut, les ports sont généralement 8080 ou 3128)

config du tunnel : tu add un port > 1024 en "dynamic" (j'utilise le 7171 et ca marche nikel) sans mettre d'adresse.

Open => root , mdp

SUR FIREFOX :

La tu mets localhost en SOCKSv5 avec le port 7171

et là c'est magique, tu deviens libre.