[FreeBSD] SSHD - Probleme d'acces derriere NAT [Résolu]

Aramis · 22/03/2006, 19h33

Bonsoir a toutes et a tous,

Je suis en train de mettre en place un segment reseaux prive dans mon universite. Le but est de pouvoir controller les equipements reseaux tel que par-feu, switch et router via un Server Console (Cisco 2500 series) et de controller les differents hotes via windows 2000 Server avec Traduction d'adresse (NAT). les hotes connectes a mon reseaux prive tournent sous FreeBSD 5.4 et doivent etre accessible via SSH.

Depuis cet apres midi je galere pour pouvoir acceder a mes hotes avec puTTY depuis une machine sous Windows XP. Pendant un moment j'ai bien cru que mes configurations reseaux et NAT etaient mal faite. Cependant la console de traduction de Win2k indique bien que ma requete a ete accepte sur le port que j'ai choisi (2001) et ensuite retransmisse vers l'hote que je veux contacter sur le port numero 22. Malheureusement, la connexion expire

Qui plus est, pendant que puTTY essaye d'etablir la connexion, je fais un "sockstat | grep sshd" sur l'hote directement mais la console indique aucune connexion etablie.

Notez que une connexion SSH depuis la passerelle win2k marche parfaitement.

J'en conclue donc que mon daemon SSH ne sait que faire de cette connexion entrante.
* dois je rajouter une commande ou une ligne de configuration dans FreeBSD 5.4 ? si oui laquelle?
* y a t il un parametre supplementaire a ajouter au daemon SSH?
* puTTY doit il etre configure d'une maniere particuliere?

Merci par avance aux participant(e)s.

Ar@mi$

zul · 23/03/2006, 09h24

Pour commencer j'essayerai de voir ce que tcpdump voit arriver sur le port 22.

Vérifier que le daemon sshd est bien lancé
Vérifier que les clés ont été généré
Vérifier la version du protocole utilisé sur le serveur et celle sur le client
Verifier que le daemon est bien lancé sur le port 22
Regarder les logs
Vérifier qu'un firewall n'est pas activé ( je ne pense pas toutefois qeu ce soit ca le probleme ).

Avec aussi peu d'indications coté freebsd, c'est difficile de faire un diagnostique.

Aramis · 23/03/2006, 11h42

Citation:

Envoyé par zul

Vérifier que le daemon sshd est bien lancé
Verifier que le daemon est bien lancé sur le port 22

Citation:

Envoyé par Aramis

Notez que une connexion SSH depuis la passerelle win2k marche parfaitement.

Cela ne repond t il pas a votre question?

Citation:

Envoyé par zul

Vérifier que les clés ont été généré

Lorsque la connexion SSH est etablie depuis la passerelle avec puTTY, il est effectivement demande d'accepter la clef. J'en deduis donc que les clefs sont generees. Cependant il doit bien y avoir un moyen d'en avoir le coeur net... la question est comment?

Citation:

Envoyé par zul

Vérifier la version du protocole utilisé sur le serveur et celle sur le client

Toutes les options de puTTY sont par defauts aussi bien lorsque je teste avec la passerelle ou bien depuis la machine "cliente". SSHD est active via le fichier rc.conf avec la commande suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
sshd_enable="YES"

la commande "sockstat | grep sshd" donne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
root    sshd    396    3    tcp6    *:22    *:*
root    sshd    396    4    tcp4    *:22    *:*

Citation:

Envoyé par zul

Regarder les logs

Les quels?

Citation:

Envoyé par zul

Vérifier qu'un firewall n'est pas activé ( je ne pense pas toutefois qeu ce soit ca le probleme ).

Comme mentione ci-dessus la requete est bien retransmisse de l'interface publique vers l'interface privee. La machine FreeBSD ne possede pas de par-feu.

Citation:

Envoyé par zul

Avec aussi peu d'indications coté freebsd, c'est difficile de faire un diagnostique.

Je vous retourne la faveur. Avec un commentaire pareil il est difficile de determiner les informations que vous desirez.

Citation:

Envoyé par zul

Pour commencer j'essayerai de voir ce que tcpdump voit arriver sur le port 22.

Je vais voir ce que je peux faire.

Ar@mi$

zul · 23/03/2006, 14h06

Désolé je n'avais pas vu

Citation:

Notez que une connexion SSH depuis la passerelle win2k marche parfaitement.

Ca élimine un bon nombre de piste d'un coup. ( la prochaine fois je boirai au moins 2 café avant de répondre ).

Les clés sont générés sinon tu aurai pas pu te connecter ( ce sont des fichiers du genre ssh_host_dsa_key ssh_host_rsa_key ssh_host_dsa_key.pub .. dans /etc/ssh ).

Le fichier de log pour sshd est de base /var/log/syslog ou /var/log/messages Il faudrait que je vérifie.

Si tu arrive à te connecter directement sur le sshd, je ne pense pas que ca soit un probleme de configuration. Je pencherai plus pour un problème de routage. tcpdump / windump devrait mettre le problème en evidence je pense.

Aramis · 23/03/2006, 17h53

Bonsoir,

probleme

J'ai decouvert que la requete de connexion arrivait en claire sur le daemon SSH, c'est a dire que mon adresse publique parait dans les packets. Or mon hote FreBSD n'avait aucune idee de la route vers laquelle retransmettre la reponse. J'ai donc ajoute une route par defaut comme qui suit:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$ su
$ 
#route -n add -net publicNetwork gateway 192.168.0.2

et tout marche

Mais j'ai honte quand meme, j'ai pense betement que la machine retransmettrai les communications dans le sens inverse

bon maintenant je m'en vais galerer pour faire marche FreeBSD avec un proxy HTTP/FTP....

Ar@mi$

22/03/2006, 19h33	#1
Aramis Membre Expert Inscription : juin 2002 Messages : 1 502 Détails du profil Informations personnelles : Âge : 31 Informations forums : Inscription : juin 2002 Messages : 1 502 Points : 1 307 Points : 1 307	[FreeBSD] SSHD - Probleme d'acces derriere NAT Bonsoir a toutes et a tous, Je suis en train de mettre en place un segment reseaux prive dans mon universite. Le but est de pouvoir controller les equipements reseaux tel que par-feu, switch et router via un Server Console (Cisco 2500 series) et de controller les differents hotes via windows 2000 Server avec Traduction d'adresse (NAT). les hotes connectes a mon reseaux prive tournent sous FreeBSD 5.4 et doivent etre accessible via SSH. Depuis cet apres midi je galere pour pouvoir acceder a mes hotes avec puTTY depuis une machine sous Windows XP. Pendant un moment j'ai bien cru que mes configurations reseaux et NAT etaient mal faite. Cependant la console de traduction de Win2k indique bien que ma requete a ete accepte sur le port que j'ai choisi (2001) et ensuite retransmisse vers l'hote que je veux contacter sur le port numero 22. Malheureusement, la connexion expire Qui plus est, pendant que puTTY essaye d'etablir la connexion, je fais un "sockstat \| grep sshd" sur l'hote directement mais la console indique aucune connexion etablie. Notez que une connexion SSH depuis la passerelle win2k marche parfaitement. J'en conclue donc que mon daemon SSH ne sait que faire de cette connexion entrante. * dois je rajouter une commande ou une ligne de configuration dans FreeBSD 5.4 ? si oui laquelle? * y a t il un parametre supplementaire a ajouter au daemon SSH? * puTTY doit il etre configure d'une maniere particuliere? Merci par avance aux participant(e)s. Ar@mi$ __________________ Avant de Poster Lire les Regles! Merci ------------------------------------------------- "The only Way for Evils to Triumph is for Good Men to Do Nothing" Edmund Burke (1729 - 1797)
	00

23/03/2006, 09h24	#2
zul Membre expérimenté Inscription : juin 2002 Messages : 498 Détails du profil Informations forums : Inscription : juin 2002 Messages : 498 Points : 575 Points : 575	Pour commencer j'essayerai de voir ce que tcpdump voit arriver sur le port 22. Vérifier que le daemon sshd est bien lancé Vérifier que les clés ont été généré Vérifier la version du protocole utilisé sur le serveur et celle sur le client Verifier que le daemon est bien lancé sur le port 22 Regarder les logs Vérifier qu'un firewall n'est pas activé ( je ne pense pas toutefois qeu ce soit ca le probleme ). Avec aussi peu d'indications coté freebsd, c'est difficile de faire un diagnostique.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email