Discussion :

[frederic13870]

Bonsoir ,
Je fais tourner Debian sur un Raspberry Pi 3.
Quand je me connecte à partir d'un poste du réseau privé, je tape la commande ssh pi@mon_ip/mdp et
tout fonctionne bien.
Je possède une adresse ip fixe sur mon routeur.
Quand j'essaie de me connecter de la manière ssh pi@mon_ip_internet_fixe, alors apparait le message suivant :
Permission denied, please try again.
Est-ce un problème de configuration de sshd sur le serveur Debian ?

[disedorgue]

Bonjour,

Et ton routeur, il fait quoi au juste par rapport à ton raspberry ?

Au peu d'informations que tu donnes, je pencherais plus sur un problème de configuration routeur.

[frederic13870]

Merci pour l'aide.

J'ai un routeur Zyxel, paramètre par OVH, mon provider.
Du coté d'OVH, on m'a assuré que rien n'empêchait la connexion en ssh.
Perso, j'en doute.
Mais , peut-être, veut la config de sshd ?

[tabouret]

En général les firewalls proprement configurés font du deny et non du reject donc ça finirait surement en timeout.

Envoie ton sshd_config stp fais un tour du coté de /var/log/auth.log aussi.

[frederic13870]

Bonsoir ,
Je résume :
J'ai fait ssh-copy-id -i id_rsa.pub pi@réseau_privé sur la machine distante en réseau local.
Avant, j'avais généré une clef publique sur l'hôte avec keygen.
Quand, je me connecte sur mon réseau privé, tout marche nickel.
La machine distante sur laquelle tourne open-ssh me demande la passphrase de la clé quand je suis connecté.
Bon début, mais :
Si je tente de faire ssh-copy-id -i id_rsa.pub pi@adresse_publique_ipV4_unique sur la machine distante alors j'ai :

INFO: 1 -key(s) remain to be installed -- if you are prompted now it is to install the new keys.

En clair , la clef publique refuse de s'installer .
J'ai par la suite, une demande du mot de passe root de la machine distante.

Voici le sshd_config de mon serveur sshd :

IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes

Je ne sais pas où trouver de la documentation et suis bien sûr preneur pour toute aide.

[tabouret]

Essaye cette commande :

cat /var/log/auth.log | grep <ton_nom_d_utilisateur>

Normalement, ou bien y a des choses qui sont renvoyés (et auquel cas met les ici stp) et les refus d'accès sont coté Debian, ou bien il n'y a rien et dans ce cas ton refus d'accès se situe plus en amont (donc coté routeur).

On va partir du principe que tu n'as pas touché à PAM. Envoie quand même ton /etc/pam.d/sshd dans la foulée quand même si possible stp.

Bizarre ton sshd_config ne stipule aucunement une authentification par clef publique.Fais moi plaisir et rajoute moi un "PermitRootLogin no" dans ton sshd_config ^^

Ton routeur il passe comment de l'IP publique à l'IP privée? NAT je suppose? Si oui envoie la règle NAT que tu as mise en place.

[tabouret]

Fais ça sur ton poste distant :

telnet mon_ip_internet_fixe 22

Ou change le port 22 par le port utilisé par ton routeur s'il fait du NAT.

Si ça finit en timeout ----> ton problème vient du réseau (Firewall ou règle NAT vraisemblablement).