Differences

This shows you the differences between two versions of the page.

--- system_administration:networking:ssh_remote_port_forwarding_for_4g [2022/03/23 21:45] – [Références utiles] aziz
+++ system_administration:networking:ssh_remote_port_forwarding_for_4g [2023/08/17 13:14] (current) – [Créer la redirection depuis le client] aziz
@@ Line 1: / Line 1: @@
+{{tag> network ssh}}
 ====== Accéder à un serveur derrière un router 4G en Algérie ======
-[[https://unix.stackexchange.com/a/115906|{{ :system_administration:ssh_remote_port_forwarding.png?400 |}}]]
+[[https://unix.stackexchange.com/a/115906|{{ :system_administration:ssh_remote_port_forwarding.png?400 }}]]
-En Algérie,  un serveur connecté à  internet à travers un  router 4G
+En Algérie,  un serveur connecté à  internet à travers un  router 4G n'est pas accessible depuis l'extérieur (en dehors du LAN).
-n'est pas accessible depuis l'extérieur (en dehors du LAN).
-C'est le cas  notamment avec l'opérateur [[https://www.djezzy.dz/entreprises/offres/pack-djezzy-modem-pro/|Djezzy]]. Même  en ouvrant et
+C'est le cas  notamment avec l'opérateur [[https://www.djezzy.dz/entreprises/offres/pack-djezzy-modem-pro/|Djezzy]]. Même  en ouvrant et en redirigeant les  ports nécessaires pour une connexion  SSH ou HTTP, le serveur demeure inaccessible.
-en redirigeant les  ports nécessaires pour une connexion  SSH ou HTTP,
-le serveur demeure inaccessible.
-Il est donc  probable que les adresses IP rapportées  sur ce type de
+Il est donc  probable que les adresses IP rapportées  sur ce type de modems ou en utilisant la ligne de commande soient non-adressables.
-modems ou en utilisant la ligne de commande soient non-adressables.
-Une démarche  quelque peu  compréhensible si  on considère  que cela
+Une démarche  quelque peu  compréhensible si  on considère  que cela permet de protéger les  devices téléphoniques, principaux clients de ce type de réseau.
-permet de protéger les  devices téléphoniques, principaux clients de
-ce type de réseau.
 Comment accéder à un serveur dans ces conditions.
@@ Line 21: / Line 18: @@
 ===== Redirection de ports à travers un serveur distant avec SSH =====
-Cette technique utilise la fonctionnalité de tunneling apportée en
+Cette technique utilise la fonctionnalité de tunneling apportée en natif sur OpenSSH.
-natif sur OpenSSH.
+==== Paramétrage du serveur distant ====
-Nous initions  une connexion  depuis le serveur  en 4G  (Serveur A)
+Par défaut le serveur distant n'ouvre la redirection que sur son interface locale ((https://serverfault.com/a/997135)). Ceci est insuffisant.
-vers un serveur accessible et proprement adressable (Serveur B). Le
-Serveur B fonctionnera  alors comme une passerelle  pour accéder au
+Nous devons donc paramétrer le serveur ssh pour  que le port forwardé soit accessible sur l'interface publique avec l'instruction suivante dans le fichier de  configuration ''/etc/ssh/sshd_config'':
-Serveur A.
+<code ini>
+GatewayPorts clientspecified
+</code>
+==== Créer la redirection depuis le client ====
+Nous initions  une connexion  depuis le serveur  en 4G  (Serveur Hidden) vers un serveur accessible et proprement adressable (Serveur Visible). Le **Serveur Visible** fonctionnera  alors comme une passerelle  pour accéder au **Serveur Hidden**.
 <code bash>
-ssh -N -f -R 11122:localhost:22 limiteduser@64.212.113.165
+ssh -N -f -g -R *:11122:localhost:22 limiteduser@ip.serveur.visible
 </code>
+Avec cette  commande nous donnons accès au port 22  du **Serveur  Hidden** à travers le port 11122 du **Serveur Visible**.
-Avec cette  commande nous ouvrons  l'accès ssh  sur le Serveur  A à
+L'utilisateur **limiteduser** est restreint et a **/bin/false** comme shell.
-travers le port 11122 du Serveur B.
-Donc, avec la commande suivante, nous accéderons au port 22 du serveur A.
+Donc, avec la commande suivante, nous nous connectons au port 22 du **Serveur  Hidden**.
 <code bash>
-ssh -p 11122 userb@64.212.113.165
+ssh -p 11122 userServeurHidden@ip.serveur.visible
 </code>
-Pour maintenir  ce tunnel ouvert,  nous pouvons nous aider  avec un
+Pour maintenir  ce tunnel ouvert,  nous pouvons nous aider  avec un cron job qui  testera le fonctionnement et qui  relancera le tunnel si celui-ci venait à être coupé. ((
-cron job qui  testera le fonctionnement et qui  relancera le tunnel
+[[https://www.harding.motd.ca/autossh/|autossh]]   fait théoriquement ce travail  mais les résultats n'étaient pas satisfaisants
-si celui-ci venait à être coupé. (([[https://www.harding.motd.ca/autossh/|autossh]] fait théoriquement ce travail
+))
-mais les résultats n'étaient pas satisfaisants))
 <code bash keep_tunnel_alive.sh>
@@ Line 63: / Line 67: @@
     # ... aident à optimiser les conditions de connexion
     # voir man ssh
-    timeout 60 ssh -N -f -o ControlMaster=auto \
+    timeout 60 ssh -N -f -g -o ControlMaster=auto \
             -o ControlPath=/tmp/%u:%r@%h:%p \
             -o ControlPersist=120m \
@@ Line 70: / Line 74: @@
             -o ServerAliveInterval=60 \
             -o ServerAliveCountMax=3 \
-            -R 11122:localhost:22 \
+            -R *:11122:localhost:22 \
             limiteduser@64.212.113.165
 fi
 </code>
-Dans ce script à lancer par cron on peut intier d'autres connexions
+Dans ce script à lancer par cron on peut initier d'autres connexions pour donner  accès à d'autres  ports comme une application  web par exemple.
-pour donner  accès à d'autres  ports comme une application  web par
-exemple.
 ==== Références utiles ====
+  * [[https://tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.rpdb.multiple-links.html]]
   * [[https://www.booleanworld.com/guide-ssh-port-forwarding-tunnelling/]]
+  * [[https://unix.stackexchange.com/a/22794]]
   * [[http://linux-ip.net/html/adv-multi-internet.html]]
   * [[http://linux-ip.net/html/tools-ip-rule.html]]
   * [[https://unix.stackexchange.com/questions/4420/reply-on-same-interface-as-incoming]]
-  * https://www.ordinoscope.net/index.php/Informatique/Linux/R%C3%A9seau/Iproute/Recettes/Plusieurs_subnets_%26_plusieurs_routes
+  * [[https://www.ordinoscope.net/index.php/Informatique/Linux/R%C3%A9seau/Iproute/Recettes/Plusieurs_subnets_%26_plusieurs_routes]]