Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
doc:reseau:ssh:vpn [31/07/2013 20:55] captnfab [VPN avec SSH] |
doc:reseau:ssh:vpn [21/04/2015 17:32] (Version actuelle) milou [Extrait des pages de manuel ssh] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | Tuto récent, des erreurs peuvent s'y être glissées; soyez vigilents et merci de faire suivre vos remarques ici : | + | ====== ssh : VPN ====== |
| - | * [[http://debian-facile.org/forum.php|le forum debian-facile.org]] | + | |
| - | + | ||
| - | ====== VPN avec SSH ====== | + | |
| * Objet : Créer un tunnel sécurisé entre deux machines grâce à SSH | * Objet : Créer un tunnel sécurisé entre deux machines grâce à SSH | ||
| - | * Niveau requis : DÉBUTANT | + | * Niveau requis : {{tag>débutant avisé}} |
| - | * Commentaires : // Contexte d'utilisation du sujet du tuto. // | + | * Commentaires : //Contexte d'utilisation du sujet du tuto. //FIXME |
| - | * Débutant, à savoir : [[manuel:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | + | * Débutant, à savoir : |
| - | * [[manuel:reseau|Réseaux et VPN]] | + | * [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) |
| - | * [[manuel:ip_publique|Connaitre son IP]] | + | * [[:doc:reseau:reseau|Réseaux et VPN]] |
| - | * [[commande:ssh|La commande SSH]] | + | * [[:doc:reseau:ip-publique|Connaitre son IP]] |
| + | * [[:doc:reseau:ssh|La commande SSH]] | ||
| + | * Suivi : {{tag>à-tester}} | ||
| + | * Création par [[user>Switch]] le 13/09/2012 | ||
| + | * Testé par <vous> le <date> | ||
| + | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=5864 | Lien vers le forum concernant ce tuto]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
| + | |||
| + | **Nota :** Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | ||
| ===== Introduction ===== | ===== Introduction ===== | ||
| Ligne 33: | Ligne 38: | ||
| * ajouter l'option -w 0:0 à la commande ssh. | * ajouter l'option -w 0:0 à la commande ssh. | ||
| - | root@travail # ssh -w 0:0 root@maison | + | <file root>ssh -w 0:0 root@maison</file> |
| <note>L'option -w pour le mode tunnel. 0:0 définissent le numéro des interfaces tun à utiliser. Any peut être utilisé à la place d'un numéro pour utiliser la première interface disponible</note> | <note>L'option -w pour le mode tunnel. 0:0 définissent le numéro des interfaces tun à utiliser. Any peut être utilisé à la place d'un numéro pour utiliser la première interface disponible</note> | ||
| Mais une fois logé sur maison, il remarque ce message: | Mais une fois logé sur maison, il remarque ce message: | ||
| - | //channel 0: open failed: administratively prohibited: open failed// | + | channel 0: open failed: administratively prohibited: open failed |
| - | Et oui, par défaut le serveur ssh n'est pas configuré pour créer des **tunnels**! | + | Et oui, par défaut le serveur ssh n'est pas configuré pour créer des **tunnels**! \\ |
| - | Il vérifie quand même avec **ifconfig -a** ; mais ne voit pas d'interface nommée **tun0** :-? | + | Il vérifie quand même avec la commande : |
| - | Il modifie donc le **configuration** du **demon ssh** dans **/etc/ssh/sshd_config** avec la ligne: | + | <file root>ifconfig -a</file> |
| + | mais ne voit pas d'interface nommée **tun0** :-? \\ | ||
| + | Il modifie(([[doc:editeurs:nano | commande d'étition de fichier NANO]])) donc le **configuration** du **demon ssh** : | ||
| + | <file root>nano /etc/ssh/sshd_config</file> | ||
| + | |||
| + | avec la ligne: | ||
| PermitTunnel yes | PermitTunnel yes | ||
| - | Il relance le demon ssh: | ||
| - | # service ssh restart | + | Il relance le demon ssh: |
| + | <file root>service ssh restart</file> | ||
| Quitte et relance la connexion ssh. | Quitte et relance la connexion ssh. | ||
| Ligne 51: | Ligne 62: | ||
| De nouveau logé en root sur maison plus de message d'alerte. | De nouveau logé en root sur maison plus de message d'alerte. | ||
| - | Il utilise ifconfig -a pour voir toutes les interfaces, mêmes celles non activées. | + | Il utilise : |
| + | <file root>ifconfig -a</file> | ||
| + | |||
| + | pour voir toutes les interfaces, mêmes celles non activées. | ||
| tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 | tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 | ||
| POINTOPOINT NOARP MULTICAST MTU:1500 Metric:1 | POINTOPOINT NOARP MULTICAST MTU:1500 Metric:1 | ||
| - | Au passage, un petit **lsmod | grep tun** montre que le module **tun** à été lancé par **ssh pour créer l'inteface tun0**. | + | |
| + | Au passage, un petit : | ||
| + | <file user>lsmod | grep tun</file> | ||
| + | |||
| + | montre que le module **tun** à été lancé par **ssh pour créer l'inteface tun0**. | ||
| Il est donc logé **root** à la maison, et commence par y **configurer l'interface virtuelle tun0**, puis l'active: | Il est donc logé **root** à la maison, et commence par y **configurer l'interface virtuelle tun0**, puis l'active: | ||
| + | <file root>ifconfig tun0 172.16.0.1 netmask 255.255.255.252</file> | ||
| + | <file root>ifconfig tun0 up</file> | ||
| - | # ifconfig tun0 172.16.0.1 netmask 255.255.255.252 | + | Un petit |
| - | # ifconfig tun0 up | + | <file root>ifconfig</file> |
| - | Un petit **ifconfig** permet de vérifier que **tun0** à bien une **ip** et est en mode **UP**. | + | |
| + | permet de vérifier que **tun0** à bien une **ip** et est en mode **UP**. | ||
| ==== Interface tun boulot ==== | ==== Interface tun boulot ==== | ||
| - | En laissant ouverte la première console qui est connectée à la maison, il ouvre une deuxième console sur son poste au travail. | + | En laissant ouverte la première console qui est connectée à la maison, il ouvre une deuxième console sur son poste au travail. \\ |
| En root il crée l'**interface virtuelle** côté **boulot** donc: | En root il crée l'**interface virtuelle** côté **boulot** donc: | ||
| - | + | <file root>ifconfig tun0 172.16.0.2 netmask 255.255.255.252 up</file> | |
| - | boulot # ifconfig tun0 172.16.0.2 netmask 255.255.255.252 up | + | |
| Plus besoin d'être root maintenant. | Plus besoin d'être root maintenant. | ||
| Ligne 74: | Ligne 94: | ||
| __A partir du boulot:__ | __A partir du boulot:__ | ||
| - | Un **ping** sur l'ip de l'**interface virtuelle** qui se trouve à la **maison**: | + | Un **[[doc:reseau:ping]]** sur l'ip de l'**interface virtuelle** qui se trouve à la **maison**: |
| - | + | <file user>ping 172.16.0.1</file> | |
| - | $ ping 172.16.0.1 | + | |
| Le ping rebondit; les interfaces communiquent bien ! | Le ping rebondit; les interfaces communiquent bien ! | ||
| Ligne 82: | Ligne 101: | ||
| En root, il configure une **route** précisant que pour aller sur le réseau **192.168.1.0/24** ( réseau local de la maison), les paquets doivent partir du boulot par **tun0**: | En root, il configure une **route** précisant que pour aller sur le réseau **192.168.1.0/24** ( réseau local de la maison), les paquets doivent partir du boulot par **tun0**: | ||
| - | + | <file root>route add -net 192.168.1.0 netmask 255.255.255.0 gw 172.16.0.1 tun0</file> | |
| - | # route add -net 192.168.1.0 netmask 255.255.255.0 gw 172.16.0.1 tun0 | + | |
| Il tente un ping sur une machine se trouvant aussi dans le réseau local de la maison: | Il tente un ping sur une machine se trouvant aussi dans le réseau local de la maison: | ||
| - | <note tip>merci de me proposer une commande plus propre pour créer la route, je nai pas réussi à utiliser la version ip/bits</note> | + | FIXME merci de me proposer une commande plus propre pour créer la route, je nai pas réussi à utiliser la version ''ip/bits'' |
| - | $ ping 192.168.1.55 | + | <file user>ping 192.168.1.55</file> |
| Mais pas de réponse... | Mais pas de réponse... | ||
| Les messages s'arrêtent à son pc de la maison. | Les messages s'arrêtent à son pc de la maison. | ||
| Il faut activer l'**ip forwarding**, pour que ce dernier **laisse passer** à travers lui les messages destinés **aux autres machines** de la maison (le réseau local 192.168.1.0/24 entier): | Il faut activer l'**ip forwarding**, pour que ce dernier **laisse passer** à travers lui les messages destinés **aux autres machines** de la maison (le réseau local 192.168.1.0/24 entier): | ||
| + | <file root>echo 1 > /proc/sys/net/ipv4/ip_forward</file> | ||
| - | maison # echo 1 > /proc/sys/net/ipv4/ip_forward | ||
| Puis activer le NAT : | Puis activer le NAT : | ||
| - | + | <file root>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE</file> | |
| - | # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | + | |
| ==== Test du tunnel créé ==== | ==== Test du tunnel créé ==== | ||
| + | |||
| Du boulot, il tente de pinger la TrucBox de sa maison en utilisant son ip du réseau local de la maison: | Du boulot, il tente de pinger la TrucBox de sa maison en utilisant son ip du réseau local de la maison: | ||
| + | <file user>ping 192.168.1.254</file> | ||
| - | $ ping 192.168.1.254 | + | //Ça ping pour Tux// LOL |
| - | Ca ping pour Tux LOL | + | |
| <note>l'ip de la trucBox peut varier selon le modèle.</note> | <note>l'ip de la trucBox peut varier selon le modèle.</note> | ||
| ===== Utilisation ===== | ===== Utilisation ===== | ||
| - | Pour passer à la pratique; il va ouvrir son navigateur internet favoris, et tenter d'accéder à un service d'un des potes du réseau local de la maison à partir du boulot. | + | Pour passer à la pratique; il va ouvrir son navigateur internet favori, et tenter d'accéder à un service d'un des potes du réseau local de la maison à partir du boulot. |
| Il entre l'adresse de la TrucBox et accède à la page de configuration de cette dernière comme si il avait été **physiquement** dans le **réseau local de la maison** 8-) | Il entre l'adresse de la TrucBox et accède à la page de configuration de cette dernière comme si il avait été **physiquement** dans le **réseau local de la maison** 8-) | ||
| Il peut donc accéder à tous les services des postes de la maison : partages de fichiers FTP, sites web locaux, Wikis persos ou autres. | Il peut donc accéder à tous les services des postes de la maison : partages de fichiers FTP, sites web locaux, Wikis persos ou autres. | ||
| Ligne 169: | Ligne 188: | ||
| wireless VPNs. More permanent VPNs are better provided by tools such as ipsecctl(8) and isakmpd(8). | wireless VPNs. More permanent VPNs are better provided by tools such as ipsecctl(8) and isakmpd(8). | ||
| - | ==== Sources ==== | + | ==== Liens ==== |
| - | * sujet du forum Debian Facile dédiée à cette page du Wiki [[http://debian-facile.org/viewtopic.php?id=5864|ici (réservé aux inscrits)]] | ||
| * Pages de manuel SSH: | * Pages de manuel SSH: | ||
| - | man ssh | + | <file user>man ssh</file> |
| * Page basée sur ce : [[http://www.pointslash.eu/?p=94|tuto du site PointSlash]] | * Page basée sur ce : [[http://www.pointslash.eu/?p=94|tuto du site PointSlash]] | ||
| + | |||
