Se connecter à son serveur debian depuis un point d'accés

Trucs et Astuces
#21

Si je résume la situation, il y a 2 possibilités:
[ul]1 utiliser un proxy en PHP qui peut s’installer aussi bien sur un serveur mutualisé que sur un auto-hébergé
2 utiliser le port 443 via du ssh pour se connecter à un serveur nous appartenant, et s’en servir de relais, en suivant ce tuto: http://michauko.org/blog/tunnels-tcp-vi%20…%20y-etc-181/[/ul]

Quel proxy php recomendez vous ? google m’en propose pas mal qui fonctionnent avec https:
jenssegers/php-proxy · GitHub
cowboy/php-simple-proxy · GitHub
proxy php - Google Code
PHProxy++ Anonymizing PHP Web Proxy - SourceForge
phpMyProxy

Lequel recommanderiez vous ?

#22

J’ai installé sur un EeePC900 un serveur OpenVPN en suivant ce tuto.

J’ai réussi à faire installer le client et les certificats à mon fils par téléphonne (pour le mot de passe) et par mail pour les fichiers de certificat,
(et il n’y connaît absolument rien…)

Depuis, il l’utilise avec son Win 8 en passant par des hot-sopt WiFi qui bloquaient ftp et autres protocoles.

L’échange des clefs se fait par le port 443, ensuite, c’est un autre port qui est utilisé pour la communication.
De plus, sur mon serveur, le process OpenVPN est chrooté, je suis bien tranquille.
Au pire, ils n’auraient accès qu’à une machine sur laquelle il n’y a aucune données personnelles.
Je n’ai pas encore créé de DMZ pour isoler ce serveur, mais c’est en projet.

L’EeePC900 tourne 24/24, et je n’ai que 7 ou 8 tentatives d’accès ratées par jour
provenant d’un peu partout.

=============
Je dis tout ça des fois que ça puisse t’inspirer pour résoudre ton pb:

[quote=“piratebab”]- relayer le trafic internet aprés une authentification (je ne veux pas faire un proxy public)

  • avoir une liaison chiffrée entre le client et le proxy qui passe les protection de mon employeur (qui ont l’ai assez sévère, même TOR ne passe pas)
    [/quote]

EDIT: j’ai modifié mon post, car, par “tout passe”, je pensais à : la communication sera toujours possible, étant donné que l’échange de clef ne peut être bloqué par l’admin (sinon, il bloque tout ce qui est sécure (https)
La communication (chiffrée d’ailleurs) se fait sur un autre port (bien plus haut) qui est décidé après l’échange de clefs, et donc ce port sera inconnu de l’admin et des routeurs…Et finalement, avec OpenVPN, “tout passe”. :slight_smile:

#23

[quote=“vv222”]
C’est le boulot de l’admin de la boîte de poser ces limites, et ça me paraît une bien meilleure idée de le contacter en cas de problème plutôt que de tenter de passer outre le pare-feu de la boîte.[/quote]

Je suis d’accord, mais dans un grand groupe, mon admin, je ne le connais, je ne sais pas qui c’est, j’ai tout juste un numéro de tel ou un standard me demande d’appuyer sur 1, 2 , 3 suivant mes choix…

#24

Merci Micp, c’est une astuce à retenir.
Chuck, bienvenu au club des utilisateur de boites vocales, et d’interlocuteurs incompétants …

#25

j’ai mis dans le 1er post le bilan des astuces proposées.
Je viens d’en trouver une nouvelle: un serveur vpn gratuit: korben.info/nolimitvpn-acces-vpn-gratuit.html

Je l’ai configuré sur mon poste au taf, mais connexion impossible …

#26

Gaffe ! : PPTP => Layer 2 Tunneling Protocol (L2TP) et IPsec
et là, c’est une autre histoire : je sais pas si ça va passer…
Et si ça passe, est-ce que ça passera longtemps.

Tandis qu’avec OpenVPN sur le port 443 ça passe (et passera) sans problème,
et je doute que l’admin ferme le port 443…
quoique, il peut essayer s’il veut tenter l’expérience :slight_smile:

#27

ça doit étre ça.
J’ai juste créer un vpn dans la config réseau W7
Le proxy est vraiment très peu permissif, mais 443, ça passe encore …
Et si j’installe putty coté client, je peux peut être forcer PPTP sur le port 443 non ?

#28

Je n’ai pas assez d’expérience avec Putty, et trop peu avec win pour pouvoir répondre à ces questions,
et même si la question de port était (pouvait être ?..) résolue côté client et côté serveur,
je ne sais pas si les routeurs rencontrés (chez l’employeur) permettront de laisser passer les paquets encapsulés par GRE.

Sans doute que d’autres intervenants dans ce fil seront plus aptes à répondre à ces questions.

#29

serveur ssh installé sur mon poste debian à la maison, sécurisé un minimum (connexion autorisée pour un seul utilisateur), NAT fait au niveau de la box (443 internet vers port 22 serveur ssh). Demain au taf je configure putty.

#30

Hello,

Au boulot on a firewall applicatif qui fait IDS/IPS (c’est un Palo Alto) : ce petit joujou possède la particularité de voir tout les protocoles et les applications en coupure LAN et WAN. La conséquence c’est que le ssh est impossible sur autre chose que du 22, que si vous faîtes du DNS sur un autre port que le port 53, ça bloque. Que si vous faîtes de l’http en dehors du 80, ça bloque, et ainsi de suite. Évidement un tel firewall applicatif coûte cher (et surtout l’abonnement aux signatures des nouvelles applications qui coûte cher). Après tout dépend de ce que votre DSI a mis en place, mais ces produits se généralisent en entreprise. Juniper fait ça très bien aussi, de même que les UTM (Unified Threat Management) chez Sophos.

Bref tout ça pour dire qu’il est possible que ça ne passe toujours pas le ssh dans le 443 (ce que j’ai fais pendant un bon moment, et qui marche plutôt bien).

De mon point de vue je reste persuadé que le smartphone en point d’accès wifi reste la solution la plus propre pour pas se faire virer (j’imagine que vous avez signé un règlement intérieur ou une charte informatique).

#31

ça doit étre un truc de ce genre qui est installé (trés grosse entreprise, ils ont les moyens de se le payer).
Et j’ai refusé de signer la charte informatique qui interdit d’installer tout nouveau logiciel, quel que soit sa licence.
Alors que nous avons des logiciels métiers, non pris en charge par la DSI, que nous devons installer nous même …

Je bloque sur un point: récupérer les infos du proxy pour configurer putty. est ce la passerelle obtenue via un ipconfig ?

#32

récupérer les infos du proxy ca peut être beaucoup plus pénible.
On un script qui gére les liens avec le proxy. Je ne sais pas trop comment il fait son truc, mais suivant le batiment, ton adresse IP, l’heure, le jour, la couleur des cheveux de la crémière, le proxy change…

@P’tit Nico: si tu englobes tes données dans une trame http (qui ressemble à du http, qui à l’odeur du http, mais qui ne contient pas que du http) et que tu utilises le port 80, ca doit passer non ?
En gros, ca devient un cheval de Troie pour franchir le firewall

#33

On avait aussi un script, mais depuis le passage à W7, je ne vois plus rien. Et netstat ne me renseigne pas beaucoup!

#34

Il n’y pas de “proxy.pac” spécifié à un endroit ou à un autre?

Est-ce que le proxy nécessite une authentification? Si oui, perso il me suffit de déconnecter le SSO pour que Firefox me lance un joli Le proxy moz-proxy://X.X.X.X:P demande un nom d’utilisateur et un mot de passe. Le site indique : « Un joli message » pour avoir les infos…

Mais c’est tellement que j’imagine qu’il n’y pas d’authentification…

#35

rien trouvé.
Ce site donnr plusieurs astuces:http://superuser.com/questions/346372/how-do-i-know-what-proxy-server-im-using
aucune ne fonctionne, et netstat -ban requiert une élévation (de privilège je présume …)
Nota:
Je change le titre pour qu’il soit moins sujet à controverse

#36

finalement, pour avoir l’adresse et le port du proxy, j’ai réussi avec une méthode bien bourrin. Utilisation de la commande :

ensuite ouverture d’une page web dans IE, puis la même commande, et analyse des écarts …

#37

je suis connecté au serveur à la maison via putty et le tuto suivant: michauko.org/blog/tunnels-tcp-vi … y-etc-181/
J’ai configuré firefox pour utiliser le tunnel, et je peux accéder à une page google. Mais les autres pages ne passent pas(probléme de proxy). Faut il que j’installe un proxy sur mon serveur debian ?

#38

@piratebab J’ai modifié mon post, car en le relisant, j’ai compris qu’il était mal formulé et pouvait préter à confusion.

L’“EDIT” que j’y ai rajouté explique un peu mieux l’intérêt d’utiliser OpenVPN dans ton cas.

Éventuellement, je pourrai te transmettre tout ce qu’il faut pour que tu puisse te connecter sur mon VPN afin de faire des test,
mais ça ne t’éviterait seulement que d’avoir à installer et configurer TON propre serveur OpenVPN,
alors que c’est tellement facile et rapide à mettre en place, et finalement: terriblement efficace.

#39

Il est toujours possible de faire un tunnel SSL.

#40

[quote=“P’tit Nico :wink:”]Hello,

Au boulot on a firewall applicatif qui fait IDS/IPS (c’est un Palo Alto) : ce petit joujou possède la particularité de voir tout les protocoles et les applications en coupure LAN et WAN. La conséquence c’est que le ssh est impossible sur autre chose que du 22, que si vous faîtes du DNS sur un autre port que le port 53, ça bloque. Que si vous faîtes de l’http en dehors du 80, ça bloque, et ainsi de suite. Évidement un tel firewall applicatif coûte cher (et surtout l’abonnement aux signatures des nouvelles applications qui coûte cher). Après tout dépend de ce que votre DSI a mis en place, mais ces produits se généralisent en entreprise. Juniper fait ça très bien aussi, de même que les UTM (Unified Threat Management) chez Sophos.

Bref tout ça pour dire qu’il est possible que ça ne passe toujours pas le ssh dans le 443 (ce que j’ai fais pendant un bon moment, et qui marche plutôt bien).
[/quote]

Il sera bientôt plus simple et plus sécurisé de communiquer par pigeon voyageur :115