-==<XTBA>==-

Yoplà.

Je dispose de :

• Freebox en DHCP, mode routeur OFF
• IPCop v1.14.21 avec 3 interfaces : RED (pour le net), GREEN (pour le LAN en 192.168.2.x) BLUE (= simialire à GREEN, pou lr wifi ou autre en 192.168.5.x)
• Switch Dlink 16 Ports Gb sur GREEN
• Serveur Raid5 / FTP sous Debian Lenny (merci poulpi) avec ProFTPD sur port révolution (1789) en 192.168.2.100 (sur le LAN, en GREEN donc)
• Routeur VPN SSL CISCO / Linksys RVL200 dont d'un coté le WAN est sur le BLUE en 192.168.5.20 et de l'autre son LAN sur le GREEN en 192.168.2.200
• Le port 443 est forwardé dans IPCop vers l'ip 192.168.5.20 de l'interface BLUE du routeur VPN SLL Cisco RVL200

Je souhaite personnellement pouvoir accéder à des documents présents sur mon FTP à domicile, à partir des mes différents site de travail et également que la famille puisse s'y connecter pour récupérer des photos.


Problèmes :

1. à ces différents site de travail, seuls les ports 21, 80, 443, 8080, 8443 sont ouvert
2. mon port 21 est sans cesse scanné...
3. je ne dispose pas des droits administrateurs sur les postes de travail
4. les postes de travail sont sous XP

Pour palier aux problèmes n°1 & n°2, j'ai donc tenté de me connecter via mon DNS (de chez DynDNS) en HTTPS
=> la page de connexion du Cisco / Linksys RVL200 s'ouvre alors demandant un certificat ; je la lui donne
=> il demande ensuite Login / Mot de passe, je les lui fournis


=> suit une autre page indiquant que je suis connecté
=> à partir de là il faut cliquer sur une image décadenassée pour installer un Active X du Virtual Passage (soft VPN de CISCO)

.... arrive alors le problème n°3
=> impossible d'installer le Active X : il faut les droits administrateurs !!

Solutions évoquées :

1. le SSH : http://www.buzzsurf.com/surfatwork/ ... à installer sur le FTP en Debian ?
2. Open VPN server en SSL ... à installer sur le FTP en Debian ou via le firmware DD-WRT Open VPN sur un autre routeur Linksys WRT54G ? + Open VPN Client PORTABE ?

La problématique des solutions évoquées :

1. Complexe à utiliser pour la famille, à l'instar de ce que propose simplement le Cisco / Linksys RVL200 : une page d'identification et un Active X
2. je n'arrive pas à savoir si Open VPN client Windows existe en version PROTABLE ? (sans installation, ne nécessitant pas les droits administrateurs sur le poste de travail)

Avez vous d'autres solutions pouvez vous me proposer ?

++

_________________

Kévin, sor deux sec or !!

openvpn il faut obligatoirement les mdp admin pour installer l'interface réseau adequat

SSH c'est le plus simple a mettre en place et pas besoin des mdp sur les postes clients

_________________

ouaip mais un poil complexe

quoique dans un script a coup de ssh + tunnel ca doit se faire facile
je regarderai ca avec putty en ligne de commande donc portable

... les 2 solutions pourraient coexister ?
=> SSL sur 443 avec Cisco / Linksys RVL200 pour connexion de la famille & amis
=> SSL sur 8443 avec SSH pour me connecter à partir des différents sites ?

??

++

_________________

Kévin, sor deux sec or !!

Ben je sais pas comment est branlé ton routeur mais le mien me suffit d'activé le SSH. Apres suffit d'ouvrir le tunnel avec putty ou plink et rulez c'est terminé. Exemple pour me connecter au bural a distance de mon server



x.x.x.x etant l'IP internet de chez toi
y.y.y.y l'IP local de ta machine
p1 le port de sortie sur la machine ou tu lances plink
p2 le port d'entree sur la machine chez toi

J'utilise 127.0.0.2 comme IP de sortie car en mettant 127.0.0.1 ca ne marche pas avec le bureau a distance. Ce blaireau essait se connecter a lui-meme au lieu de passer par le tunnel

_________________

oui ca pourrait co exister avec au pire les deux trucs qu'il faut en face

de toute facon
pour ssh ya besoin de rien ...

si ce n'est openssh-server sur le pc cible
et putty / plink sur le pc client

pour cisco je sais pas
m'enfin plink dans un tit script à lancer serait à mon avis largement suffisant et simple

Ben je sais pas comment est branlé ton routeur mais le mien me suffit d'activé le SSH

Le routeur entre la FreeBox et le Switch est IPCop.
Il accèpte le SSH mais sur le port non standard 222.

Je regarde si mon autre routeur Linksys WRT54g permettrait le SSH avec un firmware DD WRT
Le routeur Linksys WRT54g accepte le SSH & connection via putty en flashant le firmware en DD WRT

=> http://hetos.de/sshtut.html
=> http://www.geek-pages.com/articles/late ... ation.html

... sinon est ce fiable de l'activer sur le serveur Raid5 / FTP sous debian ?

++

_________________

Kévin, sor deux sec or !!

ben moi j'ai du ssh de partout aucun soucis de sécurité

donc pour toi, autant mettre le SSH sur la Debian que de rajouter un équipement hard supplémentairement pour gérer le SSH sur le port 8443 ?

_________________

Kévin, sor deux sec or !!

ouaip
tu configure ton openssh-serveur pour écouter sur le port 8443

pour une entreprise je veux bien
pour nous pauvres mortels
un mot de passe un peu complexe + installer fail2ban qui ban les ips si trop de tentatives de login et basta

rien ne passe

C'est parti sur la debian alors ! ça fera un périphérique Hard en moins à faire tourner, et donc faire du moins mauvais pour la planète ^^

_________________

Kévin, sor deux sec or !!

Moi j'ai ca et ca poutre. Je l'adore ce petit linksys

_________________

Vous avez testez :
=> Bitvise Tunnelier ?

Tunnelier is an SSH and SFTP client for Windows. It is developed and supported professionally by Bitvise. Tunnelier is robust, easy to install, easy to use, and supports all features supported by PuTTY, as well as the following:

• graphical SFTP file transfer;
• single-click Remote Desktop tunneling;
• auto-reconnecting capability;
• dynamic port forwarding through an integrated proxy;
• an FTP-to-SFTP protocol bridge.

Tunnelier is free for personal use, as well as for individual commercial use inside organizations. You can download Tunnelierhere.

_________________

Kévin, sor deux sec or !!

Pas moi

_________________

ayé ça marche en SSH sous Debian via 4 tutoriaux :
=> http://www.mnt-tech.fr/blog/reseaux-sec ... /#more-297
=> http://michauko.org/blog/2009/02/23/tun ... putty-etc/
=> http://www.kookyoo.net/blog/farwarx/tun ... t-00000982
=> http://www.buzzsurf.com/surfatwork/#intro

==>> j'arrive à me connecter à mon serveur SSH, à paramétrer Firefix & Internet Explorer pour surfer à via le serveur chez moi.
MAIS : je n'arrive pas à accéder à mon serveur FTP , comment m'y prendre ?
... est ce qu'il faut que le port du serveur FTP soit le même que le port du serveur SSH ? y a-t-il qqc à configurer dans putty (ports forward) ? ... une option SFTP à cocher dans le logiciel client FTP ?

++

_________________

Kévin, sor deux sec or !!

ok donc avec WinSCP j'arrive à me connecter en SSH au serveur ; Filezillia en serait capable également ; mon préféré (FlashFXP) ne le permet pas encore
..... par contre : je ne me connecte pas au serveur FTP mais à la machine tout entière, avec le même login & mot de passe que l'utilisateur local !!!!

Du coup je n'accède pas seulement aux répertoires définis pour les utilisateurs FTP mais ) m'ensemble des dossiers & fichiers de tous les disques durs

++

_________________

Kévin, sor deux sec or !!

tu peux aussi chrooter en ssh
cad limité au truc courant quoi

T'as renseigné le champ DefaultRoot dans le config de proftpd?

_________________

avec WinSCP ( si tu fais du vrai SCP ) il faut modifier le chroot dans la config serveur ssh

avec un FTP il faut modifier le defaultroot ~ dans la config ftp

oui et là pas de problème : lorsqu'une personne de la famille se connecte en FTP, elle a accès aux dossier dont j'ai donné les droits et basta : impossible pour elle de se promener ailleurs que dans son propre répetoire.


ok mais dans ce cas je suis bloqué dans /home/moi ("moi" étant le nom de l'utilisateur local)
... étant donné que pour me connecter en SSH, je dois donner le login & mot de passe de l'utilisateur local ; dans quel cas, j'ai les même droits & accès qu'en local.

++

_________________

Kévin, sor deux sec or !!

Il doit falloir créer une regle d'override pour ton user local je suppose non?

_________________

no idea ...

_________________

Kévin, sor deux sec or !!

Donc donc donc

Là je suis chez la famille et je tente de tester l'accès à mon serveur via le port 443
=> connexion via le RVL200 en VPN SSL donc
... via leur soft Virtual Passage qui s'installe dans le browser par Active X

Sur Win7, avec IE8 : bug genre "impossible d'installer Virtual Passage, besoin de droits administrateur" alors que je suis en adminsistrateur
Sur XP, avec IE6 : autre bug n'acceptant pas d'initialiser Virtual Passage
Sur XP, avec IE7 de mon ordi portable : autre bug avec la gestion de sécurité des Active X dans Internet Exploser

Ca me soule, je vais tenter une dernière mise à jour du firmware, et sinon, je le dégage sur eBay et soit je mets OpenVPN sur le WRT54G, soit je fais plus simple en FTP TLS / SSL !!!

Vala pour les trucs bien soulant, une petite question à présent :

Le port 8443 serait au 443 ce que le 8080 est au 80 .... ? C'est bien du HTTPS similaire au 443 ?
.... l'ami google n'en parle pas des masses

++

_________________

Kévin, sor deux sec or !!

Ouais je crois que tu te prends beaucoup la tete pour rien avec ce truc. Mets un openvpn soit sur le linksys soit sur ton serveur direct

Apres un port est un port, tu y fais passer ce que tu veux dedans, du HTTP, HTTPS ou n'importe quoi d'autre c'est pareil. La seule chose qui différencie c'est le soft qui regarde le port derriere. Faut juste configurer correctement le soft qui doit regarder le port que tu veux.

_________________