Contourner un proxy (au boulot…)
Il y a 2 façons de voir cet article/tutorial. Certains trouveront le moyen de sécuriser l’accès à leur ordinateur personnel depuis n’importe quelle connexion internet, d’autres verront le moyen de contourner le vilain proxy du boulot qui les empêche de consulter leurs mails… A vous de voir
[EDIT : ] J’ai réalisé un screencast afin d’expliquer la mise en place. Cliquez ci-dessous pour y accéder.
Dans mon ancienne entreprise, le proxy était entièrement géré par la maison mère située en Allemagne. De nombreux sites étaient bloqués. Le souci c’est que dans un service Informatique, parfois nous avons besoin de récupérer des utilitaires sur des sites…bloqués.
1. Mettons-nous en situation…
Je souhaite accéder à mon ordinateur personnel depuis mon lieu de travail pour télécharger des logiciels qui sont bloqués (illégitimement) par le proxy. Seuls les ports 80 et 443 sont ouverts sur celui-ci.
Une fois la procédure achevée, j’aurais le choix entre prendre la main à distance sur ma machine (via VNC ou autre) ou bien utiliser ma connexion à la maison pour surfer depuis l’ordinateur du boulot en passant outre le proxy (via un proxy Hôte SOCKS).
La solution schématisée
2. Installation du serveur SSH
La connexion à destination du PC de la maison va passer à travers une liaison SSH. La première chose à faire est donc d’installer un serveur SSH sur notre PC perso. Si les packages SSH sont intégrés sous Linux, sous Windows, OpenSSH est disponible gratuitement. Les processus tournent (en théorie) en tant que services Windows. Vous pouvez le trouver ici : http://sshwindows.sourceforge.net/download/
L’installation se déroule normalement sans souci, ça ressemble à du suivant, suivant, suivant, terminé.
3. Configuration de SSH
Passons à des choses plus rigolotes. Avant de lancer le serveur OpenSSH, il faut éditer 2 fichiers, l’un contient les utilisateurs, l’autre regroupe les mots de passe. Même si nous n’utiliserons pas l’authentification par mot de passe, l’édition de ces deux fichiers est nécessaire. Il suffit de se placer dans le répertoire bin/ de OpenSSH en MS-DOS puis de lancer ces deux lignes de commandes :
Après ça, il faut modifier le fichier de config (C:\Program Files\OpenSSH\etc\sshd_config) pour qu’il écoute sur le port voulu et lui indiquer que nous souhaitons nous identifier par un couple de clés publique/privée.
Les lignes à modifier sont les suivantes :
Port 80
StrictModes no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /ssh/authorized_keys
On indique ainsi au serveur SSH que l’authentification ne se fait plus avec le mot de passe Windows mais par une clé publique. De même, on lui indique que ces clés sont cryptées en RSA.
Enfin, la dernière ligne indique l’emplacement du fichier contenant la clé publique.
4. Un trousseau de clés…
Reste à générer le couple de clés pour notre authentification. Pour se faire, on utilise puttyGen trouvable partout sur Internet et en cliquant là. Au niveau des options, on les cochent comme le montre le screen ci-dessous.
Les clés sont générées en fonction de l’activité la souris, autant dire qu’il faut avoir la bougeotte 
Et ensuite ?! Ensuite, on sauvegarde la clé publique dans le fichier C:\Program Files\OpenSSH\ssh\authorized_keys (comme définit dans le fichier de conf, cf. plus haut)
Après ça, on rentre notre passphrase et on sauvegarde la clé privée que l’on garde précieusement avec soi ou sous un matelas… :d
On lance le service OpenSSH avec la commande qui va bien, à savoir : net start OpenSSHD
5. Connexion à la maison
Pour établir une connexion vers un serveur SSH, il nous faut un client. Putty fera l’affaire, une version portable est disponible. Vous pourrez la mette sur une clé USB avec votre clé privée et vous n’aurez rien à installer sur le poste du bureau. Vous pouvez trouver la bête en cliquant ici.
Petite parenthèse : Si vous utilisez un routeur ou la box de votre fournisseur d’accès, il faut que vous activiez le transfert de port ou la redirection de port selon l’intitulé de la chose. Dans notre cas, il faudra rediriger toutes les requêtes ayant pour port destination 80 vers l’adresse IP du Pc où le serveur SSH est installé.
Puisque des images valent plus que des paroles, la suite sera illustrée :
Astuce n°1 :
Pour éviter de refaire toutes les manip’ à chaque connexion, vous pouvez nommer votre session puis cliquez sur le bouton Save (bouton 3).
¤ Rendons-nous ensuite dans la partie Connection et plus particulièrement dans la rubrique proxy.
Astuce n°2 :
Pour trouver l’adresse exacte de votre proxy d’entreprise ainsi que le port d’écoute de celui-ci, vous pouvez allez dans les paramètres de connexion de votre navigateur web.
Sous Firefox : Outils -> Options -> Avancé -> Réseau -> Paramètres
Sous Internet Explorer : Outils -> Options Internet -> Connexions ->Paramètres Réseau
¤ Ensuite, c’est dans la partie SSH puis Auth que cela se passe :
¤ Allons après dans le menu Tunnels :
Astuce n°3 :
Voici la liste de quelques ports forwarding qui peuvent être utiles :
UltraVNC :
Port source : 5922 – Destination : 127.0.0.1:5922 – Type : Local
Port source : 5822 – Destination : 127.0.0.1:5822 – Type : LocalFirefox (surfer du bureau en utilisant la connexion à la maison) :
Port source : 8080 – Type : DynamicPour surfer du Bureau en utilisant votre connexion à la maison, il faut lancer Firefox puis aller dans Outils -> Options -> Avancé -> Réseau -> Paramètres
Il faut ensuite définir comme proxy Hôte SOCKS : 127.0.0.1 avec comme port 8080 (si vous avez suivi…) et cocher SOCKS V4
Voilà, après tout cela, vous lancez la connexion vers votre PC et normalement vous avez accès à votre pc avec tous les avantages que cela comporte.
Bon courage à ceux qui veulent s’y risquer
Exactement ce que j’utilise : serveur ssh à la maison sous ubuntu et client putty au boulot.
Sinon un truc vraiment sympa : quand je veux télécharger un fichier relativement lourd au boulot (avec ma connexion toute pourrie qui s’interrompt régulièrement), je le télécharge d’abord chez moi (connexion via ssh en utilisant putty. Port 443 parce que le 22 est bloqué au boulot) avec un petit coup de wget. Ensuite j’utilise WinSCP qui est un client SFTP pour transférer le fichier de chez moi à mon ordi de boulot. L’avantage c’est qu’après une coupure de connexion, le fichier recommence à se télécharger là où il en était avant la coupure.
WinSCP, ca rocks !
:-p
C’est vrai que c’est génial. Après il y a plein d’application possible comme le surf en utilisant la connexion de la maison, regarder un film avec vlc et la diffusion par réseau local,…
Le seul inconvénient, c’est que le matin il faut allumer sa machine
Salut,
après une telle installe, où je ne suis pas encore allé au bout, je conseil pour éviter de risquer d’oublier d’allumer le PC avant de partir, de se mettre au WOL (Wake On Lan) et pls exactement au WOW (Non pas le jeu …) ; le Wake On Wan qui permet d’allumer le PC à distance de n’importe où (sous réserve d’avoir une carte réseau gérant cette option).
Particulièrement partisant de cette méthode 
Grace à un site comme depicus (Google) on peut facilement allumer un PC simplement avec l’IP et la MAC du PC à réveiller via le site ou par des logiciels téléchargeable au même endroit permettant de créer des raccourcis pour allumer son PC d’un simple clic
Bonne continuation et merci pour le tuto
Héhé comme tu dis il faut disposer d’une carte avec cette option.
A l’époque, j’avais récupéré un vieux serveur au boulot donc il tournait du matin au soir
es que le proxy peut nous voir quitté son reseau car je suis a l’afpa et on et trés limité par le proxy donc je voudrais tenté cette expérience qui ne ma pas l’air compliqué mais es qu’on peut me detecté
Plop, pas mal du tout ton explication
j’avais entendu parlé de sa, mais j’avais jamais testé 
Par contre par hazard, ya une manipe particulier sous windows 2008 serveur 64bits ?
parceque moi cela se lance pas sniff lol il doit pas aimer le noyau 2008
@Sloyd : On ne peut pas directement voir que tu quittes le proxy puisque tu passes quand même dedans. En fait, la connexion vers ta maison est cachée dans un tunnel (une liaison) en port 80. Globalement, le proxy va voir une connexion vers une adresse IP externe comme si tu allais sur un site web classique
Ce n’est donc pas détectable par le proxy surtout si tu suis le tuto et donc que tu cryptes la liaison.
@Kruggs : Merci.
Qu’est-ce qui ne se lance pas ? Le serveur OpenSSH ?
Si c’est le cas, on doit pouvoir trouver d’autre serveur SSH
J’ai trouver un site qui explique comment l’installer sous cgywin, sa fonctionne, sauf que a la connection en putty il prend pas ma clef priver, je suppose a coze des droit sur les fichier conf, mais j’arrive pas a changer d’utilisateur:(
C’est bizzare, je n’ai jamais eu ce problème.
Je pense que tu as essayé en mettant tous les droits sur le fichier de conf et la lecture/exécution sur le fichier qui contient ta cléf ?
Tu l’as bien mise dans le répertoire définit dans le fichier de conf ?
ba ouai c’est chelou
regarde tes mails stp 
au niveau des droit je sais pas du tout, mais je me suis rendu compte que c’est en administrateur et plus en sshd_serveur, peu etre sa le pb
ba enfaite, jai remis tout les /bin/ssh* en sshd_server, mais quand je me connect a google par exemple ou n’importe quel site, il se connect, mais page vierge, blanche:( et tj key pas reconnu
Je crois que tu as tellement bidouillé que le serveur ne sait plus où il en est.
Le mieux ça serait que tu repartes sur une installation propre, que tu désinstalles tout.
C’est pas cool mais c’est surement la solution la plus rapide.
Depuis le temps que je cherchais un tuto comme le tien!
Il est très bien expliqué et détaillé. En fait a mon taf, j’ai un méchant proxy. J’ai accès a quelques pages web utiles a mon travail (des sites de fournisseurs uniquement, pas de google ou tout autres sites) sans avoir besoin de s’authentifier au proxy. Ma question est donc la suivante: N’ayant pas d’identifiant et de mot de passe pour le proxy, est ce que ta solution peut fonctionner quand même?
Car j’ai essayé sans identifiant et bien sur il me dit erreur de connexion au proxy. N’y a t’il pas une solution? Moi je souhaite seulement établir une connexion à distance pour pouvoir profiter de mon pc, a mon bureau!
D’avance merci
Oll
@Oll : Deux possibilités dans ton cas.
La première c’est que le proxy de ton boulot fait une authentification transparente. Si tu es dans un Active Directory c’est fort probable. Dans ce cas, il faut que tu renseignes dans putty ton login et ton password Windows, les mêmes que ceux que tu utilises lors d’une ouverture de session (cf screen 2).
La deuxième possibilité (et là malheureusement tu ne pourras rien y faire) c’est que ton proxy n’autorise que les connexions vers certaines adresse IP. Dans ce cas là, tu ne peux malheureusement rien faire.
Tentes la première solution et tiens moi au courant
En fait, je voulais savoir comment être sur que le serveur fonctionne correctement, à part d’essayer depuis un autre poste. Est il possible de voir en local le statut du serveur?
Autre question, j’ai mis en place une adresse dyndns pour me connecter chez moi, quand je teste du boulot en mettant l’adresse dyndns.org, il me sort mon adresse ip, est ce alors la preuve que ma connexion en SSH fonctionne?
Pour le moment avec mes idents windows ça marche pas mieux! donc je crois que je risque d’être grillé.
Merci
Pour tester ton local tu peux faire un shh ou un putty sur l’adresse 127.0.0.1. Tu pourrais tester les paramètres de ta connexion comme ça.
Le fait que dyndns te ressortes ton adresse IP ne prouve absolument pas que ton serveur SSH fonctionne. C’est un service annexe qui enregistre uniquement l’adresse ip publique de la machine.
Testes ton serveur SSH à l’intérieur de ton réseau local (avec une autre machine connecté à ta box).
Au fait, tu as bien activé le NAT sur ton routeur ? Si ce n’est pas le cas, tu ne pourras pas y accéder depuis l’extérieur.
Merci de tes réponses,
bon le serveur fonctionne car j’ai accès a une nouvelle fenêtre qui me dit « server refused our key ». Donc malgré que la clé fonctionne pas, le serveur en lui même marche. Donc je suis cuit certainement, ça ne marchera pas de mon boulot. En tous cas merci pour tout et ton aide
Oll
Normalement, a ton boulot, tu devrais arriver sur la fenêtre « server refused our key ».
Sinon, deux options, soit ton adresse IP ou dyndns n’est pas autorisé par ton proxy soit tu as un problème dans ta configuration chez toi.
Tu as bien activé le nat sur ton routeur/box ?
Ui j’ai fait un NAT du port 80 (tcp) vers mon serveur.
Pour le dyndns, en fait quand je tape le nom de ma connexion de mon taf par exemple maison.homedns.org, il me donne mon adresse ip publique correspondante. Est ce la preuve que j’accède par un moyen (mais lequel??) à internet?
J’ai essayé bcp de choses pour voir un peu par ou passer les connexions, le tracert butte sur le serveur proxy.
J’espère avoir mal paramétré quelque chose, ça me donne encore de l’espoir!
Merci
Oll
Salut, le fait que dyndns retourne ton adresse ip prouve seulement que tu as accès à des serveur DNS qui sont sur Internet. Les serveur DNS utilisent le port 53 et ne font que la translation entre un nom de domaine et une adresse IP.
Ce qui pourrait être bien dans ton cas, c’est d’installer un serveur web (avec Wamp c’est tout simple) qui écoute sur le port 80. Tu le laisses tourner et tu essayes d’y accéder à ton boulot. Si ton NAT est bien configuré une page web (hébergé chez toi) devrait s’afficher sans problème sauf si ton proxy n’autorise que les connexions vers certaines @ IP des sites des fournisseurs.
J’pense que c’est un bon moyen de tester ce qui bloque
Bon courage et tiens moi au courant
salut arnaud.
bien bien le tutoriel !
Au centre de formation ou je suis (cesi de Toulouse) ils ont mis en place un système de blocage avec un proxy…
Enfin bon, je possède un acces sur une dédibox de FREE tournant avec un serveur 2K8.
Alors je me dit que rien de mieux qu’un serveur toujours online plutot que d’allumer mon pc cher moi etc etc…
alors je fait tout bien comme dans le tuto mais arrivé a : => net start opensshd
un message d’erreur comme quoi le service n’a pas pu démarrer s’affiche …
(= note : dans le fichier de conf « sshd_config » le chemin pour la clé publique n’est pas clair)
-> j’ai du creer le dossier ssh dans /program~/OpenSSH/ afin d’y déposer ma clé publique.
enfin je suis un peu perdu je ne sait trop quoi faire !
le service ne veut ni s’arreter ni démarrer … rien de bon !
merci pour ton éventuelle réponse!
Salut,
Sur ta dedibox, c’est du Windows qui tourne ?
Je pense que ton problème peut venir d’une mauvaise config de ton fichier sshd_config.
Essaie de commenter ta ligne en mettant un # devant et tente de redémarrer ton service.
Tu seras vite fixé
Sinon met quelques lignes de ton fichier de conf’ notamment celle pour le chemin de la clé dans un commentaire puis on regardera ça
oui oui c’est un 2K8 serveur.
je pense aussi que c’est le fichier de conf qui es pas bon …
j’ai tenté plusieurs choses pour le chemin de la clé :
- #AuthorizedKeysFile C:\Program Files (x86)\OpenSSH\ssh\authorized_keys
chemin complet!! (le dossier ssh n’existait pas, je l’ai donc crée)
- #AuthorizedKeysFile /ssh/authorized_keys
- #AuthorizedKeysFile ./ssh/authorized_keys
il faut mettre l’extension ?
il faut enlever les « # » devant les lignes cités dans le tuto ?!
au pire je t’envoi le fichier complet !! ^^’
Un serveur 2008 t’as peut être ta réponse alors. A une époque j’avais eu un soucis avec une version modifié XP et le service ne voulait pas se lancer. Je devais lancer l’application à la main.
¤ Si un « net start opensshd » ne marche pas
¤ Tente d’ouvrir un terminal et fait un « telnet 127.0.0.1 22″
¤ Normalement ça ne marchera pas
¤ Dans un autre terminal, lance la commande suivante « C:\Program Files\OpenSSH\usr\sbin\sshd.exe »
¤ Relance ton « telnet 127.0.0.1 22″
¤ Si tu arrives à te connecter, c’est juste le service en lui même qui pose problème
¤ Si ce n’est que ça, il faudra alors lancé cette commande au démarrage de la machine
Pour ton fichier de config, il ne faut pas mettre d’extension et bien sûr qu’il faut enlever les « # » sinon ta ligne est commentée et ne sera donc pas interprétée.
¤ Remet cette ligne dans le fichier : « AuthorizedKeysFile /ssh/authorized_keys »
¤ Créé le répertoire suivant : « C:\Program Files\OpenSSH\ssh\ »
¤ Crée le fichier « authorized_keys » sans aucune extension et place ta clé publique dedans.
Voilà, tiens moi au courant des évolutions ^^
bon le fichier de conf je l’ai remis nickel donc sa doit pas venir de la!
par contre pour le service c’est la mer** !!
quand je lance : « C:\Program Files\OpenSSH\usr\sbin\sshd.exe »
dessuite un message d’erreur : sshd a cesser de fonctionner … etc ! -_-’
note : si je lance « telnet 127.0.0.1 22″ la commande n’est pas reconnue…
=> par le gestionnaire des taches et l’onglet services sur openSSHd : « l’opération n’a pas pu étre terminée. Ce service ne peut pas accepter des commandes en ce moment. »
Encore merci de ton aide
oui j’ai oublier de dire : par le gestionnaire des taches c’est quand je click droit sur le processus et que je lui demande de démarrer ou de s’arreter !
il y a que quand je le lance en ligne de commande que il m’affiche qu’il es soit disant démarré !!
Salut,
Je crois qu’OpenSSH n’aime pas w2k8.
Tu as été voir dans les journaux systèmes et applications les erreurs après démarrage du service ?
Salut je pensais utiliser ton tutoriel pour utiliser depuis mon appart etudiant une connection free wi-fi et utiliser ma livebox de chez moi pour faire passer les applications bloquer par ce type d’accès est-ce possible ? ^^
Sinon utiliser la connection de mon voisin a la place de la connection free
edit : mon voisin ayant une connection squatter par 2 étages je m’en servirai juste d’accès vers chez moi
Salut,
Sur le principe il n’y a aucun problème, le tuto est d’ailleurs fait pour outrepasser les ports ou les connexions bloqués.
Par contre, je ne sais pas exactement comment fonctionne le free wifi.
Tu peux te dire que si le port 80 est ouvert alors tu peux utiliser ce tuto
Sa devrait rouler alors merci
ou alors je fais un ssh vers le bureau mais pour un admin réseau sa la fou mal
bonjour a tous je n’arrive vraiment pas à faire fonctionner putty
quand je fait OPEN ca me met toujours timeout
/ssh/authorized_keys
authorized_keys c’est le nom de la clef ou un dossier ou il faut mettre ma clef?
je met quoi en port d’écoute du ssh?
bref je suis vraiment perdu et j’aimerai bien comprendre aidez moi svp
Je ne sait pas d’où mon problème viens.
Vu que vous êtes plusieurs à avoir des difficultés, je vais faire une vidéo (screencast) pour montrer l’installation et la configuration d’openSSH et de putty.
J’vais tester une nouvelle formule comme ça ^^
[...] qu’apparemment vous êtes nombreux à éprouver quelques difficultés avec mon tutoriel pour Contourner un proxy, je tente une nouvelle formule. J’ai fait un tutoriel vidéo ou “Screencast” pour [...]
Chose promise, chose due, j’ai fait une petite vidéo (commenté par moi
) pour expliquer l’installation et la configuration d’openSSH sous windows XP avec Putty. C’est par là : http://www.arnaudbosquet.fr/reseau-informatique/tuto-video-screencast-1-openssh
Bonjour
Très bon tutoriel ! Merci !
En complèment, lorsque certains proxy effectuent un filtrage applicatif web (de niveau 7 donc), cela peut être plus embetant. Je me permet donc de proposer un lien vers un petit article que j’ai rédigé qui complète très bien ce tutoriel : http://blog.wixx.fr/?p=22
Merci !
Bonne journée
Bonjour
j ‘ai appliqué votre methode en m appuyant sur la video tres complète et cela fonctionne.
le seul petit souci semble etre avec ultravnc. j’accéde bien à l écran de mon ordi personnel mais j ai du mal à prendre la main sur celui ci sans doute parce qu il est en veille.
je ne vois pas trop la solution malgre plusieurs ctrl alt del
autre question
peux t on imaginer l inverse
se connecter à partir de son domicile à la station de travail de son bureau configuré avec une adresse privé ip 10.X.X.X , proXy pour aller sur le net
je ne vois pas comment rediriger vers la station de mon bureau
faut t il une adresse accessible publiquement.(serveur de l entreprise)
Merci
@Cyprien : Pas de souci. Je vais lire ça tranquillement
@Etienne :
Pour UltraVnc, deux solutions :
- Vérifier qu’UltraVnc est bien installé en tant que service.
- Désactiver la veille.
En ce qui concerne l’inverse, c’est beaucoup plus compliqué.
Le plus simple, c’est peut être que ce soit ta machine au bureau qui établisse la connexion. Tu peux regarder de ce côté : http://www.pc-kc.fr/tutos/contourner-un-proxy-la-suite/
j’ai fait à la lettre tous le tutto et il me dit network error : connection refused.
Pare feu et antivirus desactivés. je suis sous seven…
help :’(
Salut,
Merci beaucoup pour ce super tuto et bravo pour le boulot.
J’ai un petit souci coté serveur.
En local, tout se passe bien via 127.0.0.1 : connexion sans problème.
Par contre, quand je teste, toujours en local mais en remplaçant 27.0.0.1 par mon adresse IP publique, ça ne passe plus.
Pourtant j’ai arrêté mon firewall.
J’ai également bien routé sur ma Freebox le port 443 vers l’IP de mon PC (que ce soit en TCP ou en UDP).
Mais Putty ne me donne rien de mieux que « Network error : Connection timed out ».
Je ne vois pas pourquoi ça marcherait avec l’adresse locale mais pas avec l’adresse publique…
Peut-être que la Freebox ne fait pas correctement la redirection de port…
Je ne vois pas.
Quelqu’un aurait une commande à me suggérer pour que je puisse trouver ou se situe mon problème ?
Il y a moyen de faire l’équivalent d’un traceroute mais sur un port donné ?
Merci pour votre aide.
@MLG : C’est en local que tu as le message : « connexion refused ». Dans ton cas, soit le serveur est trouvé mais il refuse de te répondre (mauvais numéro de port, mauvaise config,…), soit le serveur n’est pas trouvé et c’est un élément avant qui bloque (routeur si tu passes par l’extérieur)
@JP : Je ne vois qu’un problème au niveau de la redirection de port sur la freebox. Je ne sais pas si tu peux faire un trace route que sur un port donné.
Cela dit, tu peux utiliser un logiciel comme port scanner sous linux avec ton adresse IP afin de voir les ports ouverts sur ta machine (freebox) et pour voir si le port en question est bien redirigé vers ta machine.
Bonjour,
Tout d’abord bravo pour ce tuto très instructif.
Les administrateurs système/réseau d’une entreprise n’autorisent pas généralement la modification des paramètres de proxy du navigateur internet (via des GPO). Du coup si je ne me trompe pas, il n’est pas possible de rediriger le trafic Internet vers le tunnel SSH.
Comment procéder si de telles stratégies Windows sont appliquées sur les machines ?
Alors, si les paramètres du proxy ne sont pas modifiables à cause des GPO? il y a deux options :
¤ Vous pouvez installer un Firefox ou un Chrome et vous ne l’utilisez que pour le tunnel SSH.
¤ Si les GPO vous interdises l’installation d’un programme, vous pouvez utiliser un Firefox Portable qui fonctionne sur une clé usb par exemple. Vous éviterez ainsi l’installation d’un programme supplémentaire sur votre poste de travail.
Effectivement c’est en local que se trouve mon problème. Je vais encore tester.
Merci du conseil.
Salut Arnaud,
Merci bcp pour ton idée sur le scan des ports.
J’ai pu voir que mon port était bien ouvert et j’ai réfléchir à mon souci.
En fait, j’ai mis un moment pour comprendre, mais ça fonctionnait, je me suis pris la tête pour rien.
En local (sur le PC à la maison), si on teste avec Putty sur 127.0.0.1 ça fonctionne.
Je me suis dit qu’en remplaçant 127.0.0.1 par mon adresse IP publique, ça sortirait sur le net pour re-rentrer et que ça me permettrait de tester le re-routage des ports. Et là, ça ne passait plus.
Au final, c’est juste que ça ne peut pas fonctionner, je pense que la Freebox doit se perdre un peu. Bref, il faut uniquement utiliser 127.0.0.1 pour un test local et pas l’adresse IP publique du PC de la maison.
A présent, ça fonctionne : je peux bien ouvrir une session avec Putty de mon boulot vers le PC maison.
J’ai juste un souci pour passer en HTTP (avec Firefox).
Je pense que ça vient de ma config sur la partie « Tunnels » de Putty.
A la maison, j’ai configuré OpenSSh sur le port 443.
Dans la partie Tunnels sur le PC du boulot, qu’est ce que dois mettre ?
J’ai essayé 8080 comme port Source et 127.0.0.1:443 comme destination (comme dans l’exemple de ton tuto).
Ca ne fonctionne pas. J’ai essayé de remplacer 127.0.0.1 par l’adresse IP publique de mon PC maison mais c’est pas mieux.
Pourrais-tu m’en dire un peu plus sur la config Tunnels coté PC boulot ?
Merci encore pour ton aide.
Salut,
Sur le putty, à ton boulot, dans l’onglet SSH -> Tunnels tu dois en ajouter un.
¤ Dans Source Port tu mets 8080
¤ Tu choisis Dynamic et tu ne mets pas de destination.
¤ Tu cliques sur Ajouter
¤ Dans la liste Forwarded Ports tu devrais avoir, du coup, quelque chose comme : « D8080″
Tu enregistres et tu te connectes à ton SSH chez toi.
Dans Firefox, tu vas dans Outils -> Options -> Avancé -> Réseau -> Paramètres
Il faut ensuite définir comme proxy Hôte SOCKS : 127.0.0.1 avec comme port 8080 et cocher SOCKS V4
Il faut qu’il n’y ait que la ligne avec le proxy SOCKS de rempli de Firefox.
Après ça doit fonctionner sans problème.
Je pourrais te faire des screens si tu bloques encore
Tiens moi au courant
Merci, c’est très sympa à toi de m’aider.
Ton explication est très claire.
J’ai testé et … … ça fonctionne parfaitement !
Fini le méchant proxy.
En plus, la rapidité de surf est vraiment étonnante, je ne m’attendais pas à ça.
Merci encore pour ton aide et encore bravo pour le tuto !
Héhé, y’a pas de quoi.
Au moins, ça prouve que mon tutoriel fonctionne ^^
Salut, c’est encore moi
J’ai une petite question concernant UltraVNC.
Pourquoi router les ports 5922 et 5822 sur Putty ?
UltraVNC est normalement par défaut sur le port 5900 non ?
Ceci dit, j’ai essayé également en routant le port 5900 via Putty, ça n’a pas été mieux.
Lorsque je passe par une connnexion Internet classique, j’arrive bien à prendre la main sur le PC maison à partir du portable boulot. Bref, tout est bien ouvert sur ma Box et mon firewall local.
Par contre, lorsqu’il y a le Proxy du bureau au milieu, ça ne passe plus.
Donc, j’ai encore dû foirer ma config sur Putty
Est-ce que tu fais également un paramétrage particulier coté UltraVNC ou est-ce qu’il n’y a que la partie Tunnels de Putty à modifier ?
Merci.
Jp
Salut,
Je vais te répondre par une question. Quand tu souhaites te connecter en utilisant UltraVNC depuis ton travail tu utilises quoi comme adresse IP ?
Si le tunnel est actif dans Putty, dans le client il faut bien mettre 127.0.0.1 comme adresse hôte.
Sinon pour les ports aucune importance.
Effectivement, j’avais mis mon adresse DynDns de la maison dans le uVNC client coté boulot.
J’ai remplacé par 127.0.0.1.
Mais il semble qu’il n’aime pas.
uVNC me renvoie un « Local loop-back connections are disabled ».
J’ai regardé s’il n’y avait une option pour le rendre enabled.
Je ne vois pas.
J’ai encore dû louper un truc, mais je vois pas où
Il y a une option dans UltraVnc pour autoriser les connexions loop-back.
Il faut faire un clic droit sur l’oeil bleu puis choisir option d’administration (quelque chose comme ça)
Tu peux ensuite cocher Autoriser les connexion loop-back
D’ailleurs, tu peux autoriser uniquement les connexion loop-back comme ça ton pc sera protégé de l’extérieur. Tu ne pourras te connecter qu’à l’aide d’un tunnel SSH
Effectivement, je pensais que c’était la partie client qui me renvoyait ce message d’erreur.
Je cherchais donc l’option sur uVNC coté client.
Finalement, j’ai trouvé le paramètre coté serveur et ça fonctionne parfaitement.
C’est en effet également rassurant niveau sécurité puisque je n’avais pas totalement confiance en VNC.
Je vais également rajouter une règle sur mon Firewall pour que ne rentre sur OpenSSH qu’une IP provenant de mon boulot. Je devrais être totalement tranquille avec ça.
Bon ben voilà, y’a tout qui fonctionne.
Il ne me reste plus qu’à essayer de paramétrer le Wake Up On Lan sur mon PC et ça sera la cerise sur le gateau. Mais bon, ça, c’est une autre histoire.
Quoi qu’il en soit, merci pour tes conseils avisés, je n’y serais jamais arrivé sans ton aide.
Jp
Moi j’ai un petit soucis et je me demande si vous avez rencontrer la même chose.
Avec XP , il arrive parfois (de façon aléatoire mais parfois à répétition) les pages ne se chargent pas complétement et le flux semble interrompu n’importe où. En rechargeant plusieurs fois on arrive enfin à avoir la page en intégralité. En comparaison sur la même machine avec Win2K, « absolument jamais ! » le problème n’a été rencontré. je n’ai pas encore testé avec W7 ou vista. Cela ne vient pas de la machine car le phénomène se reproduit avec d’autre machines toutes sous XP.
Vous avez déjà vu ça ? des solution ?
Nope, jamais eu perso.
Peut-être le proxy de ton boulot qui provoque ce problème….
PutG, pour ton problème, ça ressemble fortement à des coupures ou quelque chose comme ça.
Deux options :
¤ Soit c’est le proxy de ton boulot qui fait de la QoS, et là tu ne pourras malheureusement rien faire
¤ Soit tu peux essayer la technique suivante :
Dans ta connexion Putty, tu cliques sur « Connection » (dans la liste des options à gauche) et là tu as un champ avec marqué « Seconds between keepalives ». Il faut que tu testes avec un keepalive toutes les 1 seconde.
Il devrait y avoir du mieux normalement
Tiens moi au courant
Salut Arnaud…
Maintenant, plus difficile
As tu la méthode pour empêcher le contournement de proxy par la faille SSL sans fermer le port 443???
Question pour un champion
Ket
Sans ouvrir le port 443, plutôt nan ?
Si c’est bien ça, tu peux contourner le proxy en ouvrant/utilisant le port que tu souhaites.
La seule contrainte c’est de pouvoir accéder à une adresse IP libre et donc de ne pas avoir accès uniquement à une liste de serveur prédéfinie.
bonjour je sais pas si vous avez rencontrer ce problème
Sur mon pc j’ai windows 7, tout marche bien jusqu’ à la commande mkpasswd sur msdos mais dès que je veux activer le service j’ai des erreurs.
Le service OpenSSH Server n’as pas pu être lancé
Une erreur système s’est produite
L’erreur système 1067 s’est produite
le processus s’est arrêté inopinément
puis juste après j’ai le cygrunsrv.exe qui a cessé de fonctionné avec cette erreur
Fichiers aidant à décrire le problème :
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_cygrunsrv.exe_143860a786d825d442a56e19e11ec177541e836_cab_133eab4f\WERAA84.tmp.appcompat.txt
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_cygrunsrv.exe_143860a786d825d442a56e19e11ec177541e836_cab_133eab4f\WERAAC3.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_cygrunsrv.exe_143860a786d825d442a56e19e11ec177541e836_cab_133eab4f\WERAB53.tmp.WERDataCollectionFailure.txt
j’ai essayé de faire les commandes dans msdos en mode administrateur mais pas de chamgement.
Merci a vous , si quelqu’un peut m’aider pour ce soucis
Je crois que la version n’est pas compatible avec Windows 7.
Le développement d’OpenSSH est apparemment arrêté et ne supporte donc pas la dernière version de Windows.
Il faudrait vérifier si une version compatible existe mais j’ai un gros doute.
Bonjour Arnaud,
Merci pour ce tuto, cependant j’ai un soucis, je n’arrive pas à trouver l’adresse ip de mon proxy.
Il est vraiment costaud, transparent, et je suis derrière un AD (tu as indiqué que le login pass pouvait simplement être le login pass windows, mais quelle est l’adresse à rentrer ?).
Merci beaucoup
Bruno
Bonjour,
Alors il y a plusieurs possibilités pour ton proxy :
¤ La première, tu peux trouver l’adresse de ton proxy en allant dans les paramètres de ton navigateur web. Sous IE :Options Internet -> Connexions -> Paramètres réseau. Là, tu as deux options possibles encore :
- soit tu as un fichier de configuration automatique (ça doit se terminer par .pac). Si c’est ça, tu télécharges et ouvre le fichier. Tu devrais trouver l’adresse du proxy en fonction des protocoles.
- soit tu as l’adresse d’un serveur proxy directement renseigné dans la configuration, tu fais juste un copié/collé
¤ La deuxième, si tu n’as rien de renseigné dans les options internet de ton navigateur, ça veut dire que tu es derrière un proxy transparent. Dans ce cas là, c’est ta passerelle par défaut qui fait office de proxy avant d’orienter les différents paquets. Pour la trouver, tu as juste à faire un ipconfig.
Bon courage
Salut,
Super ce tuto … par contre j’arrive pas à accéder aux chats ou webcam msn ou tout truc de ce genre … comment faire, une idée ?
Ca n’utilise pas les même ports qu’une navigation sur Internet.
Il faut que tu trouves les numéros de port correspondant aux services que tu veux utiliser et ensuite les ajouter dans putty (Onglet Tunnels – Cf. Astuce n°3 du tuto)
Bonjour a toi,
Ca fait pas mal de temps que je recherchai un tuto comme le tien.
En cour de configuration pour le moment, même si je galère un peu car je ne peux pas gerer les deux cotes. Je m’explique, je veux utiliser ta méthode, pour me connecter sur mon ordi situé en France et utiliser son ip francaise.
Donc l’ordi a partir duquel je me connecte n’est pas restreint pas un proxy (A l’etape 5, image 2, je suppose que je dois cocher None)
Il y a t’il autre chose a faire pour que ca fonctionne dans mon cas, ou je peux utiliser la methode telle quelle.
Ensuite l’ordi distant est derrière une freebox, donc je recherche comment rediriger les ports.
Petit à petit on y arrive, et merci la video, tres bonne idee.
Bonjour,
En effet, tu as juste à cocher NONE pour les options du proxy et après l’ensemble est utilisable en l’état.
Pour la redirection de ports sur la Freebox, je ne peux pas t’aider mais tu dois surement avoir des tutos sur le net.
Pour la redirection de port chez free ça se fait à partir du site free.fr …
http://www.free.fr puis mon compte puis internet puis configurer mon rooter freebox.
ensuite tu root les ports UDP/TCP 80 vers ton ordinateur.
c’est facile !
Merci à vous deux, je fait ca se week end et je vous tiens au courant.
Encore merci, vous m’avez bluffé sur la rapidité de la réponse et le suivi du post.
salut à vous!
Bravo pour le tuto très clair, mais j’ai malheureusement un souci:
Toute l’install se passe bien mais lorsque je tente de lancer le service, j’obtiens ce message: « Le service OpenSSH Server n’a pas pu être lancé.
L’erreur système 1067 s’est produite. » le code correspond à « arrêt inopiné » donc pas très parlant…
Je suis sous Win7.
++
Salut,
Le logiciel OpenSSH en tourne pas sous Windows 7 d’après tous. Il faudrait trouver une version compatible ou alors installer une machine virtuelle sous XP comme Win7 l’inclut nativement.
salut,
merci pour ta réponse rapide, j’ai donc installer opensshd sur xp virtuel, ça marche mais c’est un peu lourd de lancer tout un ème OS juste pour openssh.
Merci.
C’est un peu lourd mais c’est une solution rapide à mettre en place.
Sinon, il faut se tourner vers l’installation d’un Gygwin sur windows 7 manuellement.
Faudrait que je regarde ça.
Bonjour,
Je suis nouveau sur votre site et vous avez l’air de bien connaitre le con-tournage des serveurs proxy.
J’ai un petit soucis avec mon FAI (www.blueline.mg), il vient de sortir un produit qui s’appelle 4G 2Mo illimité.
Tous les clients de ce produits 4G ont le même adresse publique sur le net. Donc on ne peut pas télécharger depuis hotfile ou rapidshare ou megaupload que si on attend quelqu’un quelque part fini de télécharger ou avoir un compte premium.
j’ai acheté un compte premium.
Au début la connexion marchait très bien,je n’avais plus besoin d’attendre avec le compte premium, mais depuis deux jours, ils ont mis un serveur proxy qui filtre l’accès aux sites tels que Hotfile,rapidshare,megaupload et autres.
J’aimerai savoir s.v.p s’il y a un moyen de contourner leur proxy ou pouvoir télécharger depuis hotfile et rapidshare avec un compte premium.
merci à tous.
Salut,
Je viens de tester ton tuto car je suis dans la même situation que certains ici ( Proxy de Me…)
Mais j’ai un probleme de taille, je ne peux tout simplement pas me connecter à l’adresse de ma Freebox. Je ne comprend pas, j’ai tout fait, le service openSSh est lancé sur la machine distante mais quand je me co du boulot, ca me fait => Proxy Error : 504 Gateway time out
Et je ne peux pas aller plus loin, ca fait 6h que je tourne en rond ^^
@cathan :
Alors, dans ton cas, le tuto ci-dessus ne peut pas s’appliquer car il nécessite une deuxième connexion internet. En revanche, il faut que tu regardes du côté des proxy publique qui peuvent te fournir une adresse ip différente. Tu peux obtenir des infos en te rendant sur cette page : http://free.korben.info/
@DarKlWeeDl :
Salut, le message « Gateway time out » signifie que la passerelle par défaut ne répond pas. Dans la configuration du proxy, es tu sur d’avoir correctement renseigner les infos ?
Si tu fais un cmd -> ipconfig /all que tu regardes ta passerelle par défaut et que tu tentes de la pinger il se passe quoi ?
As tu bien fait la redirection de port sur ta freebox ?
Salut Arnaud, bravo et merci pour ton tuto, ça fonctionne impeccablement… de chez moi :’(
Mon (petit) souci : firefox m’affiche de magnifiques pages blanches avec marqué : terminé, et ce uniquement à partir de mon boulot, de chez moi, avec 1 PC serveur et l’autre Client, firefox affiche correctement les pages.
Une idée, et si oui, une solution ?
Merci d’avance
Salut,
Es-tu certain d’avoir fait correctement la redirection de port dans Putty et de bien choisir le proxy Hôte SOCKS puis SOCKS V4 dans la configuration de Firefox ?
Bonjour Arnaud,
Tout d’abord merci beaucoup pour ton tutoriel et ta réactivité à répondre aux questions, vraiment chapeau bas c’est très chic !
Pour ma part je l’ai lu attentivement et j’ai réussi à tout mettre en place et à tester en local (en saisissant aussi l’ip internet). En revanche là où je bloque c’est sur mon lieu de travail où je n’arrive pas à contourner le proxy?
En fait quand je récupère les informations dans les options internet et je les mets putty->Proxy il me dit : Proxy 404 error lorsque je lance une connexion (n’importe où, que ce soit sur mon ip ou ailleurs). J’ai vérifié à maintes reprises que les informations étaient bonnes et que le port l’était aussi (8080), d’ailleurs quand je tape netstat -an je vois bien l’ip du proxy et le port dans les adresses distantes (ip_proxy_societe:8080) avec le statut de connexion « ESTABLISHED ». J’ai pingé ma passerelle par défaut elle marche bien aussi. Je ne comprends pas pourquoi il me met cash une 404, sachant que si je mets une autre ip bidon il le met no route to host, là on dirait que ce n’est pas qu’il ne trouve pas mais qu’il me jette élégament, je suis sûr de bien avoir mis les bons paramètres dans hostname / port / username / password, j’ai aussi coché HTTP dans les boutons radios (j’ai essayé avec les autres ça ne marchait pas non plus, sachant que sous firefox je vois bien que ça passe par le HTTP j’ai testé en laissant juste celui la)
Donc du coup je peux pas établir ma connexion SSH sur mon petit port 443 et encore moins tunneler le tout. Il faut savoir que cette société est assez blindée côté sécurité et qu’il y a pas mal de monde, ce sont des coriaces ! Mais si j’arrive à passer le proxy dans putty ça devrait être bon je pense. Une idée ?
Merci d’avance !
Bonjour,
Alors déjà première chose le port 443 pour toutes les adresses IP est-il autorisé ? Le proxy ne peut autoriser des sorties avec le port 443 que sur quelques sites ou domaines.
Il serait peut être préférable d’utiliser le port 80 pour tester.
Pour tester je propose une petite astuce. Installer un serveur web sur ta machine qui tournera sur le port 80. Un wamp serveur fera amplement l’affaire avec la configuration de base (pensez quand même à mettre le serveur en ligne -> clic droit sur l’icône -> mettre en ligne). Faire un forward du port 80 (sur votre box) vers votre machine et tester depuis le boulot.
Normalement, si le port 80 est bien ouvert sur le proxy, une page « It’s work » devrait s’afficher.
La deuxième piste, c’est que la configuration du proxy dans le navigateur, utilise un proxy pac (l’adresse se terminera par .pac). Dans ce cas là, il faudrait télécharger et ouvrir ce fichier afin de trouver quel serveur proxy utilisé pour naviguer.
La troisième option c’est le que le serveur proxy ou firewall de ta société détecte le tunneling SSH et le bloque. Et là malheureusement ça devient extrêmement complexe.
Merci pour ta réponse, j’utilise le même PC portable pour le test maison / boulot, et à part la la configuration de Putty au niveau des paramètres du proxy, tout est à l’identique.
La connexion se fait bien, je fini même par éteindre le PC serveur avec la commande : shutdown -f -s
Mais les pages de firefox restent blanches (au boulot).
J’imagine que le proxy bloque en partie le tunneling, je vais essayer avec d’autres ports…
Merci pour la réponse si rapide
Alors j’ai testé aujourd’hui sur le port 80 mais même résultat que pour le 22 et 443 : ça ne passe pas. En fait dès que je dis à putty (ou openssh, j’en ai profité pour tester avec) de passer par le proxy de la boîte la connexion ne passe pas. Dans les options de firefox ce n’est pas un .pac, il s’agit juste d’une host à mettre sur le 8080. Comme si le proxy interdisait toute connexion extérieure ssh même sans tunnel.
En revanche j’avais déjà pu me connecter à un serveur web installé chez moi sur le port 80, avant d’essayer le ssh j’avais installé un proxy php qui tournait sous easy php et je n’avais aucun mal à m’y connecter (en allant sur http://mon_ip/index.php). Bon le truc c’est que j’étais limité à des pages « statiques » dès qu’il y a l’ajax ou des redirections javascript s’exécutant donc sur la machine cliente, ça bloque (logique). D’où mon intérêt pour ta méthode.
En fait les seules connexions que j’arrive à établir avec putty sont celles concernant des serveurs intranet et ne nécessitant pas de passer par le proxy; dès que je configure ce dernier c’est la cata il me jette avec un beau proxy 404 error quelque soit l’url et le port choisi (même sans tunneling). Selon toi ils ont bloqué les accès extérieurs ssh (est-ce possible ?) ? Et reste-t-il des solutions envisageables si tel est le cas ?
Merci beaucoup pour ta réponse en tout cas !
@Doll :
Il est possible que le serveur proxy de ta boîte tente de mettre ta requête SSH en cache si elle passe par le port 80 ou 443. Donc mettre un tunnel SSH en cache, bah généralement ça plante quelque part.
Le serveur proxy de ta boîte ne fait peut être que du filtrage d’adresse et du cache. Ainsi, tout se qui passe par le port 443, par exemple, est automatiquement forwardé vers la passerelle par défaut du proxy (l’accès vers l’extérieur).
Tu as essayé en ne mettant aucun proxy ?
Sinon, tu peux essayer de faire un tracert vers l’adresse ip de ton domicile et voir le prochain saut après le proxy. Dans ta config IP, tu peux mettre cette adresse en tant que passerelle par défaut et retenter une connexion.
Tu peux aussi essayé de mettre cette adresse comme proxy dans Putty mais là dessus, j’émets un gros doute
Bon courage, tiens moi au courant
Mon problème venait des requêtes DNS…
j’ai finalement trouvé la solution pour FireFox :
http://free.korben.info/index.php/Tunnel_SSH
:d
C’est bizarre, c’est la première fois que j’ai un problème avec les DNS.
Une mise à jour de firefox peut être.
Enfin, c’est une bonne nouvelle
Bonjour, et tout d’abord merci pour ton tuto.
Petite question pour toi ou quiconque pourrait m’apporter son aide. J’ai bien suivi ton tuto, aucun pb jusqu’au moment ou je teste de me connec sur 127.0.0.1 comme tu le fais dans ton screencast : des que ej rentre le pass phrase j’ai un message (pop up de putty ) :
« Connection closed by remote host »
Le log de Putty :
2010-10-08 03:16:17 Looking up host « 127.0.0.1″
2010-10-08 03:16:17 Connecting to 127.0.0.1 port 443
2010-10-08 03:16:17 Server version: SSH-2.0-OpenSSH_3.8.1p1
2010-10-08 03:16:17 We claim version: SSH-2.0-PuTTY_Release_0.60
2010-10-08 03:16:17 Using SSH protocol version 2
2010-10-08 03:16:17 Doing Diffie-Hellman group exchange
2010-10-08 03:16:17 Doing Diffie-Hellman key exchange with hash SHA-1
2010-10-08 03:16:17 Host key fingerprint is:
2010-10-08 03:16:17 ssh-rsa 1024 be:98:80:34:d3:1d:2c:7b:a1:e0:19:28:03:14:df:a6
2010-10-08 03:16:17 Initialised AES-256 SDCTR client->server encryption
2010-10-08 03:16:17 Initialised HMAC-SHA1 client->server MAC algorithm
2010-10-08 03:16:17 Initialised AES-256 SDCTR server->client encryption
2010-10-08 03:16:17 Initialised HMAC-SHA1 server->client MAC algorithm
2010-10-08 03:16:17 Reading private key file « C:\Program Files (x86)\OpenSSH\ssh\privatekey.ppk »
2010-10-08 03:16:21 Offered public key
2010-10-08 03:16:21 Offer of public key accepted
2010-10-08 03:16:23 Access granted
2010-10-08 03:16:23 Opened channel for session
2010-10-08 03:16:23 Allocated pty (ospeed 38400bps, ispeed 38400bps)
2010-10-08 03:16:23 Started a shell/command
2010-10-08 03:16:23 Server sent command exit status 255
2010-10-08 03:17:28 Disconnected: All channels closed
Une idée svp? j’ai regardé partout sur internet et pas trouver
((
Merci d’avance!
Tu es en Windows XP 64 bits ?
Je suis sous Windows 7 64 bits. D’ailleurs si ca peut aider d’autres personnes j’ai réussi à résoudre tous les problemes de lancement du service opensshd en installant apres openssh la derniere version de cygwin (version 1.7.7)
J’ai lu plusieurs fois ici que ca ne marchait pas sous windows 7, mais la j’ai l’impression de presque y etre!
Merci pour ta réponse rapide, en esperant que tu es une idée derriere la tete en posant la question 32/64 bits
Je suis sous Windows 7 64 bits. D’ailleurs si ca peut aider d’autres personnes j’ai réussi à résoudre tous les problemes de lancement du service opensshd en installant apres openssh la derniere version de cygwin (version 1.7.7)
J’ai lu plusieurs fois ici que ca ne marchait pas sous windows 7, mais la j’ai l’impression de presque y etre!
Merci pour ta réponse rapide, en esperant que tu ais une idée derriere la tete en posant la question 32/64 bits
J’ai cherché un peu sur le net, et j’ai vu que bien souvent les « Server sent command exit status 255″ intervenait à la suite d’un crash du service ou process.
Est-ce que à la suite de ces plantages, le service OpenSSH est toujours lancé ou bien il est arrêté ?
Non le service OpenSSH reste lancé, dans l’observateur des évènements voila ce que je vois quand ca arrive, je copie/colle même si je pense que ca ne va pas vraiment aider… :
Niveau Date et heure Source ID de l’evenement Categorie de la tache
Erreur 12/10/2010 00:37:31 sshd 0 Aucun
En tout cas merci de prendre le temps pour mon pb!!
Arf, désolé mais comme ça je ne vois pas de solution à ton problème.
Si tu trouves une réponse, n’hésite pas à la publier ici.
Je n’y manquerais pas! merci pour ton aide
Bonjour Arnaud,
Je viens de lire ce blog, chapeau !
Je viens avec une question peut-être un peu à la marge mais il me semble que si il existe une réponse, vous l’avez
J’utilise un pc portable au boulot et je voudrais amener firefox (3.6) à utiliser la connexion wifi alors que la connexion filaire au réseau d’entreprise est établie.
L’objectif est de passer outre le proxy filtré pour naviguer sans contrainte au travers du wifi.
Est-ce possible ?
Merci d’avance.
Si j’ai bien compris, vous souhaitez utiliser une connexion wifi uniquement avec Firefox et la connexion LAN pour tout le reste ?
Si c’est bien ça, je ne vois pas comment c’est possible.
Désolé
Dommage,
Merci de votre rapide réponse
Bonjour,
bravo pour le tuto et la video. On sent la maîtrise totale du sujet ;=).
Ce qui n’est pas mon cas. Je suis vraiment débutant dans le domaine et je bute sur une étape basique : le test en local avec Putty.
Le problème est le suivant : quand la fenêtre PuTTY s’ouvre, avec quel user name dois-je me connecter?
Merci d’avance pour ta réponse.
P2prod
bonsoir,
bon, j’ai trouvé. Débutant, moi?
En tous cas merci encore pour ce tuto.
On va maintenant passer aux choses sérieuses depuis mon PC boulot qui a un @#*&!! de firewall avec un proxy de type .pac
A+
P2prod
Bonsoir,
Vraiment sympa ton Tuto, et ça m’a l’air très intéressant sauf que je veux vraiment être prudente avant de tenter le coup sur l’ordi de mon boulot. Voilà mes questions/problèmes
1. Je suis assez douée en informatique, mais je fais mes débuts en « piraterie » si on peut appeler ça comme ça
disont que j’apprends vite mais faut me parler avec des mots simples (ça c’est si jamais tu comptes me poser des questions techniques…)
2. Voilà le vif du sujet : chaque mois le dirigeant de l’entreprise reçoit une liste avec toutes les connections de tous les employés (chaque employés est authentifié sur son post avec un badge) est ce que ce système permet de palier à cette signature? Admettons que j’utilise le tunnel de mon PC boulot, toutes mes connections sont-elles enregistrées dans mon PC Boulot en terme de flux réseau entreprise? est-ce que ça laisse une trace que j’utilise un tunnel ? en clair peut on réellement naviguer en toute sécurité, sans qu’un admin puisse se douter de quoi que ce soit?
Bonjour,
j’ai suivi cet excellent tuto à la lettre et j’ai toujours quelques soucis sur mon réseau local.
Mon réseau :
————–
J’ai un petit réseau local chez moi constitué de deux PC et d’un routeur WIFI connecté à mon modem :
– PC1 (192.168.x.x) sur lequel tourne openssh (sous win XP pro)
– PC2 (192.168.y.y) qui tourne sous win XP familial sur lequel j’essai d’utiliser puTTY pour me connecter au premier
– enfin un routeur passerelle WIFI (192.168.z.z) qui connecte tout le monde en WIFI.
Mon problème :
—————–
quand je veux me connecter au serveur ssh du PC 1 (192.168.x.x) à partir du PC 2 (192.168.y.y), j’ai systématiquement la fenêtre d’erreur suivante qui s’ouvre :
FATAL ERROR « Network error : Connection timed out »
Mon utilisation de PuTTY (sur le PC2) :
——————————
Les paramètres de connexion dans PuTTY sont :
- sur la page « Sessions » : 192.168.x.x sur le port 443
- sur la page auth, j’utilise la clé privée créee comme dans le tuto
- je ne défini ni proxy ni tunnel, ni rien d’autre et je lance.
Je précise que quand je teste avec PuTTY en local sur le PC 1 directement avec localhost port 443, ça marche parfaitement.
Personnellement, je vois 3 causes possibles (mais comme je suis débutant, je ne vois forcément pas la bonne) :
- j’ai peut-être fait une connerie dans les réglages (afin de minimiser les erreurs, j’utilise le fichier de config sshd publié sur ce site)
- problème dû à la wifi?
- problème de redirection des ports (pourtant ce n’est pas le premier port que je reroute : vnc, ftp, shareaza, etc…)?–> j’ai essayé avec le port 22 pour voir si ça changeait quelque chose, mais non, peine perdue.
Un petit coup de pouce serait le bienvenu, sinon, je vais abandonner.
Merci d’avance.
@Helena : Alors, la seule trace qu’ils peuvent voir c’est une connexion vers ton adresse IP via le port 80. Ils ne pourront pas voir les sites visités mais uniquement une connexion vers chez toi. C’est l’avantage d’un tunnel SHH.
@P2prod :
Tu notes :
- PC1 (192.168.x.x) sur lequel tourne openssh (sous win XP pro)
– PC2 (192.168.y.y) qui …
Quelle est l’adresse de ton sous-réseau ? Un ping entre ces deux PC donne quel résultat ? Si tu laisses ton masque de sous réseau par défaut : 255.255.255.0, tu vas avoir un problème car ton 3ème octet est différent.
Tu peux changer l’adresse IP d’un des deux PC pour tester.
Bonjour Arnaud et merci pour ta réponse.
En fait, les IP sont de type 192.168.1.x, 192.168.1.y et 192.168.1.z. Désolé pour cette « erreur de frappe ».
Le masque de sous réseau est le même pour les trois, et les PC se voient entre eux sous windows dans le voisinage réseau. Le ping est de 10ms en moyenne. Par ailleurs, je peux échanger des fichiers d’un PC à l’autre grâce au partage sous windows xp. Chaque PC voit le routeur sans problème.
Donc mon problème reste entier.
Sur la machine serveur, faut-il lancer la commande « net start opensshd » depuis un répertoire bien précis?
Je ne comprend vraiment pas ce qui cloche.
Il faut lancer la commande « net start opensshd » depuis n’importe quel emplacement dans le terminal.
Le firewall windows n’est pas activé ou un antivirus ne serait cause d’un blocage ?
Ce n’est pas un problème de redirection de ports vu que tu es au sein d’un réseau local.
bonsoir Arnaud,
merci pour ta réponse hyper rapide. On ne peut pas faire mieux
En effet, tu as raison, le port 443 n’était pas débloqué sur le firewall du serveur.
J’ai fait une exception et maintenant tout est OK.
Je t’avais dit que j’étais débutant…
Demain je vais tester depuis mon boulot en créant un tunnel.
D’après ce que j’ai compris, ce n’est pas détectable par l ‘administrateur réseau, c’est bien ça?
Car je n’ai pas envie de me faire mettre à pied.
Juste une question complémentaire :
dans ton tuto, à la rubrique SSH > Tunnels, tu écris :
1 – entrez le n° de port source : c’est par exemple le 8080?
Le tunnel est créé entre mon PC au boulot et mon serveur chez moi. Ce que PuTTY appelle source est le PC au bureau et le port source est le port qui sera détourné pour traverser le proxy par le port 443, c’est ça?
2 – entrez la destination sous la forme 127.0.0.1:port : port = 443?
Ce que PuTTY appelle destination, c’est en fait le bout du tunnel qui est opposé à celui du serveur, c’est bien ça? D’où l’adresse locale 127.0.0.1? Et pour le port, c’est le 443 car on a choisi une liaison sécurisée? J’avoue que tout ça est encore un peu confus.
3 – cocher dynamic ou local?
mon but est de surfer avec Firefox de mon poste au boulot en contournant le poxy (fichier pac)
Merci d’avance pour ta réponse.
Ton administrateur réseau pour voir qu’une connexion vers l’adresse IP de ton domicile est établie sur le port 80 ou 443, c’est tout.
Si tu veux uniquement surfer avec Firefox, dans putty (section tunnels) tu ajoutes une entrée comme ça :
Port source : 8080 – Type : Dynamic
Et puis c’est tout.
Dans Firefox par contre, dans les paramètres du proxy, tu le définit :
Hôte SOCKS : 127.0.0.1
Port 8080
Cocher SOCKS V4
Et normalement, ça devrait être bon
Bonsoir,
merci pour ta réponse.
J’ai suivi tes recommandations, ma
oups, fausse manip! désolé.
je reprends : J’ai suivi tes recommandations, mais ça ne marche pas.
J’attends un moment (peut-être 3 à 4 mn) et puis j’ai le message d’erreur suivant :
« PuTTY Fatal Error
Server unexpectedly closed network connection »
J’ai aussi essayé avec le port 80, 81, 8888, sans aucun succès. Même message.
Pourtant, j’accède bien à mon PC perso chez moi (celui qui héberge ssh) depuis le boulot via mon adresse IP publique externe car j’ai installé un petit serveur musical Subsonic (je m’y connecte depuis Chrome par l’adresse 89.159.???.???:port/index.html).
Par ailleurs, je peux me connecter à ssh sans problème de mon PC n°2 chez moi en passant par mon IP publique externe (ce doit être un loopback sur mon routeur).
Enfin, au boulot, pour vérifier que j’ai bien configuré dans PuTTY l’onglet « proxy » (c’est un *.pac à mon travail), j’ai rentré l’IP (10.???.???.???) et le port (3128 –> ce doit être un proxy Squid) dans Firefox et j’ai la même chose qu’en déclarant le PAC.
Dois-je en déduire que les ports « courants » sont bloqués dans mon entreprise? Y-t-il d’autres ports que je pourrait tester sans être « repéré »?
Sinon, puis-je utiliser D443 ou encore D3128 dans PuTTY?
Alors,
Dans Putty, il faut que tu mettes le numéro de port d’écoute de ton serveur SSH. Donc si ça fonctionne chez toi avec le port 443, c’est bien le port 443 qu’il faut mettre sur ton putty au boulot.
As tu bien fait une redirection de port, au niveau de ta box/routeur chez toi. Car sinon les paquets s’arrêteront à ce niveau là.
Es-tu sûr du proxy que tu as renseigné. Le mieux, c’est de télécharger le fichier .Pac (tu copies l’adresse et tu la colles dans firefox). Après tu ouvres le fichier avec Notepad ou autre et tu regardes la ligne qui concerne le port 443. Cette ligne te donnera l’adresse du proxy ainsi que son port. Tu mets tout ça dans putty.
Ton proxy est-il authentifiant aussi ?
Bonjour Arnaud,
merci pour ta réponse.
En fait, j’ai contourné la difficulté du proxy d’une façon inattendue.
Je me suis rendu compte qu’à mon boulot, seuls les PC de l’entreprise sont soumis au joug du proxy et du blocage d’adresses. En effet, en connectant mon PC portable personnel sur le réseau de ma boîte, je me suis rendu compte, à ma grande surprise, que j’avais accès à toutes les adresses, même les plus répréhensibles, sans aucune censure.
Pour le fun, j’ai tout de même essayé PuTTY, sans le réglage du Proxy, et ça marche parfaitement. Aussi bien en surf avec Firefox qu’avec VNC. Je peux prendre le contrôle à distance de mon PC chez moi et c’est jouissif
Je pense donc que le proxy bloque les « requêtes SSH ». je suis sûr de son adresse, car je l’ai paramétrée en direct avec succès dans Firefox sans passer par le PAC. Il n’est pas authentifiant, car ça n’a rien changé, avec ou sans mot de passe. En fait le PAC n’est qu’une succession de filtre en fonction du type d’adresse. A la fin du fichier, quand toutes les exceptions ont été redirigées vers des « proxy » secondaires ou encore sortent en direct, et bien le passage par le proxy « principal » est requis. C’est cette dernière adresse et son port associé que j’ai utilisé pour mes essais.
Finalement, mon problème est réglé, pas de la façon que j’aurais souhaitée, mais j’accède à ce que je veux quand je veux et sans compromettre la sécurité du réseau ni enfreindre le règlement. Donc, va bene.
En tous cas, encore bravo pour tes tutos, ta disponibilité et tes compétences dans ce domaine tout de même assez complexe.
A bientôt.
Bonjour,
Comment résoudre le problème « Server Refused our key » en local, sachant que toute l’opération s’est déroulée convenablement, problème de clé privée générée par puttygen ????
Merci
Vérifie que tu as bien configuré le fichier C:\Program Files\OpenSSH\etc\sshd_config
pour mettre :
Port 80
StrictModes no
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile /ssh/authorized_keys
Et dans le fichier ./ssh/authorized_keys c’est bien la clé publique qu’il faut mettre
Re Bonjour
Merci pour la réponse, je n’est pas encore fais l’essai, mais je voudrais juste quelques éclaircissements et excuse moi, sur la vidéo tuto, le port utilisé sur le sshd_config et celui de putty est 443, et aussi la clé introduite dans le auth du SSH est la private, est-ce qu’il faut mettre aussi au niveau de Putty le port a 80 et quelle est la différence entre clé privée et clé publique ?, merci encore.
Salut.
Il faut bien que tu différencies les deux choses :
- Le serveur OpenSSH
- Putty (le client qui permet de te connecter au serveur SSH)
Le port renseigné dans la configuration du serveur SSH devrait être renseigné dans Putty. Si tu mets le port 80 il faut le mettre partout.
Sur le serveur, dans le fichier authorized_keys tu mets la clé publique qui sera accessible à tout le monde sans restriction.
Sur le client putty, c’est la clé privée que tu mets.
Globalement, en grossissant les traits :
La clé privée permet de reconstituer la clé publique mais l’inverse n’est pas possible. Donc la clé publique est comme son nom l’indique publique, accessible à tous. La clé privée à l’inverse doit être conservé précieusement car elle permet de t’authentifier auprès de la clé publique. Les deux sont liées.
slt arnaud moi j ai deux problemes avec la manip que tu nous a donné je suis avec toi depuis fort longtemp.ok la premiere est que j utilise une livebox orange et je ne sais pa comment faire pour la configurer pour quelle puisse acepter les conection entrante au port 80 et en plus mon putty affiche connection time out je ne sais pas je suis deja depassé
merci d avance
jattend ton aide
j utilse une d link 1016d mais je ne sais pas comment le configurer pour qu il puisse accepter les connections entrantes
Bonjour et tout d’abord merci pour ce super tuto !
J’ai reussi à me connecter à mon boulot via putty sur le pc de chez moi donc de ce coté la c’est nikel, j’ai tout configuré comme tu as dis dans ton tuto.
Cependant, lorque je teste avec mon firefox, après avoir configuré le hote socks, le reusltat est que ça change absolument rien lol, j’arrive toujours à naviguer sur le net et les sites qui été bloqués avant le sont toujours !? =O
Pourrais tu me venir en aide à ce sujet stp !
merci d’avance
Tu passes bien par le tunnel SSH ?
Si tu as bien configuré le proxy dans Firefox et que tu as toujours des pages blanches, j’ai trouvé ça sur http://free.korben.info/index.php/Tunnel_SSH
Par contre, les requêtes DNS ne passent pas par le tunnel SSH, à cela, une solution, dans la barre d’adresse du navigateur taper : about:config
De là, cliquer sur le bouton : Je ferai attention, promis !
Dans Filtre, taper socks.
Il va falloir modifier la valeur de network.proxy.socks_remote_dns. Pour ce faire un clic droit puis Inverser : La valeur passe à True.
Et voilà, à présent, les requêtes DNS passent également par le tunnel SSH.
NOTE : N’oubliez pas de remettre à False l’option lorsque vous n’utilisez pas votre tunnel.
Magnifique mec ça marche ! t’es au top MERCI ! vraiement super tuto !
Me reste plus qu’a voir si mon pc est compatible pour le WOW ^^ j’ai peux d’espoir mais bon : |
Salut,
avant tout, merci pour ton très bon tuto.
pour ma part je me pose une question, j’ai deux pc chez moi derrière une freebox. Si je redirige tous les paquets ayant pour port dest 80 vers mon pc en ip 192.168.1.10 (serveur ssh) est ce que mon second pc 192.168.1.11 aura toujours accès au net ?
Sincères salutations,
Sly.
slt Arnaud la config que tu a mis dans l autre tuto pour ceux qui utilisent une live box n est pas bien visible et compréhensible.stp je voulais avoir un bon tuto sur lui. et savoir si la config et le serveur dédier tourne sur Windows ou sur Linux
@Sly : Il faudrait que tu testes mais je serais tenté de dire qu’Internet fonctionnera sur les postes. Les routeurs, quand ils font du NAT, utilisent des ports temporaires. Ainsi, tout le trafic vers le port 80 ne sera pas obligatoirement routé vers le 192.168.1.10
@Ghislain :
Pour une livebox, il suffit de faire une redirection de port NAT. Ici le serveur SSH tourne sous Windows mais rien n’empêche de monter un serveur SSH sur un linux.
merci pour la premiere reponse arnaud j ai ete tres ravie.
j ai encore une petit probleme celui de savoir comment instaler et configurer un serveur ssh sous windows
Si c’est pour Windows XP, tout est expliqué dans l’article ci-dessus
comment alors modifier la config de mon routeur pour qu il acepte les conection entrates sur le por voulu
Il faut que tu administre ta box !
Pour se faire, tape l’adresse « 192.168.1.1″ dans la barre d’adresse, après il faut que tu trouve la rubrique « NAT ».
et la tu reste en protocole TCP, port source et port destination tu met celui que tu veux « ouvrir » et l’adresse tu mets l’adresse privée de la machine sur laquelle tu veux rediriger les paquets et voila !
lien utile : http://www.dslvalley.com/dossiers/9box4/neufbox-nat-emule.php
êt mon routeur j esper qu il ne va pa m enpecher?
Félicitation pour cette explication.
C’est exactement ce que je voulais mettre en place, mais je ne savais pas trop comment m’y prendre et n’avasi pas pensé au tunel ssl.
Question subsidiaire. Pour nous obliger à utiliser la messagerie d’entreprise, les ports pop et smtp ont été bloques sur le proxy. Comment avec ta technique, puis je utiliser outlook pour continuer à travailler avec un vraie logiciel de messagerie (je met mon lotus notes – qui n’a de commun avec le papier toilette que le nom- en revois permanant vers une adresse POP)…
Bien sur cela ne doit pas perturber le fonctionnement des autres applications qui tournent sur le réseau.
Merci d’avance.
Au niveau des tunnels SSH dans Putty. Il faudrait que tu ajoutes deux lignes.
Port source : 110
Destination : 127.0.0.1:110
Type : Local
——————-
Port source : 25
Destination : 127.0.0.1:25
Type : Local
Dès que tu seras connecté à ton serveur SSH, le trafic pop et smtp sera transféré vers ton client de messagerie classique. Dans la configuration du serveur pop, il faudra mettre 127.0.0.1 avec 110 pour le numéro de port.
Je ne peux pas garantir le succès de l’opération car je n’ai rien pour le tester. J’espère que ça fonctionnera
Salut Arnaud,
Allez j’ai un nouveau défi pour toi, je place la barre plus haute. Je suis en entreprise, on a un filtrage de ports (seul 80 et 443 open), un filtrage très puissant sur le web (blogs, forums, téléchargements, proxy web…) et un proxy interne.
J’ai installé un serveur SSH chez moi sur le port 443, je suis au bureau sur Putty, à tâtonnement j’ai pu trouver le port et l’adresse du proxy. J’ai les deux ! Maintenant, Putty me répond : Proxy error: 407 Proxy Authentication Required
J’ai entré mes identifiants de réseau dans l’onglet proxy, ca ne donne rien.
Les postes sont bridés par les GPO d’un Active Diretory et je n’ai donc pas accès à la conf d’IE. Je ne peut donc pas deviner où est le fichier .pac qui me renseignerais mieux sur le proxy. Le seul « disque dur » visible est D: et qu’il contient « Mes documents » that’s all. Pas de C:, pas de System32, rien.
J’ai à ma dispôsition un Firefox portable et un Putty portable.
Je suis preneur de la moindre idée =)
Autre indice : je viens d’apprendre que pour utiliser Internet dans les machines virtuelles du boulot il faut donner à la conf réseau de IE/Firefox un petit fichier script (qui n’est pas un .pac mais ici un .php, je suppose que cela doit etre la même).
Ce site http://www.geckozone.org/forum/viewtopic.php?p=570164#p570164 avancait quelques pistes pour mettre la main sur le fichier en quetion. J’espère résoudre mon problème rapidement car en effet, une fois Putty connecté c’est l’El-Dorado.
J’ai récupéré le script complet, je l’ai testé il marche. Maintenant j’aimerais savoir quoi mettre dans Putty =/
Je n’arrive pas à savoir à quoi correspondent host et !shExpMatch()
Je continue de t’apporter des éléments :
Je suppose maintenant que le proxy de l’entreprise est très intelligent, il doit détecter la conformité du protocole circulant sur le port 443 (et interdit mon SSH à la place de SSL).
Un autre blogueur (Olivier Cochard) propose d’encapsuler SSH dans SSL avec un multiplexeur « sslh » coté serveur, soit par l’utilisation de Shell in a box soit par l’utilisation de stunnel.
Salut Vincent,
Tu as toujours le même message d’erreur, celui qui dit « Proxy error: 407 Proxy Authentication Required » ?
Dans le champ username pour l’authentification tu as rentré quoi ? Normalement c’est ton login AD celui avec lequel tu ouvres ta session.
Parfois dans ce champ, il faut mettre DOMAINE\utilisateur pour bien spécifier le domaine en question.
J’ai vu certain logiciel qui n’acceptait pas l’authentification sans ça.
Bonjour,
J’ai vraiment eu espoir que cela résolve ma situation hélàs c’est la même erreur d’authentification.
Serait-il possible de socksifier Firefox « dans lui même » ? Via un émulateur de terminal en javascript par exemple ?
Bonjour,
Merci pour le tuto, il est parfait.
J’utilise un tunnel SSH depuis 15 jours et ça fonctionnait nickel jusqu’à ce que suite au reboot de ma box, je change d@’IP externe .
J’ai constaté le changement ce matin avant d’aller travailler, mais comme j’ai configuré un dyndns, je ne pensais pas avoir de soucis.
Et bien si, plus moyen de me connecter à distance que se soit en utilisant l’@ IP ou en utilisant le nom dyndns.
Je fini toujours par recevoir un time-out.
En rentant, le service Open SSH était bien démarré.
En local, je parviens toujours a me connecter avec Putty
Pour info, j’utilise le port 443 et Windows XP
Arnaud as-tu une idée pour me débloquer ?
@Vincent : Si tu as un message d’erreur avec un Proxy authentification failed, ou un truc du genre c’est que tu as vraiment un problème d’authentification avec ton proxy. Quand tu lances le navigateur, c’est transparent, on ne te demande pas un nom d’utilisateur ou quelque chose comme ça ?
Après il est possible que le proxy utilise un serveur radius mais ça devrait quand même utiliser les comptes AD
@Cyril : Je vois deux options. La première c’est que tu aurais mal configuré Dyndns (un peu ballot celle là, je l’accorde
) La deuxième c’est que le redémarrage de ta box aurait fait sauter les règles de Forwarding au niveau des ports. Du coup, tu arriverais sur ta box mais après tu n’aurais aucun chemin, aucun aiguillage vers ton pc avec OpenSSH qui tourne.
Merci pour la réactivité.
Je tente 2 choses :
Désactiver dans les paramètres de la box le Dyndns et utiliser l’@ IP directement
J’ai effacé et recrée les règles de Translation de ports NAT
Demain, je tente a nouveau la connexion.
Merci
Arnaud, merci beaucoup d’assurer le support =) Non hélàs il se trouve en fait que PuTTy ne supporte pas NTLM. Comme mon AD me force à utiliser DOMAINE\login, ca ne marche pas non plus avec Tor.
Et du coup, pour se connecter au Web, ils nous demande de télécharger un petit fichier de conf de proxy que l’on doit mettre dans les connexions réseau de IE, Firefox & Co. Ce petit fichier doit utiliser le domaine et l’user de ma machine pour se connecter, voilà qui explique pourquoi je n’ai pas de problème dans Firefox.
Du coup depuis ce matin je suis coté client et je termine de paramètrer iodine pour faire de l’IP over DNS. Et ca a l’air de bien marche (latence de 230ms quand même). Mais c’est mieux que rien.
Merci encore de ton aide.
@Cyril : Ok, tiens moi au courant si ça fonctionne
@Vincent : Juste par curiosité extrême, ça serait possible de m’envoyer, par mail, le fichier de conf du proxy, que je vois à quoi il ressemble ? Ca m’intrigue
OK merci, ça fonctionne nickel.
J’ai réactivé le dyndns
J’en déduis donc que le problème venait comme tu l’avais pressenti des règles de Forwarding.
Merci pour le tuto et le support.
@Cyril : Cool, bonne nouvelle. Un problème de résolu sur les deux en cours
Merci pour le retour. Bonne journée
Arnaud, non, désolé, j’ai signé un contrat de confidentialité en travaillant ici. Je ne peux pas prendre le risque même en masquant les urls, la forme générale serait une emprunte.
Finalement iodine marche très bien pour Gajim (Jabber) mais rien de plus. J’ai trouvé un webproxy pour les quelques sites bloqués.
Encore merci de ton aide !
Pas de problème, ne te mets pas dans l’embarrât.
L’essentiel c’est que tu es une solution qui fonctionne
Bonjour Arnaud,
Merci pour ton tuto et ton screencast, beau boulot
Malheureusement je coince sur la connexion putty, rien qu’en local, j’ai le fameux message « serveur refuser our key »
Pourtant j’ai bien copié la clé publique dans le fichier ssh/authorized_keys, le fichier sshd_config me semble bon (j’ai même testé le tien).
J’obtiens le même message en renommant ou supprimant le fichier authorized_keys, comme s’il ne le trouvait pas ou n’arrivait pas à le lire.
Si tu as une piste je suis preneur.
Emmanuel
Bonjour,
Le fichier /ssh/authorized_keys tu l’as enregistré dans quel dossier ?
En copiant la clé publique dans le fichier, tu l’as mis sur une seule ligne ou plusieurs ? De mémoire, je crois qu’il faut qu’il n’y ait aucun retour à la ligne dans le fichier et donc tout mettre à la suite.
Quelle rapidité
Le fichier se trouve dans « C:\Program Files\OpenSSH\ssh », sans aucun saut de ligne
j’ai refait toute l’installation et même résultat
La clé publique, tu l’as copié ou tu cliques sur sauvegarder dans PuttyGen ?
J’ai bien copié/collé la clé.
En fait j’ai résolu mon problème, en mettant dans PuttyGen, dans la case KeyComment mon user@nomordi, et là ça a fonctionné direct.
Ok, bonne nouvelle alors.
Il y a maintenant plus d’informations et d’astuces dans les commentaires que dans l’article en lui-même
Quand même pas
Mais c’est bien de partager les astuces
Bonjour Arnaud,
tout d’abord, merci pour le tuto, mais je dois avouer que j’éprouve quelques difficultés.
Pour me connecter à mon serveur perso, pas de soucis avec la configuration de proxy suivante dans putty :
- Proxy type : HTTP
- Proxy hostname : 10.2.1.100
- Port : 3128
Je crée le tunnel ssh dans putty (dynamic, source port : 8080)
Dans firefox, je paramètre la connexion :
- Hôte SOCKS : 127.0.0.1
- Port : 8080
Du coup, ça désactive les paramètres pour me connecter au web autorisé par le boulot :
- Adresse de config auto du proxy : (de type) http://domaine/proxy-eu.pac
As-tu des idées?
Merci d’avance pour ton aide
Bonjour,
Il te suffit d’utiliser un autre navigateur que celui par défaut au boulot.
A la limite tu prends une version portable (opera usb par exemple) et comme ça tu n’as rien à installer sur ton ordi. C’est ce que j’ai fait et c’est niquel !!
Pour info, je viens de tester avec proxifier en configurant firefox en « Pas de proxy »
et ça fonctionne, je contourne le proxy du boulot (paramètres de proxifier : SOCKS5; 127.0.0.1:8080).
Le problème c’est que proxifier est en démo limitée à 30jours…
Je ne pige pas bien la différence entre cette solution et celle de ton tuto…
Merci d’avance pour ton aide
@Manu : Bonjour,
est-ce une tentative de résolution de mon problème? ou est-ce un message à quelqu’un d’autre?
Si c’est pour moi, je ne pige pas très bien ta solution :
- j’utilise déjà un navigateur autre que celui par défaut au boulot
- j’ai testé avec opera usb, même problème…
Merci pour ta réponde dans tous les cas
PS, en complément du message de 13:49 :
L’adresse de config auto du proxy : (de type) http://domaine/proxy-eu.pac
c’est ce que je dois mettre dans firefox ou tout autre navigateur pour pouvoir aller sur le web bridé autorisé par ma boite.
@deax_one
Oui je m’adressais bien à toi.
Pourtant ça devrait fonctionner : dans le navigateur de ton boulot, tu laisses le paramètre proxy (fichier .pac), et dans opera usb tu modifies le proxy pour mettre 127.0.0.1 / 8080
Tes 2 navigateurs ont alors un paramétrage différent, l’un pour aller sur le web bridé, l’autre pour surfer via serveur perso
@Manu
Cette option ne fonctionne pas…
En revanche, sur l’idée de proxifier, j’ai cherché des solutions du même type.
J’ai trouvé et installé le module complémentaire FoxyProxy qui permet une gestion fine des proxys sous Firefox et maintenant ça fonctionne… Ne me demandez pas la différence avec l’outil de gestions par défaut de Firefox…
Merci pour l’aide en tout cas.
Et si quelqu’un rencontre des difficultés, qu’il essaye la solution FoxyProxy, ça peut être salvateur!
Bonjour,
J’ai essayé d’utiliser cette methode qui marche depuis un autre PC mais pas au boulot.
Impossible de trouver l’adresse IP du proxy (ya rien dans IE)
Suite aux conseil du pote informaticien qui m’a créé tout ca
- j’ai essayé sans mettre de proxy –> connection timed out error
- Donc j’ai mis l’adresse de la passerelle trouvée dans la config, avec le port 80 ou 443 + mes identifiants –> connection refused…
Il n’a plus d’idée !
Que faire… j’ai cru lire dans un des commentaires que cette methode marche pas pour moi ? Ou y a-t-il un moyen de trouver la vraie IP+port du proxy ?
[...] viaContourner un proxy (au boulot…) | Arnaud Bosquet. Informatique ← Depicus Welcome to Wake On Lan Commandes de bases – Vim-fr → [...]
Ah oui j’ai vu dans un de tes com qu’il fallait mettre l’adresse de la passerelle –> ipconfig, dans le cas d’un proxy transparent. Je l’ai fait sur port 80, 443, 8080, 81 et 8888 et ca refuse la connection…
Hello,
Je suis sous windows Seven et je suis navré que cela ne fonctionne pas
si jamais vous avez une méthode je suis preneur 
@Showbizz : Tu peux essayer de faire un trace route sur ta machine au boulot. Tu verras les différents sauts de ton paquet et surement l’adresse de ton proxy.
@Arnaud : Pour l’instant je n’ai pas le temps de m’en occuper mais un utilisateur a donné une méthode dans un précédent commentaire
Merci Arnaud de ta réponse…
Mais comment je fais ca ? je suis pas un vrai informaticien… il faut un programme c’est ca ?
Et j’ai un peu peur d’installer ce genre de trucs et que l’info le voit après, je me fait griller par la charte que j’ai signé ! ya un moyen simple de le faire ?
Salut Arnaud !
J’ai pris la 2e adresse ! Ca a marché
Je te remercie infiniment pour ton aide !
Salut,
Je n’avais pas vu tes 2 précédents commentaires. Cool si ça fonctionne maintenant
Hello,
avant tout un grand merci pour ce tuto, ça m’aidera certainement pour que je puisse consulter enfin mes mails au boulot
par contre voila, je bloque à l’étape ou il faut renseigner les données du proxy de ma boite dans putty.
Je récupère le proxy dans les paramètres de connexion de mon navigateur, il s’agit d’un proxy dit automatique, je n’ai pas le port de renseigné mais juste un lien internet.
J’ai essayé de vérifier l’ip utilisée et le port via la commande netstart -an mais malgré avoir essayé les ips distantes et les ports dans putty l’accès ne se fait toujours pas.
Pouvez vous m’aider?
L’adresse dans la configuration de ton proxy automatique va vers un fichier texte qui contient des règles. Tu peux ouvrir le fichier avec notepad pour voir les différentes règles et normalement tu devrais trouver une adresse et un port pour un ligne par défaut.
Sinon tu peux faire un trace route vers http://www.google.fr et dans les premières lignes tu devrais trouver l’adresse de ton proxy.
Salut Arnaud,
Merci pour le tuto. C’est mon 2ème jour de config. Je crois que j’ai tout fait comme le tuto.
Mais deux questions:
- J’ai une freebox révolution. Dans putty que dois je mettre dans hostname quand je me connecte à distance? Serait-ce l’adresse IP publique de ma free box? Comment puis-je l’obtenir? car un ipconfig sur mon pc/serveur SSH de la maison cela me donne un truc du genre 192.168.1.254 (ceci n’est pas une adresse publique routable)?
- J’ai ensuite pris l’adresse IP qui est inscrite dans mon compte freebox revolution. en essayant une connexion putty du bureau ça me donne l’erreur suivante :
Proxy error « 403 forbidden ».
Suis-je déjà detecter dans mon boulot comme un « intruder »?
Y a t’il moyen de contourner?
merci
Salut hab,
Pour l’adresse IP, il faut prendre l’adresse IP que tu peux trouver en allant sur des sites comme http://www.votre-ip.com
Il faut que tu fasses une redirection de port après, sinon tout arrivera sur ta freebox, et c’est tou. Tu dois dire à ta freebox, que tout ce qui arrive sur le port en question doit être transféré vers ton pc/serveur SSH. Tu trouveras plein de tuto là dessus (désolé, je n’ai pas de freebox pour t’expliquer ça).
Bon courage
Bonjour,
Merci pour ta réponse.
J’ai changé mon port d’emission de mon OpenSSH de 80 à 443,
j’ai fait le routage NAT dans le routeur de ma freebox comme suit:
freebox: 443–> adresse-du-poste-du-serveurSSH:443, j’ai pas de firewall chez moi.
Maintenant j’ai un « Gateway time out »
J’ai le mêmeproblème que dans une de tes réponse ci-haut à DarKlWeeDl
Je te cite:
« @DarKlWeeDl :
Salut, le message « Gateway time out » signifie que la passerelle par défaut ne répond pas. Dans la configuration du proxy, es tu sur d’avoir correctement renseigner les infos ?
Si tu fais un cmd -> ipconfig /all que tu regardes ta passerelle par défaut et que tu tentes de la pinger il se passe quoi ?
As tu bien fait la redirection de port sur ta freebox ? »
En ce qui me concerne, j’ai pas de problème:
J’ai fait un cmd -> ipconfig /all et j’ai pinger avec succès ma passerelle par défaut de mon poste du boulot.
L’adresse du proxy est bonne, que j’ai aussi pinger avec succès.
C’est quoi le problème? J’ai fouiller partout dans les forum et j’ai rien trouvé.
merci
J’ai pu me connecter chez moi à partir d’un autre PC qui est sur le même réseau freebox.
Donc, le problème reste uniquement la connexion ssh à partir de mon taff.
J’ai tout renseigné comme il faut.
Mon problème ressemble étrangement à celui bien commenté de P2prod.
J’ai REUUUUSSSSSIII!!! Tout marche comme il faut.
COmme tu disais dans un de tes post, la meilleur manière de faire c’est d’essayer de se connecter à partir d’un autre PC d’abord chez soi. Et bien entendu en utilisant l’adresse publique de la freebox et non du réseau locale. Une fois que ça marche, ça devrait marché au boulot.
Pour mon cas, c’est le routage des ports sur la freebox qui ne fonctionnait pas, c’est bizzare mais quand j’ai rajouté UDP ça a marché. Pourtant j’avais cru que TCP suffisait.
Merci encore!
Salut,
Et bien voilà une bonne nouvelle.
Merci pour le partage et le retour d’expérience en tout cas.
Bonjour Arnaud,
Tout d’abord, félicitations pour ton tuto , j’ai pu ainsi contourner un méchant proxy au travail… Tunnel SSh avec port 443 ….(après pas mal de tâtonnements…)
Toutefois, j’ai un petit souci. Quand je me connecte à mon PC à distance avec l’adresse IP, tout va bien, je peux surfer depuis mon pc au travail….
Mais j’ai créé un nom de domaine xxxx.no-ip.org, (ma livebox2 change l’iP régulièrement..), et lorsque je me connecte avec mon nom de domaine, j’ai droit à un beau « 403 forbidden ».
J’a rajouté le service no-ip dans la livebox, car elle offre cette possibilité. Mais impossible de se connecter avec mon nom de domaine. Aurais-tu une idée ?
En tous cas merci pour tout.
je crois que j’ai résolu le problème…
Apparemment , le proxy n’aimait pas XXX.no-ip.org, j’ai changé de nom de domaine, en prenant XXX.zapto.org, et là, ça marche…!!
Par contre, j’ai un autre souci. J’ai une clé 3G entreprise avec orange.vpn et je me connecte avec un vpn entreprise lors de mes déplacements.
Et lorsque je mets ma clé 3G en déplacement sur mon pc portable, j’ai aussi un beau « 403 forbidden » lorsque je veux me connecter à mon serveur SSH avec Putty.
Une petite idée ? (je ne suis pas très doué avec tout ceci…)
Merci encore à toi, Arnaud.
De souvenir, je crois que le Orange.vpn utilise un vpn inter-réseau. Tu utilises un VPN entreprise, plus un VPN dans putty. Ca fait beaucoup. Pour le coup, je ne sais pas si on peut utiliser un « tunnel » dans un autre « tunnel ».
J’ai pas de clé 3G pour tester malheureusement, mais si tu trouves une solution, n’hésite pas à la partager ici.
Bon courage
Merci pour ta réponse Arnaud…
je vais essayer de fouiller davantage, mais sans grand espoir côté clé 3G…
En fait, j’ai déjà fouillé pas mal le net, et rien trouvé….
(mais bon, je suis une « quiche » dans ce domaine…!!)
En tous cas , ça marche déjà au travail, c’est super…
Merci encore, Arnaud.
Salut Arnaud !
Tout marchait bien jusqu’a ce qu’un jour : « Proxy error : 407 Proxy Authentification required »
J’essaye de mettre mon login et mot de passe dans l’onglet proxy et ca marche pas
Tu crois qu’ils m’ont grillé et qu^’il ont bloqué mon accès ssh ?
Salut,
As-tu essayé de mettre le login et le mot de passe de ta session dans l’onglet Proxy de Putty.
Si oui, as tu essayé de mettre le login sous la forme DOMAINE\login dans le champ Username de Putty ?
Salut !
Pour moi tout fonctionnait bien jusqu’à ce que je lance le serveur avec net start OpenSSHD
Il me renvoie le message d’erreur :
L’erreur système 193 s’est produite.
*** n’est pas une application Win32 valide
Que faire ?
Salut,
Es tu sous Windows Vista ou Seven ?
Je suis sous windows Seven 64bits
Rectification Win 7 32b
Ce tuto, enfin le logiciel n’est pas compatible avec Windows 7.
Il faudrait que je me penche sur la question, mais je n’ai pas trop le temps en ce moment.
Ca fera l’objet d’un nouvel article, si ça fonctionne.
D’accord
Merci !
Bonjour,
Pour l’utilisation de cette technique sous Vista/seven, vous pouvez suivre le tuto disponible à cette url :
http://mathieu-androz.developpez.com/articles/linux/ssh/
Il utilise un émulateur de Linux (Cygwin) et le modifie pour qu’il soit compatible Vista/seven.
Je n’ai pas personnellement testé, mais ça sera fait sous peu. Je vous tiendrais au courant
Bonjour Arnaud,
J’ai trouvé votre blog (intéressant) en faisant des recherches sur les GPO/Proxy… car je suis entrain d’appliquer un stratégie d’accès à Internet pour les collaborateurs de l’entreprise… entre 5 et 10 agences (entre 500 et 1000 collaborateur) en France.
–> Il n’est pas tujours facile d’être plus malin qu’un malin !
Mon objectif étant justement de coincer tout petit malin qui chercherait à contourner notre système afin d’échapper à nos restrictions Internet !
Je vous soumet une configuration, qu’en pensez-vous, mais surtout que trouveriez-vous pour contourner ce système ?
Contexte :
- toutes les agences sont reliées entre elles via des liaisons MPLS ORANGE BUSINESS,
- Via les liaisons MPLS il est possible de sortir par défaut sur le Net (d’où l’objectif de stopper volontairement cet accès pour 95% des connexions)
Config proposée pour bloquer l’internet via le MPLS et forcer un passage vers un proxy :
- @ IP via DHCP « sans » adresse de passerelle par défaut !,
- ajout via DHCP, propre à chaque agence, de 2 tables de routages (plages IP internes) qui permettent de sortir d’une agence pour exploiter les différentes ressources du Système d’Information du groupe en France. Ces différentes plages IP pointent en fait vers l’adresse de la passerelle par défaut (le routeur) de chaque agence,
- GPO Internet Explorer pour attribuer les paramètres proxy, dont entre autres l’onglet connexion désactivé, etc…,
- proxy exploitable uniquement avec un port spécifique non communiqué aux collaborateurs,
- @ IP du proxy non communiqué et non visible lors des blocages de page web (lors du blocag d’un page web, le proxy affiche un message provenant d’une page qui est stockée en fait sur notre Intranet société – donc pas évident de trouver la bonne @,
- proxy dans une plage IP différente des autres agences, mais accessible via les tables de routages internes,
- le proxy a 2 cartes réseaux, car la sortie sur le Net est accessible uniquement via une autre plage IP inconnue et inaccessible des autres agences, qui est derrière un autre routeur/internet,
- filtre du navigateur web par le proxy – le proxy ne laisse uniquement Internet Explorer !
- le proxy a bien entendu des restrictions drastiques afin de bloquer quasiment tout ce qui n’est pas lié à l’activité professionnelle.
Voilà, je pense ne rien avoir oublié.
Alors comment qq’un d’intelligent comme vous, et vos visiteurs, pourraient trouver une solution de contournement à cette configuration ?
Car pour moi, qq’un qui exécute un navigateur portable sur une clé usb, ne pourrait aller nul part ! Est-ce que je me trompe ?
Car ayant retiré la passerelle par défaut, les postes restent entre eux dans leur plage IP sans sortir par nos routeurs MPLS ! Donc comment fait un utilisateur classique du réseau pour sortir quelque part sans que la GPO lui laisse un moyen de sortir vers l’extérieur ?
Il n’y a peut être pas de solution ultime, mais cette configuration devrait donner du fil à retordre à plus d’un utilisateur de notre S.I d’entreprise ! ne pensez-vous pas ?
Cordialement,
Mr Proxy.
Bonjour,
Le problème est tourné différemment, c’est rigolo.
Il faut savoir que des logiciels permettent de trouver la configuration proxy sur une machine. Par exemple, certains logiciels vont pouvoir utiliser ce que l’on appelle la « Configuration système du proxy ». Ces paramètres sont généralement ceux renseignés dans IE. Google Chrome utilise par exemple le proxy renseigné dans le système, les clé 3G d’Orange aussi. On peut donc trouver le proxy avec un trace route. C’est plus compliqué mais réalisable.
Concernant le filtre par navigateur, il est difficilement réalisable. En effet, quand le tunnel SSH est établi, les paquets sont encapsulés dans le tunnel SSH. Le proxy et/ou firewall ne voit, du coup, que le tunnel SSH qu’il autorise par ailleurs. J’émets quand même une réserve car je n’ai pas pu le tester en live.
Cela dit, une autre solution existe. Des extensions Firefox permettent de changer le User-Agent du navigateur. Du coup, on surfe avec Firefox mais on se fait passer pour Internet Explorer. C’est ultra dur à détecter.
Il y aura toujours un moyen de passer outre, mais dans votre cas, ça devrait donner pas mal de difficulté à vos collègues
Re-bonjour Arnaud,
Après avoir réussi ma connexion SSH au boulot grace à toi (voir ci-haut).
Un ami à moi n’a jamais pu faire fonctionné la connexion SSH de son boulot à lui vers mon serveur SSH que j’ai essayé de lui configurer, alors on est passé à VPN.
J’ai essayé le VPN microsoft pour essayer de le connecter de son boulot vers chez moi (freebox).
Alors bien entendu j’ai installé un serveur VPN mircrosoft chez moi en PPTP
que je laisse allumé. J’ai NATTER ensuite ma freebox (port 1723 de ma freebox vers le IP de mon serveur VPN port 1723)
J’ai ensuite configurer un client VPN mircosoft du poste de travail de mon ami.
ça marche super bien, il arrive à voir mon serveur et à se connecter à internet.
Pour moi ça ne marche pas, il y a un timeout et une erreur 800.
Je réussi le SSH mais pas le VPN pourquoi à ton avi?
Salut Arnaud
MErci pour ta réponse.
J’ai essayé effectivement d’entrer l’username et le mot de passe ca avait pas marché
je viens de réessayer avec DOMAINE\mon user name
+ mon mot de passe
Ca marche pas non plus…
C’est bizarre ca marchait bien avant sans username + mot de passe de ma session !
Au fait je bosse en Suisse allemande alors c’est peut-être pas DOMAINE\… ?
@Hab : Le port 1723 n’est peut-être pas ouvert sur le firewall de ta boîte. Ou alors il détecte le VPN PPTP et bloque ce protocole. Le tunnel SSH est transparent si tu utilises un port habituellement utilisé pour internet (80, 443,…)
@Showbizz : Quand je dis DOMAINE\USERNAME, il faut que tu remplaces USERNAME par ton nom d’utilisateur et DOMAINE par le domaine sur lequel est connecté ton ordinateur. Pour le trouver, tu peux faire un clic droit sur le « poste de travail » -> Propriété -> Nom de l’ordinateur -> Et tu regardes le domaine