Jump to content
Tartanpion

Ssh : Connexion Timed Out Sur Qnap Ts-119 Pro Ii

Recommended Posts

Bonjour à tous,

Depuis peu, j'ai acheté un QNAP TS-119 P II avec une Debian Squeeze Armel (architecture ARM) installée dessus pour me lancer dans l'auto-hébergement.

Mais ça fait 4 ou 5 jours que je ne peux plus me connecter sur le serveur en local avec la commande SSH.

Je me connecte en Wifi avec mon portable au réseau local sur la MachinBox.

je fais pourtant la commande habituelle :

ssh -v  utilisateur@ip_du_serveur_local -p XXXX

root@debian:~# ssh -v utilisateur@192.168.X.XX -p XXXX

OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012

debug1: Reading configuration data /etc/ssh/ssh_config

debug1: /etc/ssh/ssh_config line 19: Applying options for *

debug1: Connecting to 192.168.X.XX [192.168.X.XX] port XXXX.

debug1: connect to address 192.168.X.XX port XXXX: Connection timed out

ssh: connect to host 192.168.X.XX port XXXX: Connection timed out

Je ne vois pas ce que j'aurai pu changer pour avoir ce problème. Je ne peux plus me connecter en VNC non plus puisque je ne peux plus lancer le serveur VNC avec SSH... J'avais changé le port 22 pour un autre. Jusque là j'ai pas eu de binz. La commande Ping ip_du_serveur fonctionne et me renvoie bien des données correctes. Un telnet Ping ip_du_serveur sur le même port ne fonctionne pas. Un traceroute ip_du_serveur ne renvoie rien. J'ai fait un :
iptables -F

iptables -X
sur le client, qui apparemment si j'ai bien compris efface toutes les règles du pare-feu. Mais je ne peux pas le faire sur le serveur, n'ayant plus accès ! J'ai bien redirigé le port 22 client sur le port XXXX de mon serveur sur la page de config de la MachinBox (Neufbox v4). La commande trouvé sur le net :
ps -ae | grep sshd

ne renvoie rien. C'est sensé dire apparemment si SSH est activé sur le serveur. Quelqu'un confirme ?

J'ai constaté un truc aussi sur la page de configuration de la Neufbox : le serveur apparaît dans les postes connectés mais il ne reste pas bien longtemps (genre 1mn pas plus) ! Comme s'il avait planté peut-être. Le seul moyen pour moi de l'arrêter, c'est de faire un appui long sur le bouton "Arrêt", c'est pas très fin je sais...!

Un wakeonlan ne marche pas non plus apparemment, le seul moyen de le faire réapparaître dans la liste des postes connectés, c'est de faire le ping test maison de la MachinBox.

Je suis bien embêté, si j'avais pu reformater (ah les habitudes "windowsiennes" !), je l'aurai fait, j'ai rien, aucune donnée pour le moment sur le serveur. Mais étant sur un serveur NAS QNAP avec une Debian Armel et ayant flashé la mémoire (en ayant quand même fait une sauvegarde du système QNAP proprio) je vois pas trop comment faire...!

La résolution du problème SSH serait bien !

Merci d'avance pour vos réponses.

Share this post


Link to post
Share on other sites

Bonsoir,

On va essyer de comprendre votre problème.

Tout d'abord, vous donnez des commandes que vous semblez executer sur le serveur mais vous n'y avez plus accès ? Enfin ça reste confu, mais j'imagine que vous avez tenté de vous y connecter depuis une autre machine Linux (Debian) en ligne de commande :

ssh -v utilisateur@ip_du_serveur_local -p XXXX

root@debian:~# ssh -v utilisateur@192.168.X.XX -p XXXX

OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012

debug1: Reading configuration data /etc/ssh/ssh_config

debug1: /etc/ssh/ssh_config line 19: Applying options for *

debug1: Connecting to 192.168.X.XX [192.168.X.XX] port XXXX.

debug1: connect to address 192.168.X.XX port XXXX: Connection timed out

ssh: connect to host 192.168.X.XX port XXXX: Connection timed out

Dans votre explication vous ne parlez pas de votre DHCP ? Avez-vous une configuration réseau par DHCP sur votre serveur ou une configuration par IP fixe ?

Commençons déjà par le début et assurons nous d'avoir la bonne IP sur serveur ou du moins d'être sur que celui-ci s'y connecte.

Merci,

exxos.

Share this post


Link to post
Share on other sites

Bonsoir et merci de votre réponse !

C'est peut-être un peu confus en effet désolé, je suis assez novice en la matière !

Je n'ai effectivement plus accès au serveur depuis quelques jours, et je n'en comprends pas la raison (je ne vois pas ce que j'aurai pu modifier sur le serveur, ou le client peut-être).

Les commandes citées sont exécutées côté client sur mon portable Debian Testing (linux 3.2.0-3 x86_64) connecté en Wifi à la MachinBox, n'ayant plus accès au serveur.

J'ai une connexion en DHCP mais j'ai "fixé" l'adresse IP du serveur, cela est possible sur la page d'administration de ma MachinBox (une Neufbox V4). Je n'ai fixé que le serveur.

Je viens d'apprendre que les règles de redirection de ports sont inutiles pour une connexion en réseau local (en attendant internet une fois tout bien paramétré)...! Vous confirmez ?

Share this post


Link to post
Share on other sites

Bonjour à tous,

après avoir effectué un nmap -v adresse_serveur, il semblerait que mon port SSH soit fermé maintenant...

root@debian:~# nmap -v 192.168.X.XX

Starting Nmap 6.00 ( http://nmap.org ) at 2012-09-27 09:35 CEST

Initiating ARP Ping Scan at 09:35

Scanning 192.168.X.XX [1 port]

Completed ARP Ping Scan at 09:35, 0.05s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 09:35

Completed Parallel DNS resolution of 1 host. at 09:35, 0.00s elapsed

Initiating SYN Stealth Scan at 09:35

Scanning 192.168.X.XX [1000 ports]

Completed SYN Stealth Scan at 09:35, 4.77s elapsed (1000 total ports)

Nmap scan report for 192.168.X.XX

Host is up (0.0021s latency).

Not shown: 999 filtered ports

PORT     STATE  SERVICE

5900/tcp closed vnc

MAC Address: XX:XX:XX:XX:XX:XX (ICP Electronics)

Read data files from: /usr/bin/../share/nmap

Nmap done: 1 IP address (1 host up) scanned in 4.96 seconds

           Raw packets sent: 2002 (88.072KB) | Rcvd: 4 (148B)

Je n'ai apparemment que le port VNC d' "ouvert"...Je ne comprends pas trop pourquoi. Peut-on le "forcer" pour se connecter en SSH dessus :lol: ?

En attendant, je vais me pencher un peu plus sur la question "comment réinstaller Debian sur le QNAP sans accès SSH"...Je me suis lancé dans l'aventure un peu trop vite, j'ai l'impression...!

Share this post


Link to post
Share on other sites

Bonjour,

Si le serveur VNC est toujours en ligne (que ce soit pour x11vnc, ou pour des sessions autonomes) ... pouvez-vous vous connecter ? vncviewer ou même via http ...

Sinon :

Si vous avez gardez et créer une image de votre flash (comme indiqué sur le site cirrus ...) , utilisez la procédure de recovery

sinon utilisez la procédure de recovery de QNAP (sans disque, ou sur un disque vierge) ... cela remettra la flash a l'origine ... démarrez, connectez vous en ssh admin / admin, montez une clef USB avec l'installeur de debian ... réinstallez l'installateur de debian ...

rebootez sans les disques ... connectez vous sur la debian en ssh avec installer / install, remontez les disques à chaud

montez les partitions sda1 et parfois sda2 ... cela fait un moment que je n'ai pas joué avec Debian natif sur mes QNAP ... je n'ai qu'un 109 en Debian ... mais c'est applicable ...

sauvez ce qui doit l'être, si vous avez gardé une image de votre flash APRÈS installation de debian (et bien sur mise à jour du kernel) réinstallez là

a la main dans /etc/rcn.d, ou rclocal ... forcez le démarrage de telnetd ... comme cela au reboot vous aurez la main ... regardez les logs pour identifier votre problème de ssh ... etc. etc. là il faut regarder ...

puis rebootez ...

Sinon une bonne réinstall sera aussi une solution ... complète ...

Pour info ... sur mes systèmes réellement "headless" comme les QNAP Arm ... je laisse tourner en écoute sur mon réseau local un nc (netcat) en exécution bash ... si cela ne sauve pas un système "mort" cela permet de contourner les problémes de perte de ssh ou autre ...

Philippe.

Share this post


Link to post
Share on other sites

Bonjour et merci de votre intérêt pour le problème !

J'ai conservé un backup de l'image flash d'origine (les 6 mtdblock). Mais je ne sais pas trop comment l'utiliser sans accès au serveur.

Je n'ai pas de "démon VNC" sur le serveur qui se lance tout seul, je lançais d'abord VNC sur le serveur via SSH, puis je me connectais en SSH. Mais n'ayant plus accès à SSH, ça n'est plus possible (en tout cas je ne vois pas trop comment).

Je viens de choisir la solution la "moins" contraignante étant assez novice en la matière, c'est la réinstallation complète officielle http://wiki.qnap.com/wiki/Firmware_Recovery. Je n'avais aucune donnée sur le disque donc ça ne posait pas de problème, je me doutais bien que j'allais faire une bêtise...!

je ne pensais pas que c'était possible une fois avoir installé Debian et flashé la mémoire, mais tout c'est passé sans problème, j'ai suivi la méthode 1 avec le CD Recovery dont l'ISO est disponible sur le site. C'est en anglais mais j'ai pu suivre facilement.

En tout cas, je ne regrette absolument pas cet achat, c'est vraiment de la qualité et les "gardes-fous" sont nombreux au cas où l'on ferait des bêtises (pour les "noob" comme moi) !

Je vais pouvoir remettre Debian en faisant (cette fois) très attention avec la mise en place du pare-feu côté serveur (la cause du problème je pense)...! En tout cas, cet erreur m'a pas mal appris, étant nul en réseau (autodidacte).

Je vous remercie pour l'aide et l'intérêt apporté à mon problème et vous souhaite une bonne continuation !

Share this post


Link to post
Share on other sites

Bonjour,

Avant de tout réinstallé et parce que, j'ai rarement entendu parlé de machine qui perdait leur service SSHD :

Votre scanner, il scanne quels ports ? De ??? à ??? Et votre service SSHD, sur quel port est-il installé ?

Cordialement,

exxos.

Share this post


Link to post
Share on other sites

Bonjour,

Désolé mais j'ai déjà tout réinstallé !

La commande nmap scanne tous les ports (de 0 à 65536). On peut rajouter des options pour scanner qu'une plage de ports, mais j'ai utilisé la commande générique.

Mon sshd (côté serveur donc) était installé sur le port 2818, je l'avais modifié pour des raisons de sécurité (qui sont discutables selon certains sur la toile, notamment avec des logiciels comme fail2ban).

Je ne sais pas trop pourquoi ça a marché les 3 premiers jours puis après plus rien.

Bonne soirée

Share this post


Link to post
Share on other sites

Bonjour,

Je change sur tous mes systèmes de l'embarqué au plus gros ... le port ssh et en choisis un supérieur à 1024 ...

et cela sans dysfonctionnement ...

Par contre AVANT de valider tout outils de protections, je vérifie ses valeurs / règles par défaut ...

1 qu'il ne banni pas systématiquement les ports non systèmes > 1024 et donc non connus ... une régle à changer généralement ...

2 qu'il n'a pas un système de comptage qui suggère qu'après un certain nombre de tentatives réussis ... il considère cela comme suspect ... et lock l'I.P. ou le port

Si UN de ces 2 points n'est pas configurables ... j'utilise une autre solution ... mais pour l'instant cela ne m'est pas arrivé ...

mon TS-109 qui est sous Debian squeeze natif ... utilise un port ssh > a 1024 ...

Philippe.

Share this post


Link to post
Share on other sites

Bonjour,

Merci pour ces infos, je vais peut-être quand même le changer alors, en faisant très attention aux règles de pare-feu.

J'ai du les modifier sans le vouloir. J'avais ajouté la règle d'ouverture du port 5900 avec ufw (ufw enable 5900), plus simple que iptables, pour faire du VNC. Puis j'avais commencé à installer un service SFTP. J'ai du changer quelque chose dans les règles sans le vouloir (sans trop comprendre en tout cas !).

Share this post


Link to post
Share on other sites

Pour réagir par rapport à ce que dit Philippe.

Il est bon aussi de séparer, quand il est possible, les machines qui s'occupent de la sécurité de celles qui fournissent les services.

Par exemple dans votre cas, avoir un routeur chargé de bloquer les ports, de contrôles le trafic et l'accès aux machines aurait été mieux.

En cas de problème, il vous aurait été alors plus facile de récupérer l'accès à votre machine.

A bientôt,

exxos.

Share this post


Link to post
Share on other sites

Bonjour,

OK je prends note, j'ai un modem/routeur qui ne me sert plus au placard depuis que j'ai l'abonnement avec la BiduleBox.

Je pourrais le reconvertir en routeur pur.

Je pars de zéro en réseau (sans jeu de mots...!). Je ne savais pas (depuis quelques jours) ce qu'était des gros mots comme DHCP, NAT, DNS, SSH et Telnet, iptables comme pare-feu Debian, les ports utilisés les plus courants (443 HTTPS, 22 SSH et autres) etc...Ne vous moquez pas !

J'y vais petit à petit, sinon c'est l'indigestion. Je songe à rester un petit moment avec le système propriétaire QNAP, en attendant d'avoir tout assimilé cette fois...

Merci pour les conseils et bonne journée !

Share this post


Link to post
Share on other sites

Hello,

Votre "boîte" est aussi un routeur et certaines offrent des configurations acceptables pour paramétrer sa sécurité. Si vous placez un autre routeur derrière le votre, vous aurez plus de difficulté (ou de boulot) à établir vos routes entre les "boîtes" et vos machines...

A bientôt,

Maxence.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×