[cris]

Niveau:
avancé

Merci à Damien pour la partie Mac

Explication:

Citation

Un tunnel, dans le contexte de réseaux informatiques, est une encapsulation de données d'un protocole réseau dans un autre, situé dans la même couche du modèle en couches, ou dans une couche de niveau supérieur.

Par exemple, pour faire passer le protocole IPv6 dans l'Internet actuel (qui est presque entièrement en IPv4) on va créer un tunnel entre deux machines IPv4; ce tunnel, pour le protocole IPv6, semblera un simple lien point-à-point (un logiciel comme traceroute ne verra donc pas le tunnel).

En sécurité, on crée souvent des tunnels chiffrés, par exemple comme le fait SSH. Les données peuvent alors y circuler sans craindre d'être écoutées.

Les tunnels peuvent être utilisés pour créer des réseaux privés virtuels (VPN).

Wikipedia (http://fr.wikipedia.org/wiki/Port_tunneling)

Le principe donc est le suivant: votre nas est accessible de l'extérieur par SSH (port 22 par exemple), vous voulez avoir accès à la console administration, au ftp, au serveur web par exemple sans devoir ouvrir ses ports et les exposer aux méchants hackers
On va donc utiliser le port 22 et réaliser un tunnel entre votre nas et vous.

Pré requis:
SSh ET votre nas est accessible de l'internet.

Tuto:

WINDOWS
Etape 1
Lancez putty
 ssh1.gif (20,07 Ko)
Nombre de téléchargements : 175
Ajoutez vos informations au niveau du hostname et port..

Etape 2
 ssh2.gif (23,08 Ko)
Nombre de téléchargements : 214
Ici c'est la partie la plus complexe,
1: cliquez sur tunnel,
2: ajouter le port source (par exemple 80), puis ajouter dans destination l'adresse LAN (cad l'adresse locale de votre nas) par exemple 192.168.1.3 suivis de du numéro de port pour ce que vous souhaitez contacter par ex 8080 interface admin
-> votre adresse destination est donc 192.168.1.3:8080
3: Cliquez sur ADD

Vous pouvez ajouter autant de destination et ports que vous voulez, par exemple pour utiliser le ftp:
port source: 21
destination : 192.168.1.3:21

Etape 3
 ssh3.gif (21,84 Ko)
Nombre de téléchargements : 177
Cliquez maintenant sur open pour ouvrir la connexion, rentrez le login et mot de passe du nas.


La dernière opération consiste à ouvrir un navigateur web puis de rentrer l'adresse:
127.0.0.1 et voilà, vous avez acces à votre interface d'administration...

Si vous avez ajouté FTP: il suffit simplement d'ouvrir votre programme FTP puis de mettre l'adresse 127.0.0.1



MAC
Etape 1
Putty ne concernant que les utilisateurs Windows, je vous propose d'y ajouter des infos pour les utilisateurs Mac. Le programme est à télécharger à l'adresse suivante:
Télécharger SSHTunnel. Fonctionne parfaitement sous MacOS 10.6.4
C'est un freeware. Merci à son auteur.

Lancer SSHTunnel puis rendez-vous directement dans la section "Servers"
Entrer l'adresse web de votre serveur par exemple monserveur.fr et indiquer le port utilisé pour ssh. Par défaut, c'est le port 22. Il est recommandé de le modifier dans la console d'administration du serveur dans la rubrique "Services réseau" -> "Telnet/SSH"
Taper ensuite le nom d'utilisateur admin puis votre mot de passe.
 5.png (50,23 Ko)
Nombre de téléchargements : 20

Etape 2
Une fois ceci fait, on peut passer à la rubrique "Services"
Entrer un nom pour le service, par exemple "Console d'administration QNAP" puis taper le numéro du port utilisé en local et celui qui est utilisé par le serveur (par défaut 8080)
 3.png (89,47 Ko)
Nombre de téléchargements : 11
Important, aucun port local ne peut-être inférieur à 1024.

Etape 3
Enfin, on peut retourner sur l'écran principal "Sessions" et créer une "New outgoing sessions"
Dans la liste déroulante, sélectionner le serveur créer précédemment.
Ensuite, entrer l'adresse locale de votre serveur souvent du type 192.168.XXX.XXX
Enfin, sélectionner le nom du service crée précédemment dans notre exemple : "Console d'administration QNAP"
N'oubliez pas de donner un nom à votre tunnel, par exemple "Admin QNAP" en double cliquant sur le nom par défaut dans la colonne de gauche.
Pour créer le tunnel, un simple clique sur le petit interrupteur lancera le tout.
 4.png (87,9 Ko)
Nombre de téléchargements : 7

Etape 4
Pour le reste, ouvrir votre navigateur Web favori en prenant soin de taper comme adresse 127.0.0.1:portpourleservicesouhaité. Pour le client FTP, il faudra raisonner en utilisant également une adresse en 127.0.0.1 et le port local correspondant au service FTP et SFTP (port SSH).



Explication
Vous avez demandé que votre PC contacte à travers votre tunnel l'adresse locale de votre nas 192.168.1.3 sur le port 8080 (destination) et de rediriger toutes les informations qu'il reçoit sur le port local 80 de votre PC.
127.0.0.1 ou localhost permet de spécifier que c'est votre pc local...

[rexet]

Donc en fait il faut juste ouvrir le port SSH (22 dans l'exemple) ?

J'ai également lu quelque part qu'il était fortement conseillé de changer le port 22 par défaut pour mettre un port supérieur à 1024, vrai ?

[cris]

Exact pour les 2 points

[oxyde]

Hello,

Avant de faire mon tunnel, j essaye deja d accéder au NAS en ssh.
Pour info, moi j utilise le tunnel pour faire du VNC et prendre le contrôle de mon PC windows a la maison depuis l exterieur. Je rajouterai ca dans le tuto si tu veux une fois que j aurai réussi a faire fonctionner le ssh

J ai configurer la freebox(routeur) pour que le port xx22 soit redirigé vers le port 22 de mon NAS.
Et quand j essaye de me connecter j ai un 'connection refused' avant meme donc d avoir a saisir mon login/pass.
J'ai bien vérifié que le service ssh était activé dans la console d admin et a priori j ai bien configuré la freebox vu que j arrive deja a faire une redirection de ports sur le 8080 et 443 pour les applis web.

Alors est ce qu il ne faut pas configurer le ssh du NAS avant?
Sinon je n ai pas encore essayé de me connecter en ssh depuis mon lan, la je suis au taf. Est ce qu il faut s identifier une premiere fois ?

j utilise putty.

Merci a++

[father_mande]

Bonjour,

oxyde, le 03 février 2010 - 12:36, dit :

Hello,

Avant de faire mon tunnel, j essaye déjà d accéder au NAS en ssh.
Pour info, moi j utilise le tunnel pour faire du VNC et prendre le contrôle de mon PC windows a la maison depuis l exterieur. Je rajouterai ca dans le tuto si tu veux une fois que j aurai réussi a faire fonctionner le ssh

J ai configurer la freebox(routeur) pour que le port xx22 soit redirigé vers le port 22 de mon NAS.
Et quand j essaye de me connecter j ai un 'connection refused' avant meme donc d avoir a saisir mon login/pass.
J'ai bien vérifié que le service ssh était activé dans la console d admin et a priori j ai bien configuré la freebox vu que j arrive deja a faire une redirection de ports sur le 8080 et 443 pour les applis web.

Alors est ce qu il ne faut pas configurer le ssh du NAS avant?
Sinon je n ai pas encore essayé de me connecter en ssh depuis mon lan, la je suis au taf. Est ce qu il faut s identifier une premiere fois ?

j utilise putty.

Merci a++

Essayer TOUJOURS le port forwarding port Internet = port Qnap ssh (facile à changer) AVANT le port mapping ... car selon le fonctionnement du port mapping la réponse peut ne pas être transmise ... si a port égal, cela fonctionne ... alors essayer le port mapping port entrant diff. du port cible.

Cela dépend de l'implémentation des routeurs ...

Sinon j'utilise tous les jours VNC via ssh et le tunneling ... sans problème ... j'ai même re compiler sur ARM vncrepeater ce qui propose une autre méthode avec réduction de la visibilité du port réel utilisé et non obligation de l'usage d'un ssh autorisé ... mais avec un port supplémentaire à rediriger.

pour X86 Vncrepeater est facile à trouver.

Philippe.

[oxyde]

father_mande, le 03 février 2010 - 21:57, dit :

Bonjour,


Essayer TOUJOURS le port forwarding port Internet = port Qnap ssh (facile à changer) AVANT le port mapping ... car selon le fonctionnement du port mapping la réponse peut ne pas être transmise ... si a port égal, cela fonctionne ... alors essayer le port mapping port entrant diff. du port cible.

Cela dépend de l'implémentation des routeurs ...

Philippe.

Hmm je vois que monsieur touche un peu Bien vu en tout cas, mon routeur (la freebox) n aime pas que je redirige du port 8022 vers le 22. En revanche ca fonctionne bien du 22 au 22... Bon un peu moins secure mais avec l option de désactiver les tentatives de login au bout de 5 echecs toutes les 10min ca me rassure un peu !

Merci encore pour la réponse rapide et pertinente en tout cas !

EDIT:
ah ouais en relisant ton msg je viens de me rendre compte que je pouvais faire du 8022 au 8022 ce qui est encore mieux !

[erostrate103]

Euh, je n'ose comprendre...
il suffit donc :
-1 rerouter le port 22 de la box au NAS
-2 Lancer Putty et renseigner Hostname (@IP publique) + renseigner le tunnels
-3 Lancer la connection et laisser putty en tache de fond
-4 Ouvrir IE et allez où l'on veut (8080 pour l'admin, etc...)

Et c'est tout ????

Donc putty sert à "ouvrir le tunnel" et c'est le QNAP qui gère tout tout seul ?
N'y a t'il pas besoin de certificat SSL ou autre ???

[father_mande]

Bonjour,

erostrate103, le 18 février 2010 - 09:45, dit :

Euh, je n'ose comprendre...
il suffit donc :
-1 rerouter le port 22 de la box au NAS
-2 Lancer Putty et renseigner Hostname (@IP publique) + renseigner le tunnels
-3 Lancer la connection et laisser putty en tache de fond
-4 Ouvrir IE et allez où l'on veut (8080 pour l'admin, etc...)

Et c'est tout ????

Donc putty sert à "ouvrir le tunnel" et c'est le QNAP qui gère tout tout seul ?
N'y a t'il pas besoin de certificat SSL ou autre ???

ET oui c'est tout, les certificats (clefs d' encryptage) sont générés automatiquement à l'installation du ssh sur le Qnap.
La clef publique est envoyé au putty qui encode les données avec ... qui ne sont lisibles que par le Qnap et vice versa ...

Si vous générez vos propres clefs il suffira de les mettre dans les répertoires utilisateur du Qnap pour ne plus avoir à entrez de mot de passe.

regardez sur vote Qnap dans le répertoire de l'utilisateur admin, il y a un répertoire .ssh (caché) qui gère cela, par défaut il point sur /etc/config/ssh, là ou sont stockés les clefs les hôtes connus, etc.

Philippe.
NB NE JAMAIS LAISSER le port 22 car il sera l'objet de scan réseau par les bébés hackers (ceux qui utilisent des outils sans savoir ...) changez le avec une valeur à vous supérieure à 1024 (limite habituelle des scanner) par ex. 8822, ou 2222 ou .... .

[erostrate103]

father_mande, le 18 février 2010 - 10:49, dit :

NE JAMAIS LAISSER le port 22 car il sera l'objet de scan réseau par les bébés hackers (ceux qui utilisent des outils sans savoir ...) changez le avec une valeur à vous supérieure à 1024 (limite habituelle des scanner) par ex. 8822, ou 2222 ou .... .

OK, donc entrant 8822 (par exemple) vers le 22 du QNAP.
Je commence à mieux comprendre... eet enfin à faire la différence entre SSL & SSH.

Prochaine étape pour Cris & Philippe : le tuto pour SSL

[Damieng57]

cris, le 01 février 2010 - 10:41, dit :

Niveau:
avancé

Explication:

Wikipedia (http://fr.wikipedia.org/wiki/Port_tunneling)

Le principe donc est le suivant: votre nas est accessible de l'extérieur par SSH (port 22 par exemple), vous voulez avoir accès à la console administration, au ftp, au serveur web par exemple sans devoir ouvrir ses ports et les exposer aux méchants hackers
On va donc utiliser le port 22 et réaliser un tunnel entre votre nas et vous.

Pré requis:
SSh ET votre nas est accessible de l'internet.

Tuto:
Etape 1
Lancez putty
ssh1.gif
Ajoutez vos informations au niveau du hostname et port..

Etape 2
ssh2.gif
Ici c'est la partie la plus complexe,
1: cliquez sur tunnel,
2: ajouter le port source (par exemple 80), puis ajouter dans destination l'adresse LAN (cad l'adresse locale de votre nas) par exemple 192.168.1.3 suivis de du numéro de port pour ce que vous souhaitez contacter par ex 8080 interface admin
-> votre adresse destination est donc 192.168.1.3:8080
3: Cliquez sur ADD

Vous pouvez ajouter autant de destination et ports que vous voulez, par exemple pour utiliser le ftp:
port source: 21
destination : 192.168.1.3:21

Etape 3
ssh3.gif
Cliquez maintenant sur open pour ouvrir la connexion, rentrez le login et mot de passe du nas.


La dernière opération consiste à ouvrir un navigateur web puis de rentrer l'adresse:
127.0.0.1 et voilà, vous avez acces à votre interface d'administration...

Si vous avez ajouté FTP: il suffit simplement d'ouvrir votre programme FTP puis de mettre l'adresse 127.0.0.1

Explication
Vous avez demandé que votre PC contacte à travers votre tunnel l'adresse locale de votre nas 192.168.1.3 sur le port 8080 (destination) et de rediriger toutes les informations qu'il reçoit sur le port local 80 de votre PC.
127.0.0.1 ou localhost permet de spécifier que c'est votre pc local...

Putty ne concernant que les utilisateurs Windows, je vous propose d'y ajouter des infos pour les utilisateurs Mac. Le programme est à télécharger à l'adresse suivante:
Télécharger SSHTunnel. Fonctionne parfaitement sous MacOS 10.6.4
C'est un freeware. Merci à son auteur.

Lancer SSHTunnel puis rendez-vous directement dans la section "Servers"
Entrer l'adresse web de votre serveur par exemple monserveur.fr et indiquer le port utilisé pour ssh. Par défaut, c'est le port 22. Il est recommandé de le modifier dans la console d'administration du serveur dans la rubrique "Services réseau" -> "Telnet/SSH"
Taper ensuite le nom d'utilisateur admin puis votre mot de passe.
 5.png (50,23 Ko)
Nombre de téléchargements : 9

Une fois ceci fait, on peut passer à la rubrique "Services"
Entrer un nom pour le service, par exemple "Console d'administration QNAP" puis taper le numéro du port utilisé en local et celui qui est utilisé par le serveur (par défaut 8080)
 3.png (89,47 Ko)
Nombre de téléchargements : 9
Important, aucun port local ne peut-être inférieur à 1024.

Enfin, on peut retourner sur l'écran principal "Sessions" et créer une "New outgoing sessions"
Dans la liste déroulante, sélectionner le serveur créer précédemment.
Ensuite, entrer l'adresse locale de votre serveur souvent du type 192.168.XXX.XXX
Enfin, sélectionner le nom du service crée précédemment dans notre exemple : "Console d'administration QNAP"
N'oubliez pas de donner un nom à votre tunnel, par exemple "Admin QNAP" en double cliquant sur le nom par défaut dans la colonne de gauche.
Pour créer le tunnel, un simple clique sur le petit interrupteur lancera le tout.
 4.png (87,9 Ko)
Nombre de téléchargements : 7

Pour le reste, ouvrir votre navigateur Web favori en prenant soin de taper comme adresse 127.0.0.1:portpourleservicesouhaité. Pour le client FTP, il faudra raisonner en utilisant également une adresse en 127.0.0.1 et le port local correspondant au service FTP et SFTP (port SSH).

Espérant que c'est suffisamment clair et que cela pourra aider.

Cordialement,

Damien

[Damieng57]

Au risque de dire une annerie, le FTP ne fonctionne pas en utilisant un tunnel SSH. Ou alors, j'ai sauté une étape.

En fouinant un peu sur le net, il semblerait qu'il faille utilisé SOCKS (kesako, rapport avec les ports dynamiques?) pour que cela puisse être fonctionnel.
Actuellement, j'arrive uniquement me connecter avec mon login/mdp mais passé le message d'accueil, il n'arrive pas à obtenir la liste des répertoires.

Alors, oui, je sais, SFTP fonctionne mais j'aimerai éviter l'affichage de tout les dossiers sensibles du NAS et arriver en direct sur /share et en plus, cela ne fonctionne qu'en mode admin.

MàJ: Je viens d'essayer sur l'ordinateur de ma femme, cela fonctionne. Mais rien à faire sur mon Mac et l'ordi du boulot.

[Damieng57]

Toujours sur mon problème de FTP, après avoir redémarrer le serveur, fait un upgrade du firmware, purgé les prefs de mon client FTP, vérifié que mon IP n'était pas ban dans la rubrique sécurité du serveur, toujours impossible de me connecter en FTP via un tunnel SSH. La connexion en direct fonctionne sans souci. Et je vois toujours pas pourquoi avec l'ordi de Madame cela fonctionne.Y a t-il un fichier de config concernant SSH que je peux supprimer pour repartir sur des bases saines. Là, je vois pas ce que j'ai pu faire.

Merci pour votre aide.

Cordialement,

Damien

[cris]

Damieng57, le 28 juin 2010 - 21:43, dit :

Toujours sur mon problème de FTP, après avoir redémarrer le serveur, fait un upgrade du firmware, purgé les prefs de mon client FTP, vérifié que mon IP n'était pas ban dans la rubrique sécurité du serveur, toujours impossible de me connecter en FTP via un tunnel SSH. La connexion en direct fonctionne sans souci. Et je vois toujours pas pourquoi avec l'ordi de Madame cela fonctionne.Y a t-il un fichier de config concernant SSH que je peux supprimer pour repartir sur des bases saines. Là, je vois pas ce que j'ai pu faire.

Merci pour votre aide.

Cordialement,

Damien

Si cela fonctionne avec un autre ordi, le problème vient de l'ordinateur lui-même...

[Damieng57]

cris, le 29 juin 2010 - 08:30, dit :

Si cela fonctionne avec un autre ordi, le problème vient de l'ordinateur lui-même...

J'ai trouvé la solution pour mon souci de FTP, déjà évoquée sur le forum et sur de nombreux sites internet. Mais bon, le temps que je trouve comment mettre ça en place.

En plus du port FTP (par défaut 21) il faut ajouter des tunnels pour chacun des ports permettant la transmission des données en mode FTP passif. Ils sont définis dans l'interface de gestion du serveur, section FTP (par défaut ports 55536 à 56559).

Dans mon cas, je n'ai que trois connexions simultanées autorisées, donc 3 tunnels supplémentaires.

Evidemment, si vous avez des nombreuses connexions possibles, ça devient vite ingérable et il existe certainement une méthode plus élégante pour gérer de nombreuses connexions. Mais pour cette partie, je passe la main aux professionnels.

Espérant que ça pourra aider.

NOTA: Cela dit, ça fonctionne sur l'ordi de ma femme sous XP SP2 et sur mon portable Windows 7 sans gestion de ces ports. Mais rien à faire sur mon Mac et le PC du boulot en XP SP3. Va comprendre Charles?!