Connexion ssh : timed out

Le
Eddy F.
Bonjour,

Je ne parviens pas à me connecter depuis l'extérieur sur le serveur
ssh de ma machine debian wheezy : « connection timed out ».

Les fichiers /etc/hosts.allow et /etc/hosts.deny sont vides (enfin j'en
ai commenté les lignes que j'utilise habituellement) et le fichier
/etc/ssh/sshd_config est donné en fin de message.

Si je me connecte depuis une autre machine située derrière le même
modem donc dans le même réseau privé via
ssh eddy@192.168.1.2
cela fonctionne bien mais dès que je tente depuis l'extérieur en
utilisant l'adresse IP publique de mon modem, je n'ai plus rien :
timed out. Cela me fait penser à un problème modem mais avant de
chercher plus ce qui ne lui convient pas, j'aimerais exclure toute
erreur de configuration du serveur ssh de ma machine.

Avez-vous un avis sur ma configuration ? Merci

cat /etc/ssh/sshd_config :

# Package generated configuration file
# See the sshd_config(5) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will
bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in
/etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for
RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues
with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes


--
Eddy F.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201210311317.07580.edfnet-deb@yahoo.fr
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
S
Le #24919102
Bonjour,

Le mercredi 31 octobre 2012 à 13:17, Eddy F. a écrit :
Avez-vous un avis sur ma configuration ? Merci



Elle me paraît pas mal…

As-tu configuré le NAT sur ton modem ?

As-tu des règles de filtrage iptables sur ta machine ?

Seb

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Eddy F.
Le #24919162
Le mercredi 31 octobre 2012 13:32:58, Sébastien NOBILI a écrit :
Bonjour,

Le mercredi 31 octobre 2012 à 13:17, Eddy F. a écrit :
> Avez-vous un avis sur ma configuration ? Merci

Elle me paraît pas mal…

As-tu configuré le NAT sur ton modem ?

As-tu des règles de filtrage iptables sur ta machine ?

Seb



Merci.

En ce qui concerne le modem, il me semble que j'ai tout essayé.
J'ai effectivement configuré le nat pour rediriger le port 22 TCP vers
la machine locale (qui reçoit une adresse IP locale statique du
serveur DHCP).

J'ai aussi essayé de diminuer les règles de pare-feu du modem pour
laisser tout passer et j'ai même été mettre ma machine locale
(momentanément) dans la DMZ. Rien !

Je n'ai pas configuré iptables sur ma debian :
iptables -L
donne

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Enfin, si j'utilise un site tel que https://grc.com/x/ne.dll?bh0bkyd2,
il me confirme que mon port 22 est ouvert.

Le modem est la BBox 2 de Belgacom (un Sagem adapté à la
sauce Belgacom, je pense).

Bon, ok, si la configuration de mon serveur ssh n'a rien d'anormal, je
vais continuer à chercher dans ce foutu modem. Si quelqu'un le connaît
et peut m'aider, qu'il ne se prive pas même si cela sera hors sujet
par rapport à la liste.

--
Eddy F.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
E. Flas
Le #24919292
Le mercredi 31 octobre 2012 13:17:07, Eddy F. a écrit :
Bonjour,

Je ne parviens pas à me connecter depuis l'extérieur sur le serveur
ssh de ma machine debian wheezy : « connection timed out ».





Ah zut. Je modifie des choses dans mon modem, je reteste et j'obtiens

Connection refused

Ca pourrait être le modem qui refuse la connexion ?
Ou est-ce à coup sûr la configuration de la machine debian ?

Sinon, après ce connection refused, je ne trouve rien dans
/var/log/auth.log

Une idée ?

--
E. Flas
~~~ Citation aléatoire ~~~
"Savoir, c'est connaître par le moyen de la démonstration."
( ARISTOTE )

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #24919582
On Wed, 31 Oct 2012 15:33:31 +0100
Bzzz

Augmente le niveau de log de sshd, de façon à voir ce qui se pa sse et s'il
refuse une connexion ou non.



Correction: inutile puisque ça marche en local.

--
Céline : Alors, tu viens ce soir ?
Leo : Ouais, bien sûr
Céline : Oublie pas la protection contre les enfants alors =)
Leo : La batte de baseball ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #24919572
On Wed, 31 Oct 2012 14:26:01 +0100
"E. Flas"
Ah zut. Je modifie des choses dans mon modem, je reteste et j'obtiens
Connection refused



QUELLES MODIFICATIONS?? Parce que "des choses", ici on en a des TB
(on a même des machins et des trucs qui traînent encore).

Ca pourrait être le modem qui refuse la connexion ?



C.Q.F.D....

Ou est-ce à coup sûr la configuration de la machine debian ?



Augmente le niveau de log de sshd, de façon à voir ce qui se pass e et s'il
refuse une connexion ou non.

Sinon, après ce connection refused, je ne trouve rien dans
/var/log/auth.log



En niveau de logging standard c'est normal.

--
<noxus> c vers ou le col de l'uterus ?
<TLz> je c pas je regarde po le tour de france

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
edfnet-deb
Le #24919652
Bon, d'abord désolé pour le format de la réponse : devant faire mes t ests sur une machine hors de mon réseau local, je n'ai pas accès à mo n logiciel mail et dois me servir d'un webmail.

Si je parlais de « c hose » et de « truc » c'est bien parce que je ne me souvenais pas de quoi au juste.
Le modem n'est pas documenté par le fai (qui impose ce m odem et ne souhaite qu'une chose, c'est qu'on y touche le moins possible).

Ce que je peux dire sur la config de ce modem : 
nat configuré pour laisser passer le port 22 tcp et le diriger vers ma machine locale 192 .168.1.2

Pare-feu mis au minimum : « Inbound policy : accept - Outbo und policy : accept »

Alors ssh -vvv (depuis une m achine sur une autre adresse ip) :

OpenSSH_6.0p1 Debian-3, OpenSSL 1.0 .1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_c onnect: needpriv 0
debug1: Connecting to 91.179.... [91.179....] port 22.
debug1: connect to address 91.179.... port 22: Connection refused
ssh: connect to host 91.179.... port 22: Connection refused

Si je recommen ce en mettant en plus le serveur ssh dans la DMZ du modem :

OpenSSH_6. 0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration da ta /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying opti ons for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 91.179. ... [91.179....] port 22.
debug1: connect to address 91.179....port 22: C onnection timed out
ssh: connect to host 91.179.... port 22: Connection t imed out

Je ne comprends pas cette différence de comportement avec u n pare-feu modem supposé laisser tout passer.

Merci pour toute idé e.


----- Mail original -----
De : Bzzz À :
Cc :
Envoyé le : Mercr edi 31 octobre 2012 15h33
Objet : Re: Connexion ssh : timed out

On Wed, 31 Oct 2012 14:26:01 +0100
"E. Flas"
Ah zut. Je modifie des choses dans mon modem, je reteste et j'obtie ns
Connection refused



QUELLES MODIFICATIONS??  Parce que "des c hoses", ici on en a des TB
(on a même des machins et des trucs qui tra înent encore).

Ca pourrait être le modem qui refuse la connexion ?



C.Q.F.D....

Ou est-ce à coup sûr la configuration de la machine debian ?



Augmente le niveau de log de sshd, de façon à voi r ce qui se passe et s'il
refuse une connexion ou non.

Sinon, apr ès ce connection refused, je ne trouve rien dans
/var/log/auth.log



En niveau de logging standard c'est normal.

--
<noxus> c vers ou le col de l'uterus ?
<TLz> je c pas je regarde po le tour de france

--
Lisez la FAQ de la liste avant de poser une question :
http:// wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un messag e avec comme objet "unsubscribe"
vers bian.org
En cas de soucis, contactez EN ANGLAIS rg
Archive: http://lists.debian.org/ 1

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #24919692
On Wed, 31 Oct 2012 15:20:01 +0000 (GMT)
""

Ce que je peux dire sur la config de ce modem : 
nat configuré pour laisser passer le port 22 tcp et le diriger vers ma
machine locale 192.168.1.2



C'est réducteur, normalement le NAT doit être configuré pour accepter les
connexions sur un port et les forwarder vers le port voulu, en l'occurrence:
192.168.1.2:22.
De plus, pour éviter les scripts kiddies il est préférable d 'utiliser un
autre port que le 22 (mais ça, ça viendra qd ta liaison fonctionn era
correctement).


Pare-feu mis au minimum : « Inbound policy : accept - Outbound polic y :
accept »

Alors ssh -vvv (depuis une machine sur une autre adr esse ip) :

OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 91.179.... [91.179....] port 22.
debug1: connect to address 91.179.... port 22: Connection refused
ssh: connect to host 91.179.... port 22: Connection refused



Je suppose que ce sont les logs du server ici?

Si je recommence en mettant en plus le serveur ssh dans la DMZ du modem :

OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 91.179.... [91.179....] port 22.
debug1: connect to address 91.179....port 22: Connection timed out
ssh: connect to host 91.179.... port 22: Connection timed out

Je ne comprends pas cette différence de comportement avec un pare-fe u modem
supposé laisser tout passer.



Déjà, il faut que tout fonctionne correctement dans le LAN.

Ensuite, tu dis que tu as tout commenté dans /etc/hosts.|deny|allow, d ans .deny
je veux bien, mais dans .allow tu devrais normalement avoir au moins une li gne:
ALL: LOCAL @mondomainelocal

Et vérifie si sur ta box il n'y aurait pas une autre section de conf p our
les connexions sortantes, on ne sait jamais avec les ISPs... (tu peux aussi
m'envoyer en privé les copies écran des pages de ta box, histoire de voir
si ça a une tête normale).

--
<bogoss23142> TG konar jvé tmassacré
<bogoss23142> issi je sui le metre
<HelloWorld> Ah ouais attends j'appelle mon kilomètre, il est 1000 fois
plus fort que toi

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Eddy F.
Le #24919742
Le mercredi 31 octobre 2012 16:34:08, Bzzz a écrit :
On Wed, 31 Oct 2012 15:20:01 +0000 (GMT)

"" > Ce que je peux dire sur la config de ce modem :
> nat configuré pour laisser passer le port 22 tcp et le diriger
> vers ma machine locale 192.168.1.2

C'est réducteur, normalement le NAT doit être configuré pour
accepter les connexions sur un port et les forwarder vers le port
voulu, en l'occurrence: 192.168.1.2:22.



Oui, c'est bien le cas.

De plus, pour éviter les scripts kiddies il est préférable
d'utiliser un autre port que le 22 (mais ça, ça viendra qd ta
liaison fonctionnera correctement).



C'est vrai mais je ne compte pas ouvrir ce port par défaut. Juste très
occasionnellement quand ce sera nécessaire.

> Pare-feu mis au minimum : « Inbound policy : accept - Outbound
> policy : accept »
>
> Alors ssh -vvv (depuis une machine sur une autre
> adresse ip) :
>
> OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
> debug1: Reading configuration data /etc/ssh/ssh_config
> debug1: /etc/ssh/ssh_config line 19: Applying options for *
> debug2: ssh_connect: needpriv 0
> debug1: Connecting to 91.179.... [91.179....] port 22.
> debug1: connect to address 91.179.... port 22: Connection refused
> ssh: connect to host 91.179.... port 22: Connection refused

Je suppose que ce sont les logs du server ici?



Non, c'est la réponse à la commande donnée dans la machine cliente.

Je veux bien mois consulter les logs du serveur mais je n'en trouve
pas. J'irai relire le man plus tard pour voir comment modifier cela.

> Si je recommence en mettant en plus le serveur ssh dans la DMZ du
> modem :
>
> OpenSSH_6.0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
> debug1: Reading configuration data /etc/ssh/ssh_config
> debug1: /etc/ssh/ssh_config line 19: Applying options for *
> debug2: ssh_connect: needpriv 0
> debug1: Connecting to 91.179.... [91.179....] port 22.
> debug1: connect to address 91.179....port 22: Connection timed
> out ssh: connect to host 91.179.... port 22: Connection timed
> out
>
> Je ne comprends pas cette différence de comportement avec un
> pare-feu modem supposé laisser tout passer.

Déjà, il faut que tout fonctionne correctement dans le LAN.

Ensuite, tu dis que tu as tout commenté dans
/etc/hosts.|deny|allow, dans .deny je veux bien, mais dans .allow
tu devrais normalement avoir au moins une ligne: ALL: LOCAL
@mondomainelocal



Pourquoi ? Le /etc/hosts.allow que l'on obtient après installation
"standard" (si on veut bien essayer de donner un sens à cela) est
vide. D'ailleurs le man hosts_access dit

The access control software consults two files. The search stops at
the first match:

· Access will be granted when a (daemon,client) pair
matches an entry in the /etc/hosts.allow file.

· Otherwise, access will be denied when a (daemon,client)
pair matches an entry in the /etc/hosts.deny file.

· Otherwise, access will be granted.

A non-existing access control file is treated as if it were an
empty file. Thus, access control can be turned off by providing no
access control files.

donc si les deux fichiers allow et deny sont vides, en principe tout
doit passer.


Et vérifie si sur ta box il n'y aurait pas une autre section de
conf pour les connexions sortantes, on ne sait jamais avec les
ISPs... (tu peux aussi m'envoyer en privé les copies écran des
pages de ta box, histoire de voir si ça a une tête normale).



Je crois de plus en plus que le problème est lié à la box
(configuration ou bug ou...).

Je n'ai pas le temps de chercher plus maintenant. Mais je regarderai
cette nuit ou demain.

J'accepte ta proposition de t'envoyer des captures d'écran par mail
privé (demain sans doute) car je pense que ce sera de plus en plus
hors sujet.

Merci en tout cas.


--
Eddy F.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Luc Bassereau
Le #24919842
Le Wed, 31 Oct 2012 14:04:50 +0100
"Eddy F."
Le mercredi 31 octobre 2012 13:32:58, Sébastien NOBILI a écrit :
> Bonjour,
>
> Le mercredi 31 octobre 2012 à 13:17, Eddy F. a écrit :
> > Avez-vous un avis sur ma configuration ? Merci
>
> Elle me paraît pas mal…
>
> As-tu configuré le NAT sur ton modem ?
>
> As-tu des règles de filtrage iptables sur ta machine ?
>
> Seb

Merci.

En ce qui concerne le modem, il me semble que j'ai tout essayé.
J'ai effectivement configuré le nat pour rediriger le port 22 TCP ve rs
la machine locale (qui reçoit une adresse IP locale statique du
serveur DHCP).

J'ai aussi essayé de diminuer les règles de pare-feu du modem p our
laisser tout passer et j'ai même été mettre ma machine loc ale
(momentanément) dans la DMZ. Rien !

Je n'ai pas configuré iptables sur ma debian :
iptables -L
donne

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Enfin, si j'utilise un site tel que https://grc.com/x/ne.dll?bh0bkyd2,
il me confirme que mon port 22 est ouvert.

Le modem est la BBox 2 de Belgacom (un Sagem adapté à la
sauce Belgacom, je pense).

Bon, ok, si la configuration de mon serveur ssh n'a rien d'anormal, je
vais continuer à chercher dans ce foutu modem. Si quelqu'un le conna ît
et peut m'aider, qu'il ne se prive pas même si cela sera hors sujet
par rapport à la liste.




Comme vu avec toi en PV, j'ai testé de chez moi et cela fonctionne par faitement, la connexion SSH passe bien et le
password m'est demandé. Je suppose donc que le problème est au ni veau de ton client.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Le #24919972
On Wed, 31 Oct 2012 16:45:53 +0100
"Eddy F."
Je crois de plus en plus que le problème est lié à la box
(configuration ou bug ou...).



Apparemment pas du tout au vu de la réponse de Jean-Luc, purge et
réinstalle le client ssh.

--
< ore> God uses GNOME?
< joshk> no wonder it rains so often
< ore> "Dammit, those damn heaven's gates won't open, gconfd crashed
again"
-- in #debian-devel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme