Connexion ssh : timed out
Le
Eddy F.

Bonjour,
Je ne parviens pas à me connecter depuis l'extérieur sur le serveur
ssh de ma machine debian wheezy : « connection timed out ».
Les fichiers /etc/hosts.allow et /etc/hosts.deny sont vides (enfin j'en
ai commenté les lignes que j'utilise habituellement) et le fichier
/etc/ssh/sshd_config est donné en fin de message.
Si je me connecte depuis une autre machine située derrière le même
modem donc dans le même réseau privé via
ssh eddy@192.168.1.2
cela fonctionne bien mais dès que je tente depuis l'extérieur en
utilisant l'adresse IP publique de mon modem, je n'ai plus rien :
timed out. Cela me fait penser à un problème modem mais avant de
chercher plus ce qui ne lui convient pas, j'aimerais exclure toute
erreur de configuration du serveur ssh de ma machine.
Avez-vous un avis sur ma configuration ? Merci
cat /etc/ssh/sshd_config :
# Package generated configuration file
# See the sshd_config(5) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will
bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in
/etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for
RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues
with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
--
Eddy F.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201210311317.07580.edfnet-deb@yahoo.fr
Je ne parviens pas à me connecter depuis l'extérieur sur le serveur
ssh de ma machine debian wheezy : « connection timed out ».
Les fichiers /etc/hosts.allow et /etc/hosts.deny sont vides (enfin j'en
ai commenté les lignes que j'utilise habituellement) et le fichier
/etc/ssh/sshd_config est donné en fin de message.
Si je me connecte depuis une autre machine située derrière le même
modem donc dans le même réseau privé via
ssh eddy@192.168.1.2
cela fonctionne bien mais dès que je tente depuis l'extérieur en
utilisant l'adresse IP publique de mon modem, je n'ai plus rien :
timed out. Cela me fait penser à un problème modem mais avant de
chercher plus ce qui ne lui convient pas, j'aimerais exclure toute
erreur de configuration du serveur ssh de ma machine.
Avez-vous un avis sur ma configuration ? Merci
cat /etc/ssh/sshd_config :
# Package generated configuration file
# See the sshd_config(5) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will
bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in
/etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for
RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues
with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the ChallengeResponseAuthentication and
# PasswordAuthentication. Depending on your PAM configuration,
# PAM authentication via ChallengeResponseAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and ChallengeResponseAuthentication to 'no'.
UsePAM yes
--
Eddy F.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201210311317.07580.edfnet-deb@yahoo.fr
Le mercredi 31 octobre 2012 à 13:17, Eddy F. a écrit :
Elle me paraît pas mal…
As-tu configuré le NAT sur ton modem ?
As-tu des règles de filtrage iptables sur ta machine ?
Seb
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Merci.
En ce qui concerne le modem, il me semble que j'ai tout essayé.
J'ai effectivement configuré le nat pour rediriger le port 22 TCP vers
la machine locale (qui reçoit une adresse IP locale statique du
serveur DHCP).
J'ai aussi essayé de diminuer les règles de pare-feu du modem pour
laisser tout passer et j'ai même été mettre ma machine locale
(momentanément) dans la DMZ. Rien !
Je n'ai pas configuré iptables sur ma debian :
iptables -L
donne
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Enfin, si j'utilise un site tel que https://grc.com/x/ne.dll?bh0bkyd2,
il me confirme que mon port 22 est ouvert.
Le modem est la BBox 2 de Belgacom (un Sagem adapté à la
sauce Belgacom, je pense).
Bon, ok, si la configuration de mon serveur ssh n'a rien d'anormal, je
vais continuer à chercher dans ce foutu modem. Si quelqu'un le connaît
et peut m'aider, qu'il ne se prive pas même si cela sera hors sujet
par rapport à la liste.
--
Eddy F.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Ah zut. Je modifie des choses dans mon modem, je reteste et j'obtiens
Connection refused
Ca pourrait être le modem qui refuse la connexion ?
Ou est-ce à coup sûr la configuration de la machine debian ?
Sinon, après ce connection refused, je ne trouve rien dans
/var/log/auth.log
Une idée ?
--
E. Flas
~~~ Citation aléatoire ~~~
"Savoir, c'est connaître par le moyen de la démonstration."
( ARISTOTE )
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Bzzz
Correction: inutile puisque ça marche en local.
--
Céline : Alors, tu viens ce soir ?
Leo : Ouais, bien sûr
Céline : Oublie pas la protection contre les enfants alors =)
Leo : La batte de baseball ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
"E. Flas"
QUELLES MODIFICATIONS?? Parce que "des choses", ici on en a des TB
(on a même des machins et des trucs qui traînent encore).
C.Q.F.D....
Augmente le niveau de log de sshd, de façon à voir ce qui se pass e et s'il
refuse une connexion ou non.
En niveau de logging standard c'est normal.
--
<noxus> c vers ou le col de l'uterus ?
<TLz> je c pas je regarde po le tour de france
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Si je parlais de « c hose » et de « truc » c'est bien parce que je ne me souvenais pas de quoi au juste.
Le modem n'est pas documenté par le fai (qui impose ce m odem et ne souhaite qu'une chose, c'est qu'on y touche le moins possible).
Ce que je peux dire sur la config de ce modem :
nat configuré pour laisser passer le port 22 tcp et le diriger vers ma machine locale 192 .168.1.2
Pare-feu mis au minimum : « Inbound policy : accept - Outbo und policy : accept »
Alors ssh -vvv (depuis une m achine sur une autre adresse ip) :
OpenSSH_6.0p1 Debian-3, OpenSSL 1.0 .1c 10 May 2012
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug2: ssh_c onnect: needpriv 0
debug1: Connecting to 91.179.... [91.179....] port 22.
debug1: connect to address 91.179.... port 22: Connection refused
ssh: connect to host 91.179.... port 22: Connection refused
Si je recommen ce en mettant en plus le serveur ssh dans la DMZ du modem :
OpenSSH_6. 0p1 Debian-3, OpenSSL 1.0.1c 10 May 2012
debug1: Reading configuration da ta /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying opti ons for *
debug2: ssh_connect: needpriv 0
debug1: Connecting to 91.179. ... [91.179....] port 22.
debug1: connect to address 91.179....port 22: C onnection timed out
ssh: connect to host 91.179.... port 22: Connection t imed out
Je ne comprends pas cette différence de comportement avec u n pare-feu modem supposé laisser tout passer.
Merci pour toute idé e.
----- Mail original -----
De : Bzzz À :
Cc :
Envoyé le : Mercr edi 31 octobre 2012 15h33
Objet : Re: Connexion ssh : timed out
On Wed, 31 Oct 2012 14:26:01 +0100
"E. Flas"
QUELLES MODIFICATIONS?? Parce que "des c hoses", ici on en a des TB
(on a même des machins et des trucs qui tra înent encore).
C.Q.F.D....
Augmente le niveau de log de sshd, de façon à voi r ce qui se passe et s'il
refuse une connexion ou non.
En niveau de logging standard c'est normal.
--
<noxus> c vers ou le col de l'uterus ?
<TLz> je c pas je regarde po le tour de france
--
Lisez la FAQ de la liste avant de poser une question :
http:// wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un messag e avec comme objet "unsubscribe"
vers bian.org
En cas de soucis, contactez EN ANGLAIS rg
Archive: http://lists.debian.org/ 1
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
""
C'est réducteur, normalement le NAT doit être configuré pour accepter les
connexions sur un port et les forwarder vers le port voulu, en l'occurrence:
192.168.1.2:22.
De plus, pour éviter les scripts kiddies il est préférable d 'utiliser un
autre port que le 22 (mais ça, ça viendra qd ta liaison fonctionn era
correctement).
Je suppose que ce sont les logs du server ici?
Déjà , il faut que tout fonctionne correctement dans le LAN.
Ensuite, tu dis que tu as tout commenté dans /etc/hosts.|deny|allow, d ans .deny
je veux bien, mais dans .allow tu devrais normalement avoir au moins une li gne:
ALL: LOCAL @mondomainelocal
Et vérifie si sur ta box il n'y aurait pas une autre section de conf p our
les connexions sortantes, on ne sait jamais avec les ISPs... (tu peux aussi
m'envoyer en privé les copies écran des pages de ta box, histoire de voir
si ça a une tête normale).
--
<bogoss23142> TG konar jvé tmassacré
<bogoss23142> issi je sui le metre
<HelloWorld> Ah ouais attends j'appelle mon kilomètre, il est 1000 fois
plus fort que toi
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Oui, c'est bien le cas.
C'est vrai mais je ne compte pas ouvrir ce port par défaut. Juste très
occasionnellement quand ce sera nécessaire.
Non, c'est la réponse à la commande donnée dans la machine cliente.
Je veux bien mois consulter les logs du serveur mais je n'en trouve
pas. J'irai relire le man plus tard pour voir comment modifier cela.
Pourquoi ? Le /etc/hosts.allow que l'on obtient après installation
"standard" (si on veut bien essayer de donner un sens à cela) est
vide. D'ailleurs le man hosts_access dit
The access control software consults two files. The search stops at
the first match:
· Access will be granted when a (daemon,client) pair
matches an entry in the /etc/hosts.allow file.
· Otherwise, access will be denied when a (daemon,client)
pair matches an entry in the /etc/hosts.deny file.
· Otherwise, access will be granted.
A non-existing access control file is treated as if it were an
empty file. Thus, access control can be turned off by providing no
access control files.
donc si les deux fichiers allow et deny sont vides, en principe tout
doit passer.
Je crois de plus en plus que le problème est lié à la box
(configuration ou bug ou...).
Je n'ai pas le temps de chercher plus maintenant. Mais je regarderai
cette nuit ou demain.
J'accepte ta proposition de t'envoyer des captures d'écran par mail
privé (demain sans doute) car je pense que ce sera de plus en plus
hors sujet.
Merci en tout cas.
--
Eddy F.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
"Eddy F."
Comme vu avec toi en PV, j'ai testé de chez moi et cela fonctionne par faitement, la connexion SSH passe bien et le
password m'est demandé. Je suppose donc que le problème est au ni veau de ton client.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
"Eddy F."
Apparemment pas du tout au vu de la réponse de Jean-Luc, purge et
réinstalle le client ssh.
--
< ore> God uses GNOME?
< joshk> no wonder it rains so often
< ore> "Dammit, those damn heaven's gates won't open, gconfd crashed
again"
-- in #debian-devel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/