ssh et support X quand relayé par serveur non graphique...

Loick.B a écrit :

Bonjour à tous.

Je profites des nombreux mails qui viennent de passer concernant le
forward X en ssh pour vous poser une question de détails qui m'embarasse.

Soit deux LAN séparés par Internet.
Les deux LAN sont protégés par une passerelle (seule du RZ à posséder
une IP publique) qui ne dispose pas d'interface graphique.

Lorsque je dois bosser d'un LAN vers l'autre (qu'importe le sens), je
procéde par "rebond" en établissant une connexion ssh vers la passerelle
du 2éme LAN et cette connexion établie, j'en établie une nouvelle vers
l'IP privée de la machine sur laquelle je cherche à travailler.
Jusque là pas de problème puisque je bosse 99,9% des fois en console...

Par curiosité et, oserais-je le dire, facilité (pour certaine applis),
j'aimerais faire la même chose en exportant l'interface graphique.

Autrement, dit, j'aimerais savoir si il est possible de bosser en
graphique depuis mon laptop sous Sarge dans LAN 1 sur une appli et une
station dans LAN2 (ip privée)?....

Si oui comment?


Merci d'avance à tous et bonne journée,

En activant l'"X-forwarding" à chaque noeud du "rebond" ca devrait le
faire. J'y arrive sans pb depuis le boulot (ma machine n'ayant pas d'IP
publique) à travers une passerelle jusque chez moi .
Pour plus de confort, j'utilise ssh-agent de Robbins pour ne pas avoir à
retaper ma pass phrase à chaque fois...
Pascal
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On 2005-01-13 10:18:29 +0100, Loick.B wrote:

Lorsque je dois bosser d'un LAN vers l'autre (qu'importe le sens), je
procéde par "rebond" en établissant une connexion ssh vers la passerelle
du 2éme LAN et cette connexion établie, j'en établie une nouvelle vers
l'IP privée de la machine sur laquelle je cherche à travailler.

À propos du rebond, j'ai une fonction shell qui fait quelque chose du
genre:

ssh -t passerelle 'zsh -ilc "ssh destination"'

Pour la connexion X, il suffit que la config des clients (.ssh/config)
fasse le forward, sinon on peut toujours utiliser l'option -X pour les
deux ssh. Note: l'appel à zsh sert à utiliser ma fonction shell ssh,
qui s'occupe de lancer un ssh-agent global (i.e. partagé par tous les
shells) s'il n'y en a pas déjà un.

Autre solution: dans son .ssh/config local, définir un

ProxyCommand ssh passerelle nc '%h' '%p'

mais il faut que netcat soit installé sur la passerelle, ou tout du
moins avoir les droits pour le compiler. Mais je ne sais pas si la
connexion X peut être forwardée avec cette solution (je n'ai jamais
essayé).

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

pascal a écrit :

En activant l'"X-forwarding" à chaque noeud du "rebond" ca devrait le
faire. J'y arrive sans pb depuis le boulot (ma machine n'ayant pas
d'IP publique) à travers une passerelle jusque chez moi .
Pour plus de confort, j'utilise ssh-agent de Robbins pour ne pas avoir
à retaper ma pass phrase à chaque fois...
Pascal

Je ne suis pas sûr de tout comprendre.
Alors je préfere un exemple plus concret...

Soit LAN1 (192.168.0.0/24) et LAN2 (192.168.1.0/24) tous deux
indépendants et reliés à internet par leur propre passerelle.

Passerrelle LAN1:
IP privée (vers LAN1) 192.168.0.1
IP publique (vers INET) 195.6.92.174

Passerrelle LAN2:
IP privée (vers LAN2) 192.168.1.1
IP publique (vers INET) 195.6.92.175

Serveur Toto dans LAN2
IP privée 192.168.1.2
IP Publique 195.6.92.176

Soit un portable dans LAN1 d'IP 192.168.0.2
Soit une station de travail (titi) dans LAN2 d'IP 192.168.1.3

Lorsque je travaille en console sur le portbale (depuis LAN1), j'attaque
la station dans LAN2 (en IP privée) en passant par le serveur Toto (on
ne peut pas atteindre la passerelle en ssh depuis Internet).
Je fais donc depuis le portable:
$ ssh loick:195.6.92.176
loick@195.6.92.176's password: xxxxxxxx
loick@toto:~$
$ ssh loick:192.168.1.3
loick@192.168.1.3's password: xxxxxxxx
loick@titi:~$

Et par rebond, j'ai bien atteind ma station privée sur mon LAN2.
Imaginons maintenant que je souhaite travailler sur mon portable dans
LAN1 avec la dernière version de ooo présente uniquement sur titi (LAN2).

Que dois-je modifier (j'ai bien essayé d'activer le X forward sur toto,
mais cela n'a rien donné)?
Et quelle commande dois-je entrer (à quelle commande ssh passer le
paramètre -X)?

Merci d'avance pour les conseils.

--
Loick.B


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

On 2005-01-13 11:30:41 +0100, Loick.B wrote:

Et quelle commande dois-je entrer (à quelle commande ssh passer le
paramètre -X)?

À toutes. Au pire, le -X est inutile.

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / SPACES project at LORIA


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--Q68bSM7Ycu6FN28Q
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le Thu, Jan 13, 2005 at 10:18:29AM +0100, Loick.B ecrit :

Je profites des nombreux mails qui viennent de passer concernant le
forward X en ssh pour vous poser une question de détails qui m'embaras se.

J'ai rencontré le meme probleme, mais par faute de temps, je n'ai pas
cherché à le résoudre plus de 5 minutes, je n'ai donc pas la solution,
par contre, j'apporte une information. Si on regarde les logs de ssh
lors de la connexion vers la passerelle, on se rend compte que la
passerelle a besoin d'un outil qu'elle ne trouve pas :

fcerbell@WS210:~$ ssh -vX firewall2.genicorp.fr
OpenSSH_3.8.1p1 Debian-8.sarge.4, OpenSSL 0.9.7e 25 Oct 2004
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Connecting to firewall2.genicorp.fr [62.23.166.222] port 22.
debug1: Connection established.
[...]
debug1: channel 0: new [client-session]
debug1: Entering interactive session.
debug1: Requesting X11 forwarding with authentication spoofing.
debug1: Remote: No xauth program; cannot forward with spoofing.


Il faudrait certainement donc installer xauth sur la passerelle, ce
que je me refuse à faire sur un firewall ! ;-)

Fanfan

--
Le travail c'est la santé ; ne rien faire, c'est la conserver.
[Henri Salvador]

--Q68bSM7Ycu6FN28Q
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFB5l6fn0FdfiSfsswRAtglAJ9pT5IlqFNItDjl9qViOu7/+C6YQACgmJqA
Yh6s1PwXoHpYvsUjdOS31So =jmRo
-----END PGP SIGNATURE-----

--Q68bSM7Ycu6FN28Q--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vincent Lefevre a écrit :

À toutes. Au pire, le -X est inutile.

J'ai déjà testé cette solution et elle ne fonctionne pas...

$ ssh -X loick:195.6.92.176
loick@195.6.92.176's password: xxxxxxxx
loick@toto:~$
$ ssh -X loick:192.168.1.3 xclock
loick@192.168.1.3's password: xxxxxxxx
Error: Can't open display
loick@toto:~$

Il est bien entendu que le X-forward était à Yes sur toto...


Merci d'avance pour les conseils.

--
Loick.B


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Loick.B a écrit :

Vincent Lefevre a écrit :

À toutes. Au pire, le -X est inutile.

J'ai déjà testé cette solution et elle ne fonctionne pas...

$ ssh -X loick:195.6.92.176
loick@195.6.92.176's password: xxxxxxxx
loick@toto:~$
$ ssh -X loick:192.168.1.3 xclock
loick@192.168.1.3's password: xxxxxxxx
Error: Can't open display
loick@toto:~$

Il est bien entendu que le X-forward était à Yes sur toto...


Merci d'avance pour les conseils.

Y est-il aussi sur la machine 195.6.92.174 ?
et dans /etc/ssh/ssh_config ou /etc/ssh/sshd_config ?
Vous utilisez ssh 1 ou ssh 2 ?
Que donne ssh -vv lorsque vous tentez de passer de toto à votre compte
sur 192.168.1.3 dans le lan 2 ?
Pascal
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

pascal a écrit :

Loick.B a écrit :

Vincent Lefevre a écrit :

À toutes. Au pire, le -X est inutile.

J'ai déjà testé cette solution et elle ne fonctionne pas...

$ ssh -X loick:195.6.92.176
loick@195.6.92.176's password: xxxxxxxx
loick@toto:~$
$ ssh -X loick:192.168.1.3 xclock
loick@192.168.1.3's password: xxxxxxxx
Error: Can't open display
loick@toto:~$

Il est bien entendu que le X-forward était à Yes sur toto...


Merci d'avance pour les conseils.

Y est-il aussi sur la machine 195.6.92.174 ?
et dans /etc/ssh/ssh_config ou /etc/ssh/sshd_config ?
Vous utilisez ssh 1 ou ssh 2 ?
Que donne ssh -vv lorsque vous tentez de passer de toto à votre compte
sur 192.168.1.3 dans le lan 2 ?
Pascal

Bon j'ai envoyé le mail un peu vite : avez-vous bien
AllowX11Forwarding yes
dans le fichier de conf du serveur sshd
et
ForwardX11 yes
dans le ficiher de conf du client ssh ?
En prenant en compte evidemment que certains noeuds comme toto seront à
la fois serveur et client...

Et je rectifie. L'appli confortable dont je parlais dans mon premier
mail est "keychain" et pas ssh-agent.
En espérant que cela aide
Pascal
--
"L'avenir, c'est à l'avance qu'il faut y penser."
R. Brautigan


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

pascal wrote:

pascal a écrit :

Loick.B a écrit :

Vincent Lefevre a écrit :

À toutes. Au pire, le -X est inutile.

J'ai déjà testé cette solution et elle ne fonctionne pas...

$ ssh -X loick:195.6.92.176
loick@195.6.92.176's password: xxxxxxxx
loick@toto:~$
$ ssh -X loick:192.168.1.3 xclock
loick@192.168.1.3's password: xxxxxxxx
Error: Can't open display
loick@toto:~$

Il est bien entendu que le X-forward était à Yes sur toto...


Merci d'avance pour les conseils.

Y est-il aussi sur la machine 195.6.92.174 ?
et dans /etc/ssh/ssh_config ou /etc/ssh/sshd_config ?
Vous utilisez ssh 1 ou ssh 2 ?
Que donne ssh -vv lorsque vous tentez de passer de toto à votre
compte sur 192.168.1.3 dans le lan 2 ?
Pascal

Bon j'ai envoyé le mail un peu vite : avez-vous bien
AllowX11Forwarding yes
dans le fichier de conf du serveur sshd
et
ForwardX11 yes
dans le ficiher de conf du client ssh ?
En prenant en compte evidemment que certains noeuds comme toto seront
à la fois serveur et client...

Et je rectifie. L'appli confortable dont je parlais dans mon premier
mail est "keychain" et pas ssh-agent.

Le principe est le même


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le jeudi 13 Janvier 2005 15:35, pascal a écrit :

Bon j'ai envoyé le mail un peu vite : avez-vous bien
AllowX11Forwarding yes
dans le fichier de conf du serveur sshd

Bien sur, à l'exception prés, que c'est "X11Forwarding yes" et pas
"AllowX11Forwarding yes" :-p

et
ForwardX11 yes
dans le ficiher de conf du client ssh ?

Oui.

En prenant en compte evidemment que certains noeuds comme toto seront à
la fois serveur et client...

Evidemment...

Je n'ai donc qu'un noeud à configurer selon ce principe: toto.

Et je rectifie. L'appli confortable dont je parlais dans mon premier
mail est "keychain" et pas ssh-agent.

Pour l'instant, je ne me penche pas sur le problème du confort de
l'authentification, cela viendra plus tard!

--
Loick.B