Bonjour, j'ai mis en place un tunnel SSH pour relier quelques postes
distants à un réseau local..
Les postes clients tournent sous Windows. J'utilise putty et le forwarding
de port pour atteindre un serveur http se trouvant derrière le serveur ssh
(qui est aussi un firewall mais ça n'est pas le sujet).
J'ai donc :
Client Connexion sur 127.0.0.0:80 -> / . Internet . / -> Serveur SSH ->
Serveur HTTP
Ca fonctionne très bien.
Maintenant je me pose la question suivante : est-il possible d'utiliser un
serveur ssh sur le réseau à connecter (les postes distants) et mettre en
place un tunnel SSH entre les deux serveurs SSH, tunnel qui serait exploité
par les postes. Ce qui donnerait
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ ->
Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le
raccourci bureau) sur les postes clients, ça serait totalement transparent
pour les utilisateurs.
Sachant que plusieurs clients vont donc se connecter en même temps sur IP
Serveur SSH:80, est-ce que SSH saura multiplexer les connexions vers le
second serveur SSH distant ?
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests...
Evidemment, les deux serveurs SSH tournent sous Linux, vous vous en doutez
bien..
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Licence IV
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion, Zouplaz a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le raccourci bureau) sur les postes clients, ça serait totalement transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Il existe plusieurs facon de faire cela: - PPP over SSH: assez facile à mettre en place, mais performances douteuses. - IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN.
Et tu n'aurais plus obligatoirement besoin du forward de port!
Maintenant, c'est à toi de choisir!
-- Nicolas de Ferrières Mail: _______________________________________________________________ A camel can go without a drink for 14 days. I CAN'T.
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion,
Zouplaz <pouet@pouet.com> a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet
./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic
sur le raccourci bureau) sur les postes clients, ça serait totalement
transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu
es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Il existe plusieurs facon de faire cela:
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais
qui est considéré comme LA solution de VPN.
Et tu n'aurais plus obligatoirement besoin du forward de port!
Maintenant, c'est à toi de choisir!
--
Nicolas de Ferrières Mail: ferriere@efrei.fr
_______________________________________________________________
A camel can go without a drink for 14 days. I CAN'T.
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion, Zouplaz a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le raccourci bureau) sur les postes clients, ça serait totalement transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Il existe plusieurs facon de faire cela: - PPP over SSH: assez facile à mettre en place, mais performances douteuses. - IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN.
Et tu n'aurais plus obligatoirement besoin du forward de port!
Maintenant, c'est à toi de choisir!
-- Nicolas de Ferrières Mail: _______________________________________________________________ A camel can go without a drink for 14 days. I CAN'T.
Erwann ABALEA
Bonjour,
On 8 Apr 2004, Licence IV wrote:
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion, Zouplaz a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le raccourci bureau) sur les postes clients, ça serait totalement transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Il existe plusieurs facon de faire cela: - PPP over SSH: assez facile à mettre en place, mais performances douteuses.
Si le réseau tient ses promesses, ça ne devrait pas poser de problème.
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN.
Manque de bol, Freeswan est mort, le développement a été arrêté.
J'ajouterai: - PPP over SSL: même facilité de mise en oeuvre et mêmes perfs/problèmes que PPP/SSH - OpenVPN, qui implémente le PPP/SSL, et qui fournit un client Windows qui marche bien.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- TM> C'est cense representer quoi les ^W^W^" ? Ca représente toute l'étendue de l'incommensurable incapacité à comprendre Usenet de certains neuneus. -+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
Bonjour,
On 8 Apr 2004, Licence IV wrote:
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion,
Zouplaz <pouet@pouet.com> a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet
./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic
sur le raccourci bureau) sur les postes clients, ça serait totalement
transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu
es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Il existe plusieurs facon de faire cela:
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.
Si le réseau tient ses promesses, ça ne devrait pas poser de problème.
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais
qui est considéré comme LA solution de VPN.
Manque de bol, Freeswan est mort, le développement a été arrêté.
J'ajouterai:
- PPP over SSL: même facilité de mise en oeuvre et mêmes perfs/problèmes
que PPP/SSH
- OpenVPN, qui implémente le PPP/SSL, et qui fournit un client Windows
qui marche bien.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
TM> C'est cense representer quoi les ^W^W^" ?
Ca représente toute l'étendue de l'incommensurable incapacité à
comprendre Usenet de certains neuneus.
-+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion, Zouplaz a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le raccourci bureau) sur les postes clients, ça serait totalement transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Il existe plusieurs facon de faire cela: - PPP over SSH: assez facile à mettre en place, mais performances douteuses.
Si le réseau tient ses promesses, ça ne devrait pas poser de problème.
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN.
Manque de bol, Freeswan est mort, le développement a été arrêté.
J'ajouterai: - PPP over SSL: même facilité de mise en oeuvre et mêmes perfs/problèmes que PPP/SSH - OpenVPN, qui implémente le PPP/SSL, et qui fournit un client Windows qui marche bien.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- TM> C'est cense representer quoi les ^W^W^" ? Ca représente toute l'étendue de l'incommensurable incapacité à comprendre Usenet de certains neuneus. -+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
Zouplaz
Licence IV - :
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion, Zouplaz a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le raccourci bureau) sur les postes clients, ça serait totalement transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Heu, je sais ce qu'est un VPN, je cherche juste à savoir si je peux aller plus loin dans le tunneling AVEC ssh...
Il existe plusieurs facon de faire cela: - PPP over SSH: assez facile à mettre en place, mais performances douteuses.
A priori pourquoi pas ? J'ai déjà vu cette solution citée dans quelques posts sur google mais bon, ça a pas l'air très courant d'utilisation...
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN.
La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe pas) il fallait installer un driver sur plateformes Win32, le client était infect à configurer, il fallait patcher le kernel du serveur distant... Enfin, une vraie merdasse.
Ce que j'aime dans SSH c'est que ça reste au niveau applicatif. C'est clean et simple à configurer même si ça n'est pas une solution de VPN (au sens ou on l'entend habituellement).
Sinon, tant qu'à faire je pencherais pour de l'IPSEC mais comme ça n'est pris en charge nativement que sur des kernels 2.6 (et je suis pas du tout tenté de sauter le pas)...
Licence IV - licence-IV@nospam.com.invalid :
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion,
Zouplaz <pouet@pouet.com> a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet
./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic
sur le raccourci bureau) sur les postes clients, ça serait totalement
transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu
es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Heu, je sais ce qu'est un VPN, je cherche juste à savoir si je peux aller
plus loin dans le tunneling AVEC ssh...
Il existe plusieurs facon de faire cela:
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.
A priori pourquoi pas ? J'ai déjà vu cette solution citée dans quelques
posts sur google mais bon, ça a pas l'air très courant d'utilisation...
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais
qui est considéré comme LA solution de VPN.
La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe pas)
il fallait installer un driver sur plateformes Win32, le client était
infect à configurer, il fallait patcher le kernel du serveur distant...
Enfin, une vraie merdasse.
Ce que j'aime dans SSH c'est que ça reste au niveau applicatif. C'est clean
et simple à configurer même si ça n'est pas une solution de VPN (au sens ou
on l'entend habituellement).
Sinon, tant qu'à faire je pencherais pour de l'IPSEC mais comme ça n'est
pris en charge nativement que sur des kernels 2.6 (et je suis pas du tout
tenté de sauter le pas)...
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion, Zouplaz a écrit:
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ -> Serveur SSH -> Serveur HTTP
Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le raccourci bureau) sur les postes clients, ça serait totalement transparent pour les utilisateurs.
Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques tests...
C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).
Heu, je sais ce qu'est un VPN, je cherche juste à savoir si je peux aller plus loin dans le tunneling AVEC ssh...
Il existe plusieurs facon de faire cela: - PPP over SSH: assez facile à mettre en place, mais performances douteuses.
A priori pourquoi pas ? J'ai déjà vu cette solution citée dans quelques posts sur google mais bon, ça a pas l'air très courant d'utilisation...
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN.
La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe pas) il fallait installer un driver sur plateformes Win32, le client était infect à configurer, il fallait patcher le kernel du serveur distant... Enfin, une vraie merdasse.
Ce que j'aime dans SSH c'est que ça reste au niveau applicatif. C'est clean et simple à configurer même si ça n'est pas une solution de VPN (au sens ou on l'entend habituellement).
Sinon, tant qu'à faire je pencherais pour de l'IPSEC mais comme ça n'est pris en charge nativement que sur des kernels 2.6 (et je suis pas du tout tenté de sauter le pas)...
Jérémy JUST
On 09 Apr 2004 17:06:25 GMT Zouplaz wrote:
La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe pas) il fallait installer un driver sur plateformes Win32, le client était infect à configurer, il fallait patcher le kernel du serveur distant... Enfin, une vraie merdasse.
On m'a dit beaucoup de bien de VTun: http://vtun.sourceforge.net/
En recherchant ce nom, j'ai trouvé une page plus générale: http://www.ontko.com/~nathanst/linux_vpns.html
Ce que j'aime dans SSH c'est que ça reste au niveau applicatif.
Il me semble que VTun fonctionne pareil. Mais je ne l'ai pas personnellement essayé.
-- Jérémy JUST
On 09 Apr 2004 17:06:25 GMT
Zouplaz <pouet@pouet.com> wrote:
La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe
pas) il fallait installer un driver sur plateformes Win32, le client
était infect à configurer, il fallait patcher le kernel du serveur
distant... Enfin, une vraie merdasse.
On m'a dit beaucoup de bien de VTun:
http://vtun.sourceforge.net/
En recherchant ce nom, j'ai trouvé une page plus générale:
http://www.ontko.com/~nathanst/linux_vpns.html
Ce que j'aime dans SSH c'est que ça reste au niveau applicatif.
Il me semble que VTun fonctionne pareil. Mais je ne l'ai pas
personnellement essayé.
La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe pas) il fallait installer un driver sur plateformes Win32, le client était infect à configurer, il fallait patcher le kernel du serveur distant... Enfin, une vraie merdasse.
On m'a dit beaucoup de bien de VTun: http://vtun.sourceforge.net/
En recherchant ce nom, j'ai trouvé une page plus générale: http://www.ontko.com/~nathanst/linux_vpns.html
Ce que j'aime dans SSH c'est que ça reste au niveau applicatif.
Il me semble que VTun fonctionne pareil. Mais je ne l'ai pas personnellement essayé.
-- Jérémy JUST
Licence IV
Le Fri, 9 Apr 2004 09:42:11 +0200, après mûre réflexion, Erwann ABALEA a écrit:
- PPP over SSH: assez facile à mettre en place, mais performances douteuses. Si le réseau tient ses promesses, ça ne devrait pas poser de
problème.
C'est pour cela que je disais douteuse!
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN. Manque de bol, Freeswan est mort, le développement a été arrêté.
Oui, j'ai vu cela, mais il fonctionne encore. Il y aura des problèmes pour la mise à jour! :-( Mais le projet pourra peut-être être repris par quelqu'un d'autre dans le futur!? De plus l'annonce d'arret date de 1 mois seulement, cela peut changer!!
-- Nicolas de Ferrières Mail: _______________________________________________________________ A camel can go without a drink for 14 days. I CAN'T.
Le Fri, 9 Apr 2004 09:42:11 +0200, après mûre réflexion,
Erwann ABALEA <erwann@abalea.com> a écrit:
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.
Si le réseau tient ses promesses, ça ne devrait pas poser de
problème.
C'est pour cela que je disais douteuse!
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place,
mais qui est considéré comme LA solution de VPN.
Manque de bol, Freeswan est mort, le développement a été arrêté.
Oui, j'ai vu cela, mais il fonctionne encore. Il y aura des problèmes
pour la mise à jour! :-(
Mais le projet pourra peut-être être repris par quelqu'un d'autre dans
le futur!? De plus l'annonce d'arret date de 1 mois seulement, cela peut
changer!!
--
Nicolas de Ferrières Mail: ferriere@efrei.fr
_______________________________________________________________
A camel can go without a drink for 14 days. I CAN'T.
Le Fri, 9 Apr 2004 09:42:11 +0200, après mûre réflexion, Erwann ABALEA a écrit:
- PPP over SSH: assez facile à mettre en place, mais performances douteuses. Si le réseau tient ses promesses, ça ne devrait pas poser de
problème.
C'est pour cela que je disais douteuse!
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais qui est considéré comme LA solution de VPN. Manque de bol, Freeswan est mort, le développement a été arrêté.
Oui, j'ai vu cela, mais il fonctionne encore. Il y aura des problèmes pour la mise à jour! :-( Mais le projet pourra peut-être être repris par quelqu'un d'autre dans le futur!? De plus l'annonce d'arret date de 1 mois seulement, cela peut changer!!
-- Nicolas de Ferrières Mail: _______________________________________________________________ A camel can go without a drink for 14 days. I CAN'T.
