Tunnels SSH...

Le
Zouplaz
Bonjour, j'ai mis en place un tunnel SSH pour relier quelques postes
distants à un réseau local..

Les postes clients tournent sous Windows. J'utilise putty et le forwarding
de port pour atteindre un serveur http se trouvant derrière le serveur ssh
(qui est aussi un firewall mais ça n'est pas le sujet).

J'ai donc :

Client Connexion sur 127.0.0.0:80 -> / . Internet . / -> Serveur SSH ->
Serveur HTTP

Ca fonctionne très bien.

Maintenant je me pose la question suivante : est-il possible d'utiliser un
serveur ssh sur le réseau à connecter (les postes distants) et mettre en
place un tunnel SSH entre les deux serveurs SSH, tunnel qui serait exploité
par les postes. Ce qui donnerait

Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet ./ ->
Serveur SSH -> Serveur HTTP

Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic sur le
raccourci bureau) sur les postes clients, ça serait totalement transparent
pour les utilisateurs.

Sachant que plusieurs clients vont donc se connecter en même temps sur IP
Serveur SSH:80, est-ce que SSH saura multiplexer les connexions vers le
second serveur SSH distant ?

Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests

Evidemment, les deux serveurs SSH tournent sous Linux, vous vous en doutez
bien..

Merci
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Licence IV
Le #1035537
Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion,
Zouplaz
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet
./ -> Serveur SSH -> Serveur HTTP

Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic
sur le raccourci bureau) sur les postes clients, ça serait totalement
transparent pour les utilisateurs.

Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests...


C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu
es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).

Il existe plusieurs facon de faire cela:
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.
- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais
qui est considéré comme LA solution de VPN.

Et tu n'aurais plus obligatoirement besoin du forward de port!

Maintenant, c'est à toi de choisir!

--
Nicolas de Ferrières Mail:
_______________________________________________________________
A camel can go without a drink for 14 days. I CAN'T.

Erwann ABALEA
Le #1036913
Bonjour,

On 8 Apr 2004, Licence IV wrote:

Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion,
Zouplaz
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet
./ -> Serveur SSH -> Serveur HTTP

Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic
sur le raccourci bureau) sur les postes clients, ça serait totalement
transparent pour les utilisateurs.

Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests...


C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu
es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).

Il existe plusieurs facon de faire cela:
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.


Si le réseau tient ses promesses, ça ne devrait pas poser de problème.

- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais
qui est considéré comme LA solution de VPN.


Manque de bol, Freeswan est mort, le développement a été arrêté.

J'ajouterai:
- PPP over SSL: même facilité de mise en oeuvre et mêmes perfs/problèmes
que PPP/SSH
- OpenVPN, qui implémente le PPP/SSL, et qui fournit un client Windows
qui marche bien.

--
Erwann ABALEA -----
TM> C'est cense representer quoi les ^W^W^" ?
Ca représente toute l'étendue de l'incommensurable incapacité à
comprendre Usenet de certains neuneus.
-+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-


Zouplaz
Le #1036130
Licence IV - :

Le 08 Apr 2004 07:10:16 GMT, après mûre réflexion,
Zouplaz
Client Connexion sur IP Serveur SSH:80 -> Serveur SSH -> /. Internet
./ -> Serveur SSH -> Serveur HTTP

Dans ce cas, il n'y aurait plus putty (et donc plus de double-clic
sur le raccourci bureau) sur les postes clients, ça serait totalement
transparent pour les utilisateurs.

Si vous pouvez me dire si c'est faisable, auquel cas je fais quelques
tests...


C'est tout à fait faisable; ce que tu cherche à faire, c'est du VPN (tu
es comme Mr. jourdain qui fait de la prose sans le savoir! :-) ).


Heu, je sais ce qu'est un VPN, je cherche juste à savoir si je peux aller
plus loin dans le tunneling AVEC ssh...


Il existe plusieurs facon de faire cela:
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.


A priori pourquoi pas ? J'ai déjà vu cette solution citée dans quelques
posts sur google mais bon, ça a pas l'air très courant d'utilisation...

- IPSEC avec Freeswan qui est un peu plus dur à mettre en place, mais
qui est considéré comme LA solution de VPN.



La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe pas)
il fallait installer un driver sur plateformes Win32, le client était
infect à configurer, il fallait patcher le kernel du serveur distant...
Enfin, une vraie merdasse.

Ce que j'aime dans SSH c'est que ça reste au niveau applicatif. C'est clean
et simple à configurer même si ça n'est pas une solution de VPN (au sens ou
on l'entend habituellement).

Sinon, tant qu'à faire je pencherais pour de l'IPSEC mais comme ça n'est
pris en charge nativement que sur des kernels 2.6 (et je suis pas du tout
tenté de sauter le pas)...


Jérémy JUST
Le #1038297
On 09 Apr 2004 17:06:25 GMT
Zouplaz
La dernière fois que j'ai jeté un oeil à Freeswan (si je ne me trompe
pas) il fallait installer un driver sur plateformes Win32, le client
était infect à configurer, il fallait patcher le kernel du serveur
distant... Enfin, une vraie merdasse.


On m'a dit beaucoup de bien de VTun:
http://vtun.sourceforge.net/

En recherchant ce nom, j'ai trouvé une page plus générale:
http://www.ontko.com/~nathanst/linux_vpns.html


Ce que j'aime dans SSH c'est que ça reste au niveau applicatif.


Il me semble que VTun fonctionne pareil. Mais je ne l'ai pas
personnellement essayé.

--
Jérémy JUST
Licence IV
Le #1040133
Le Fri, 9 Apr 2004 09:42:11 +0200, après mûre réflexion,
Erwann ABALEA
- PPP over SSH: assez facile à mettre en place, mais performances
douteuses.
Si le réseau tient ses promesses, ça ne devrait pas poser de

problème.


C'est pour cela que je disais douteuse!

- IPSEC avec Freeswan qui est un peu plus dur à mettre en place,
mais qui est considéré comme LA solution de VPN.
Manque de bol, Freeswan est mort, le développement a été arrêté.



Oui, j'ai vu cela, mais il fonctionne encore. Il y aura des problèmes
pour la mise à jour! :-(
Mais le projet pourra peut-être être repris par quelqu'un d'autre dans
le futur!? De plus l'annonce d'arret date de 1 mois seulement, cela peut
changer!!

--
Nicolas de Ferrières Mail:
_______________________________________________________________
A camel can go without a drink for 14 days. I CAN'T.


Publicité
Poster une réponse
Anonyme