Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Tuto] VPN et Port 443 (ssh, vpn, https)

XciD69

Bonjour à tous,

MAJ du tuto:
Je vais expliquer ici comment faire pour faire cohabiter SSH / VPN / HTTPS sur le même port 443 qui est bloqué nulle part

Le programme s'intitule sslh, il permet de combiné SSL + SSH + OPENVPN sur le port 443.

Installation :

apt-get update
apt-get install sslh

Pendant l'installation, il va avoir une erreur car SSLH n'est pas configuré

on edite la configuration :

nano /etc/default/sslh

RUN=yes

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:8080 --openvpn 127.0.0.1:1194 --ssl 127.0.0.1:444 --pidfile /var/run/sslh/sslh.pid"

Le premier port correspond au SSH, mettre celui qui a dans votre config (/etc/ssh/sshd_config), si c'est le port 443 il faudra le changer.
Le deuxieme correspond à OpenVPN, par default c'est 1194 sauf si vous avez fait une configuration personalisée dans ce cas on edit : /etc/openvpn/server.conf
Le dernier correspond à lighttpd, si vous avez suivi le tuto de nico, on edit /etc/lighttpd/lighttpd.conf et on change [socket:443] par [socket:444]

Une fois tout cela effectuée on peut tout relancer et tenter les differentes connexions

/etc/init.d/ssh restart
/etc/init.d/openvpn restart
/etc/init.d/lighttpd restart
/etc/init.d/sslh start

Si vous avez des problèmes n’hésitez pas à poster

404

Bonjour à tous,

J’essaye d’avoir openvpn et squid sur le même port 443

J’ai beau googlé l’affaire sslh with squid mais je trouve aucun exemple de config. Sauriez-vous si cela est possible ?

Bien cordialement.

spider1163

Squid n'est qu'une application qui tourne sur le serveur web, donc c'est le même principe : SSL + OpenVPN

404

spider1163 non ça coince, enfin surtout squid3.

sslh

# Default options for sslh initscript
# sourced by /etc/init.d/sslh

# Disabled by default, to force yourself
# to read the configuration:
# - /usr/share/doc/sslh/README.Debian (quick start)
# - /usr/share/doc/sslh/README, at "Configuration" section
# - sslh(8) via "man sslh" for more configuration details.
# Once configuration ready, you *must* set RUN to yes here
# and try to start sslh (standalone mode only)

RUN=yes

# binary to use: forked (sslh) or single-thread (sslh-select) version
# systemd users: don't forget to modify /lib/systemd/system/sslh.service
DAEMON=/usr/sbin/sslh

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --openvpn 127.0.0.1:666 --ssl 127.0.0.1:999 --pidfile /var/run/sslh/sslh.pid"

squid.conf

#Port de Squid
http_port 999 

#Hostname du proxy
visible_hostname super.host.tld

#Masquage IP header HTTP (X-Forwarded-For: unknown)
forwarded_for off

#Logs
access_log /dev/null
cache_log /dev/null

#Pas de cache
cache deny all

#Serveurs DNS
dns_nameservers 176.103.130.130 176.103.130.131

#Cache DNS
positive_dns_ttl 5 minutes
negative_ttl 5 minutes

#On attends pas avant de stopper Squid
shutdown_lifetime 0 seconds

#Moi
acl moi src mon.ip.ici
http_access allow moi

Quand je restart tout :

root@debian:~# /etc/init.d/sslh restart; /etc/init.d/dnsmasq restart; /etc/init.d/openvpn restart; /etc/init.d/squid3 restart [ ok ] Restarting ssl/ssh multiplexer: sslh. [ ok ] Restarting DNS forwarder and DHCP server: dnsmasq. [ ok ] Stopping virtual private network daemon: server. [ ok ] Starting virtual private network daemon: server. [ ok ] Restarting Squid HTTP Proxy 3.x: squid3.

Quand j'éssaye de me connecter au proxy j'ai ce genre d'erreur :

> La traversée du serveur mandataire (proxy) a échoué.

> Échec de la connexion sécurisée

Tu aurais une idée ?
J'ai aussi éssayer de mettre squid sur le port 80 et de mettre dans sslh --http

xataz

Je ne connais pas bien squid, mais avec ta configuration, il ne semble pas configuré en https.

Donc pour sslh, la configuration serais plutôt :

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --openvpn 127.0.0.1:666 --http 127.0.0.1:999 --pidfile /var/run/sslh/sslh.pid"

Par contre, quand tu utilises ton serveur proxy, faut mettre http://X.X.X.X:443

404

Salut xataz,

Dsl de répondre tardivement, j'avais essayer avec --http mais non plus ça ne fonctionné pas. Par contre j'avais ma session ssh "floodé" de message lorsque j'avais essayer avec le http. Message du type connection refused

Faut que je trouve un peut de temps pour refaire des test, et je reviendrai à toi avec le message exact.

Le but de se setup était pour moi de subir aucune restriction sur un réseau ayant des restrictions de ports/domain, c'est pour ça que je voulais mettre tout sur le port 443.
Mais si par exemple je met mon vpn sur 443 et squid sur 80 ya des chance qu'un jour je me retrouve sur un network avec le port 80 de bloquer? J'ai des doutes mais je pose quand même la question.

Bien cordialement.

spider1163

Le port 80 bloqué sans autre type de vérif c'est quand même rare

404

spider1163 c'est cool que tu me le confirme, j’attends un peu voir si certains d'entre nous aurez rencontrer des cas particuliers et qui pourrais me le relater. Sinon je ne me prendrai pas plus la tête que ça, squid sur le port 80 et un vpn sur le 443

Je répondrai à @xataz tout de même, ça peut éventuellement toujours servir.