[SSLH] Accès n'aboutissant pas depuis l'entreprise.

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[SSLH] Accès n'aboutissant pas depuis l'entreprise.

Solinvictus

Bonjour,

Je viens d'installer SSLH sur un VPS afin d'y accéder à partir de mon lieu de travail. J'ai testé hier soir, de chez moi, le multiplexeur fonctionne et achemine correctement les requêtes. Je me suis donc fait une joie de pouvoir faire de même du boulot.

Et là... Pas possible. J'ai le droit à un :

Server unexpectedly closed network connection

J'ai mis SSLH en écoute sur le port 443. C'est certainement un des seuls ports, avec le 80, non filtré à mon travail. Vous pensez qu'il peut y avoir d'autres règles, obstruant ce fonctionnement ?

J'ai bien trouvé la parade en installant shellinabox, qui permet d'accéder à un shell à partir d'un navigateur. J'ai délibérément choisi le port 443 et ça fonctionne impeccablement.

Bien entendu, j'aurais préféré y accéder par PuTTy.

Des conseils, suggestions ?

Deux cas de figure auxquelles je suis confronté, pour un accès web voulu "libre" :

1°) Je passe par un VPN, tout baigne.
2°) J'utilise un proxy pensant que ça le fera aussi, mais je n'outrepasse pas le netasq en place.

Un proxy ne permet pas de dépasser les règles d'un netasq en comparaison d'un VPN ?

Wagner

Bonsoir,

il me semble que c'est exact pour le port 443. Comme il serait possible d'y accéder par PuTTy (via un tunnel SSH).
Cependant, ce domaine m'est mal connu... Ainsi, en dire plus sera difficile (voir impossible).

Solinvictus

Oui, c'est fonctionnel. De chez moi, si je me connecte via PuTTy sur le port 443, je suis correctement redirigé. Du boulot, c'est :

Server unexpectedly closed network connection.

Quelqu'un saura peut-être m'apporter plus d'éléments.

Hardware

C'est normal, tu es surement derrière un proxy avec authentification donc le handshake ne peut pas se faire correctement. Au boulot j'utilise Cntlm ( http://cntlm.sourceforge.net/ ) en tant que proxy intermédiaire de connexion, il suffit juste de renseigner tes identifiants dans le fichier de config (cntlm.ini) :

Username   NOM D'UTILISATEUR
Password   MOT DE PASSE

Proxy      proxydemonentreprise:80
NoProxy    localhost, 127.0.0.*, 192.168.*
Listen     3128

Puis à configurer Putty pour qu'il utilise Cntlm :

Solinvictus

Bonjour,

J'ai trouvé une parade qui fonctionne, non sans mal et lectures diverses et variées. Je vais tenter d'expliquer comment j'ai procédé, cette méthode pouvant probablement servir à d'autres.

1°) Rappel et contexte :

Vous êtes au travail ou tout autre lieu filtrant et empêchant l'accès à vos sites préférés, à votre cher et tendre dédié. Votre coeur est donc lourd, votre chagrin immense. (Si, si...)

Mais cela ne va pas durer !

(Ici nous parlerons de client sous Windows, et d'un filtrage "transparent", aucun proxy n'est renseigné ou utiliser à dessein pour nous connecter. Adaptez donc cela à votre situation.)

2°) Méthode mise en place :

Pour passer à travers ce filet, nous allons mettre en place un proxy SOCKS 5 dans un tunnel SSH. Je vous entends déjà :

"Hein ? Qu'est ce qu'il raconte..."

Allez, une image vaut mille mots :

C'est plus compréhensible, n'est ce pas ?

3°) Application de la procédure :

3-1°) Paramétrage côté serveur :

Tout d'abord nous allons, côté serveur, mettre le démon SSH en écoute sur le port 443. Pourquoi ? C'est un des seuls ports qui n'est pas filtré dans mon entreprise. Libre à vous de composer donc.

nano /etc/ssh/sshd_config

On change ici le port par défaut (22) par le 443. On écrit et on relance le démon.

service ssh restart

C'est fini pour le serveur.

3-2°) Paramétrage côté client (machine sous windows donc):

Ici, nous allons installé un soft qui s'appelle Bitvise SSH Client. On pourrait utiliser PuTTY, mais je ne parviens pas à achever la procédure avec ce dernier : la connexion au serveur m'est refusée d'emblée. Je précise à nouveau le contexte, celui de l'entreprise ou tout autre lieu cloisonné. De chez moi, avec PuTTy, ça fonctionne également très bien.

Revenons-en au fait !

Une fois le logiciel installé, nous allons le paramétrer :

Je vous laisse ici renseigné :

- l'adresse IP de machine abritant le serveur SSH,
- Le port,
- Le nom d'utilisateur ainsi que le mot de passe,

Si vous devez vous connecter à un proxy d'entreprise, avec des identifiants, veuillez renseigner "Proxy settings" sur cette même page.

Ensuite, complétons l'onglet "Services" :

On revient sur l'onglet "Login" et on se connecte !

Maintenant, on ouvre notre navigateur et on configure le proxy :

On valide et le tour est joué ! Essayez de vous connecter sur un site auparavant filtré ou faites un test de proxy pour vérifier le bon fonctionnement de la procédure.

4°) Annexe :

Je tiens à ajouter un dernier point, dans le cadre où toute installation de logiciel serait bloquée, il vous suffira de portabiliser l'application Bitvise SSH Client grâce au logiciel Cameyo.

A vous les balades de poste en poste munis de votre clé USB sur laquelle l'application portabilisée n'attendra qu'un clic pour déchaîner sa liberté !

Sources utilisées :

http://blogmotion.fr/systeme/ssh-proxy-tunnel-8510
http://openclassrooms.com/courses/mise-en-place-d-un-tunnel-tcp-ip-via-ssh