Installer une connexion SSH avec Windows Fermé

Question

Bonjour,

Je souhaiterais installer un serveur ssh sur mon pc. Pourquoi ? car j'utilise les fonctionnalités du bureau à distance via le monde du web. Donc toutes mes informations passent en claires, et je souhaiterais les cryptés.

Quel serveur et client SSH me conseillez-vous ? Y - a t-il des configurations de droits à faire sur le poste serveur ? Comment installer cela ?

Je précise que la machine où je me connecte depuis le monde ddu web, est un ordinateur équipé de Windows Vista Business.

En attente de lire vos conseils, je vous remercie

Cordialement

2berte

kiki · Accepted Answer

Pour le ssh on utilise putty.
Il y a ce qu'il faut pour redirriger un port vers un tunnel

Cordialement,

ubik · Answer

Arrête-moi si je dis une grosse connerie, vu que c'est loin d'être impossible mais il me semble effectivement que dans le monde linux, on utilise couramment du ssh pour encapsuler tout un tas de flux... Par contre, sous windows, il n'est pas si courant de monter un serveur ssh sur sa machine. Ca doit bien être possible, mais il me semble que pour sécuriser un bureau à distance, on aura plutôt tendance à monter un serveur VPN.

Si cela peut te convenir, jette un coup d'oeil à OpenVPN. Il est excellent et parfaitement interopérable entre linux et windows (euh... j'ai pas regardé pour vista mais ils ont bien du s'adapter...).
Par contre, si tu as vraiment besoin de ssh pour une raison que j'ignore, alors je suis complètement hors sujet et je t'adresse toutes mes confuses.

2berte · Answer

Je vais regarder ce que tu me dis. Disons que je ne sais pas si c'est du SSH ou du VPN ... Je suis une bille en réseau. En gros j'essaie de sécuriser ma connexion du monde web à chez moi ...

Je ne sais pas si vous avez compris ce que je recherchais ? Donc quelle est la meilleure solution : connexion cryptée (SSH) ou tunel VPN ??

Je tiens également à préciser que je souhaite me connecter depuis n'importe où du monde du web (pas à partir de qu'un seul poste), et je suis bien entendu près à installer quelques softs léger sur le client.

Cordialement

2berte

ubik · Answer

D'accord, d'après ta réponse je peux te confirmer que c'est un tunnel VPN qu'il te faut. Il existe un serveur et un client VPN intégrés à Windows, tu peux faire une recherche dessus, je ne les connais pas bien. On leur préfère souvent d'autres solutions.

Je maintiens ma suggestion d'OpenVPN. C'est une solution vpn open source, fiable et reconnue. Par contre, ce n'est pas ce qu'il y a de plus simple à mettre en oeuvre, mais en suivant les tutos pas à pas, normalement on s'en sort. Pour ce qui est de la légèreté du client, il s'installe très simplement en quelques clics. Une fois connecté, tu es en réseau avec le serveur (voire avec tout son LAN). Tu peux faire du bureau à distance, naviguer sur les partages ou n'importe quoi d'autre en toute sécurité, à travers le tunnel VPN.
https://openvpn.net/
https://openvpn.net/community-resources/how-to/

Il existe d'autres solutions VPN logicielles mais je ne les ai pas pratiquées.

Eventuellement jette un coup d'oeil à Hamachi. Ce n'est pas un "vrai" vpn et il n'est pas aussi sécurisant. Par contre c'est très simple à mettre en oeuvre. Après, tout dépend de ton degré de paranoïa.
https://www.vpn.net/?lang=fr

2berte · Answer

Alors je viens d'installer mon serveur VPN avec OVPN, j'ai suivi ce tuto qui est très bien fait https://forum.hardware.fr/hfr/reseauxpersosoho/Tutoriels/windows-openvpn-tutoriels-sujet_2_1.htm#t562, je teste ce soir avec ma beta testeuse et je vous tiens au courant...

Si cela marche, faut-il crypter les donneés par soucis de sécurité ?? Que me conseillez vous ?

Cordialement

ubik · Answer

Le tunnel VPN est crypté. Tu n'as rien à faire de plus que t'assurer que tes connexion passent bien par le VPN.

2berte · Answer

Ok, merci de l'inforùation, je teste ce soir ..

2berte · Answer

Donc j'ai installer tout cela ! Mais le problème ça ne fonctionne pas, et là j'avoue que ça commence vraiment à être du chinois pour moi ...

Le test à été effectué depuis le monde du web vers mon serveur. Je tiens à préciser que mon pare-feu et désactiver et que le port 1194 sur ma box et rediriger vers mon pc...
Pour l'adresse IP cela fonctionne impecable avec no-ip car j'ai tester avec ma beta-testeuse sans VPN à l'aide d'une connexion de bureau à distance ...

Donc voici le message d'erreur du client :
Thu Sep 11 21:32:39 2008 OpenVPN 2.1_rc10 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Sep 10 2008
Thu Sep 11 21:32:39 2008 Cannot load certificate file client1.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Thu Sep 11 21:32:39 2008 Exiting


Et du coté serveur :
Options error: Unrecognized option or missing parameter(s) in server.ovpn:239: stls-auth (2.1_rc10)
Use --help for more information.


En attente de vous lire en retour, je vous remercie.

Cordialement

ubik · Answer

Côté client: je suis parvenu à obtenir le même message d'erreur que vous en modifiant mes propres fichiers de configuration. Je suis tenté de penser que le fichier client1.crt a été modifié dans un éditeur de texte, et que certaines parties en ont été retirées. En fait, cette erreur signifie qu'OpenVPN ne trouve pas dans le fichier la ligne "-----BEGIN CERTIFICATE-----" indiquant le début du certificat. Il est inutile de modifier les fichiers générés par OpenVPN. Utilisez le fichier tel que généré à l'origine.

Côté serveur: cela ressemble à une faute de frappe dans le fichier server.ovpn. Il doit y avoir une ligne commençant pas "stls-auth" au lieu de "tls-auth". Par ailleurs, je pense que dans votre configuration, cette ligne doit être commentée (avec le caractère #) ou supprimée dans les fichiers .ovpn du client et du serveur.

[EDIT: je ne suis finalement pas sur qu'il faut commenter la ligne "tls-auth". Faites déjà un essai en enlevant juste le s en trop.]

2berte · Answer

Merci,

Serveur : C'était bien le "s" qui était en trop, j'ai fais une faute de frappe lors de la configuration.
Client :  Je n'ai pas eu encore le temps de tester.. Il faut que je vois ça avec ma bétaTesteuze ....

Par contre j'ai une question : Si j'ouvre une connexion de bureau à distance via mon serveur et mon client, comment m'assurer que cette connexion passe bien par mon VPN ???

En attente de vous lire en retour,

Cordialement

2berte

ubik · Answer

Je ne connais pas vos fichiers de configuration, et ne ne sais pas si vous avez choisi le mode bridge ou routé, mais le serveur comme le client possèdent une fois la connexion établie des adresses IP propres à la connexion VPN. Il faut simplement lancer la connexion au bureau à distance sur l' "IP OpenVPN" du serveur, et non plus sur son IP publique.

D'ailleurs, vous pouvez supprimer le port forwarding que vous aviez créé sur le port 3389. Vous n'avez plus besoin que du port d'OpenVPN.

2berte · Answer

A priori, je suis en mode routé, ce qu'il me semble ... Par contre je ne vois pas comment que vous voulez que je ance le bureau à distance à partir l'IP OpenVPN. Je n'ai pas tout compris.

Pourriez vous davanatges expliqué ? Je vous en remercie

Cordialement

2berte · Answer

D'accord, mais sachant que mon client se trouve sur le monde du web ! si je donne l'IP que ma créé OpenVPN, cela ne va pas le faire venir jusqu'à ma box.

Le domaine que j'ai créé sur no-ip, ne me sert plus à rien ? je l'ai juste mis dans mes fichiers de configuration ...

Merci des renseignements supplmentaires.

Cordialement

ubik · Answer

brupala a entièrement raison. Utilisez ifconfig pour connaître l'IP de l'interface vpn sur le serveur. Cette IP sera accessible directement depuis le client.

Avez-vous pu faire un test?

ubik · Answer

Oups... oui, je suis allé un peu vite là! 
Merci pour la correction.

2berte · Answer

Me revoila, merci de vos précision...

Donc j'ai réussi à installé mon serveur correctement. 

Par contre du coté client, ce n'est pas ça ! Voici le message :
Mon Sep 15 19:57:00 2008 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Mon Sep 15 19:57:00 2008 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA.  OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Mon Sep 15 19:57:00 2008 WARNING: No server certificate verification method has been enabled.  See https://openvpn.net/community-resources/how-to/#mitm for more info.
Mon Sep 15 19:57:00 2008 Cannot load certificate file client1.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL routines:SSL_CTX_use_certificate_file:PEM lib
Mon Sep 15 19:57:00 2008 Exiting

Je pensais que c'était du au port, alors dans mes ficgiers de configuration du coté client et du coté serveur je suis passé du 1194 au port 5000.

Mais ça n'a pas l'air d'être ça... Avez vous des idées ?

Cordialement

2berte

ubik · Answer

Ben apparemment c'est toujours la même chose.
Le message d'erreur fait référence à une ligne manquante dans le fichier client1.crt: Mon Sep 15 19:57:00 2008 Cannot load certificate file client1.crt: error:0906D06C:PEM routines:PEM_read_bio:no start line: error:140AD009:SSL

Citation de ce qui a été écrit plus haut:
Côté client: je suis parvenu à obtenir le même message d'erreur que vous en modifiant mes propres fichiers de configuration. Je suis tenté de penser que le fichier client1.crt a été modifié dans un éditeur de texte, et que certaines parties en ont été retirées. En fait, cette erreur signifie qu'OpenVPN ne trouve pas dans le fichier la ligne "-----BEGIN CERTIFICATE-----" indiquant le début du certificat. Il est inutile de modifier les fichiers générés par OpenVPN. Utilisez le fichier tel que généré à l'origine. 

Vérifiez le fichier client1.crt. Il a du être modifié. Il doit être tel qu'il a été généré initialement.
Voyez vous une ligne "-----BEGIN CERTIFICATE-----" dans ce fichier?

2berte · Answer

Je ne comprends pas, quand j'essaie d'éditer avec notepad ++, le fichier est vierge ! donc normal qu'il y ai un problème.. En lus le fichier fait 0ko !

Par contre je ne comprnds pas pourquoi ce fichier est vierge ! Auriez vous une idée ?

Cordialement

ubik · Answer

Un problème durant la copie, le transfert... Peu importe à vrai dire.

Si vous n'avez pas d'autre copie de ce fichier, et qu'on ne peut pas le regénérer avec OpenVPN, vous pouver générer un autre certificat, avec un "common name" différent. Il serait alors de bon ton de supprimer le premier de la base données d'OpenVPN, mais ce peut être fait dans un second temps.

2berte · Answer

Donc j'ai bien essayé avec un common name différent, mais cela me génére toujours un certificat vierge. Je suis à cours de solutions... Auriez vous une petite idée ?

brupala · Answer

c'est le serveur qui a généré le certificat du client ou bien c'est le client lui même ?

2berte · Answer

C'est le client qui génère le certificat à partir d'un fichier propre au serveur. Ce fichier est "ca.crt". Donc je copie ce fichierdu serveur, je le colle dans mon client, et le certificat du client doit ête généré à partir de ce fichier ...

Voila ...

2berte · Answer

Oui, j'ai essayé de la générer par le serveur ... Même résultat ...

ubik · Answer

Je suis assez perplexe. Si la manip est bien faite de bout en bout tu ne dois pas te retrouver avec des certificats vides.

Dans la mesure du possible, limite toi au serveur pour générer tous les fichiers, ce sera plus simple.

Tout ce que je trouve à te dire, c'est de tout reprendre à zéro en suivant le howto officiel d'OpenVPN:
https://openvpn.net/community-resources/how-to/

C'est en anglais, et plus touffu que le tuto que tu as suivi, mais tu devrais y reconnaître les parties qui te concernent, et ce howto peut être pris comme parole d'évangile.