[Résolu] Souci avec connexion VNC

[tomtom]

Par contre y a 2 ou 3 truc que je comprend pas bien :
-Comment sans tranfert de port ma passerelle(IPCOP) va savoir ou est mon serveur VNC ? Il faut bien lui donner cette info a un endroit je pense ?
-en faisant de cette maniere, si je comprend bien c'est IPCOP qui va s'occuper de l'encapsulation ssh et non mon serveur VNC ?

C'est au moment de l'etablissement de la connexion ssh que l'on definit le tunnel.
Quand on etablit la connexion, on dit :
"ce qui arrive sur le port 5900 local, envoie-le en ssh vers l'autre bout du tunnel, et là bas envoie-le vers l'adressedu serveur vnc port 5900".

Si tu as un linux cote client tu ecriras :
ssh -l user -L 5900:192.168.0.10:5900 ipcop.monadresse.com

(man ssh pour les details). Ce que l'on fait donc dans putty en entrant la configuration du tunnel.

c'est effectivement ipcop qui s'occupe de tout le ssh. Le vnc entre ipcop et le serveur vnc est en clair (mais c'est sur le reseau local).
Si tu veux le cryptage de bout en bout, il te faut un serveur ssh sur le serveur vnc.

Simplement j'ai enlevé le transfert de port 5900 et cela ne fonctionne plus?

C'est tres bizarre. Es-tu sur de passer ton vnc dans le tunnel (connexion sur localhost) et non en direct ?


t.

[Green]

Oki, merci tomtom pour tes precision je pense a voir bien compris le principe.
Me reste plus qu'a mettre ca en application
Puis a trouver une solution pour utiliser un autre utilisateur que le root pour faire ca sur mon IPCOP.
Encore merci

Tomtom : une deniere question, ce type "d'architecture" est elle bien niveau securité, ou c'est vraiment basique ? Qu'existe t-il d'autre comme solution ?

[tomtom]

Ben l'avantagen c'est que c'est pas une architecture justement.

Tu as un firewall, qui autorise une connexion uniquement en ssh.

Et, grace à un tunnel ssh, tu peux acceder à n'importe-quoi de l'autre coté, sans altérer la sécurité du firwall. C'est très pratique pour des actions ponctuelles.

Maintenant, si tu me dis qu 20 personnes vont devoir traverser tous les jours l'ipcop pour faire du vnc derrière, la ce ne sera plus bon. Dans ce cas, tu auras interet à monter carrement un vpn pour que les gens puissnet acceder aux machines de manière transparente.

Question securité, ben on repose sur ssh. lle problème est toujours le même : ssh ouvert sur le fireawll, alors n'importe qui qui casse ssh a acces au firewall. Bon casser ssh, c'est pas une rilade. En revanche, dans le cas de l'utilisation d'un mot de passse, on revient à un problème plus simple. Il suffit de trouver le mot de passe pour se connecter. Attention donc aux mots de passe triviaux, et penser à les changer régulièrement.
Personnellement, j'utilise des clés RSA pour me connecter sur mon firewall. C'ets pratique, je les transpor te sur une clé usb, et elles sont elles-mêems protégées par mot de passe.
Mais je reconnais que par facilité il m'arrive de donner un acces mot de passe à un pote...

Le plus gros risque est là.

t.

[Green]

oki merci donc pour utilisation ponctuel ssh me conviendra

Ben l'avantagen c'est que c'est pas une architecture justement.

Personnellement, j'utilise des clés RSA pour me connecter sur mon firewall. C'ets pratique, je les transpor te sur une clé usb, et elles sont elles-mêems protégées par mot de passe.

t.

Pourrais tu m'en dire plus, et si t'a solution pourrais s'appliquer a mon cas ?

[karibou47]

La solution de Tomtom remplace t elle la mise en place d'un VPN entre mon serveur IPcop et un autreserveur (ipcop ou autre) que j'aimerais administrer à distance ?

J'ai regardé la doc HowtoVPN mais le pb est que je ne trouve pas sur mon interface IPCop d'option VPN ou je peux aller parametrer? AI je oublier d'installer qlq chose ?

Merci
Karibou

[tomtom]

La solution de Tomtom remplace t elle la mise en place d'un VPN entre mon serveur IPcop et un autreserveur (ipcop ou autre) que j'aimerais administrer à distance ?

Ce n'est pas ma solution... c'est une solution qui larche

Si tu n'as besoin que de faire de l'administration à distance (console), tu n'as pas besoin de vpn. C'est se compliquer sacremment la vie.
N'oublie pas que le but du VPN est de "reunir" deux reseaux distants grace à un canal securisé via un reseau non sur.
Si tu ne fais qu'etablir des connexions ssh ou https, les mettre en plus dans un vpn n'est pas franchement utile.


T.

[karibou47]

Ok Tomtom merci pour les réponses VPN et ssh, j'y vois de plus en plus clair

Maintenant pour résumer les points en suspend aurais tu des réponses à ces différentes questions :

1 J'ai regardé la doc HowtoVPN mais le pb est que je ne trouve pas sur mon interface IPCop d'option VPN ou je peux aller parametrer? AI je oublier d'installer qlq chose ?

2 Peux tu m'éclairer sur ce point

Personnellement, j'utilise des clés RSA pour me connecter sur mon firewall. C'ets pratique, je les transpor te sur une clé usb, et elles sont elles-mêems protégées par mot de passe

3 Enfin pour le transfert de port j'ai bien verifié et j'ai tout param co tu l'as dis, netstat m'affiche les infos suivantes : port 5900 Listening avec @locale type 127.0.0.1 alors que le pc depuis lequel je travaille est en @ 192.168.x.x puis lorsque je me connecte sur vnc (tjs en laissant le transfert sur le port 5900 ds ipcop) netstat me renvoi @IPmamachine:1421 @distante celle fournit par mon fai:5900 etablished

Il y a surement un truc que fais de travers ou bien ......

En tout cas merci à tous pour toutes les reponses pertinentes qui ont déja été formulées

[Green]

1 J'ai regardé la doc HowtoVPN mais le pb est que je ne trouve pas sur mon interface IPCop d'option VPN ou je peux aller parametrer? AI je oublier d'installer qlq chose ?

Sur IPCOP : entre "Journaux" et "Systeme" tu as normalement : "RPVs" et bien c ca, c pareil que VPN (francais/angalis)

[carbone]

merci pour le lien je vais regarder
Ce qui serait super cool serait que le ssh soit géré par IPCOP mais la ca doit compliquer enorment les choses

non, en fait il n'y a rien de plsu simple...

IPCop possede deja un serveur ssh -> on va l'utiliser.
Sur ton poste distant sur internet, tu lances ssh en mode tunnel. Si tu utilise linux, c'est l'option -L. Sou s putty, c'est encore plus simple.
Lance putty.
configure ta connection comme d'hab (ip publique de ipcop, port 222)

t.

Bonjour,

c est joli oui mais la je ne comprends pas comment ça marche, le port 222 est fermé pour l'extérieur je pense, il n est ouvert que dans le réseau local donc je vois pas comment tu ouvre la connexion
ou alors il faut permettre à l'extérieur de se connecter en ssh, ce qui est par défaut interdit je pense

[tomtom]

Bonjour,

c est joli oui mais la je ne comprends pas comment ça marche, le port 222 est fermé pour l'extérieur je pense, il n est ouvert que dans le réseau local donc je vois pas comment tu ouvre la connexion
ou alors il faut permettre à l'extérieur de se connecter en ssh, ce qui est par défaut interdit je pense

Oui, c'est sur , je ne suis pas magicien.
Pour encapsuler quelquechose dans un flux ssh, il faut etre capable d'ouvrir le ssh

t.