Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[TUTO] Accéder à son LAN derrière un routeur 4G, depuis l'extérieur, avec SSH

oga83

Ce tuto est la suite de celui qui présentait l'utilisation de ngrok.

Il sera certainement utile de relire ce tuto avant d'aborder celui-ci.

Pour rappel, en 4G, et contrairement à l'ADSL, on est généralement pas connecté directement à internet.
Sauf exceptions (airmob, ...), on est connecté au réseau privé de l'opérateur et c'est lui qui route vers internet.
Pour cette raison, il n'est pas possible d'ouvrir un port vers l'extérieur pour établir une connexion entrante.

Ici, nous allons utiliser un tunnel reverse-ssh pour permettre les connexions entrantes.

Par rapport à la solution ngrok, cette méthode présente plusieurs intérêts :
- Les données ne transitent que par des machines de confiance;
- Plusieurs redirections sont possibles simultanément. On peut ouvrir plusieurs ports qui seront redirigés vers une ou plusieurs machines de son LAN;
- Comme on maitrise le serveur "ami", on peut avoir un nom de domaine qui pointe vers cette machine (par exemple mondomaineperso.com). L'accès à la machine du LAN se fera simplement avec un nom de domaine;
- Cette solution coûte un peu moins cher.

L'inconvénient principal est qu'elle est plus complexe à mettre en œuvre.

Pour ceux qui souhaitent maitriser SSH, c'est un très bon exercice !

Prérequis :

1- Il faut disposer d'un serveur "ami" sur lequel :

- on a un accès SSH

- on peut ouvrir les ports vers l'extérieur

- on peut modifier la configuration (ssh et utilisateurs)

Personnellement, j'utilise une instance Scaleway ARM64-2GB à 3,60€ par mois. Elle dispose d'une adresse IP fixe et un de mes noms de domaine pointe dessus.

2- Il faut également disposer d'une machine sur son LAN sur laquelle il y a un client SSH (par exemple Putty sur un PC). Comme la connexion extérieure ne sera possible que quand cette machine est allumée, on peut avantageusement utiliser un Raspberry Pi. C'est ce qui est présenté dans ce tuto.

Principe :

1- Un Raspberry Pi sur son LAN (ou tout autre machine disposant d'un client SSH) crée un tunnel chiffré entre un serveur extérieur "ami" et une ou plusieurs machines du LAN;

2- En se connectant au serveur "ami", on accède aux machines du LAN qu'on a configurées.

Pour mettre en œuvre cette solution, il faut :
1- Ouvrir les ports souhaités sur le serveur "ami";
2- Créer un compte (sans login) sur ce serveur pour que le Raspberry Pi du LAN puisse s'y connecter;
3- Configurer SSH sur ce serveur pour permettre la redirection de port;
4- Configurer SSH sur le Raspberry Pi sur le LAN pour faciliter les reprises sur perte de connexion;
5- Générer une clef d'authentification RSA pour se connecter sur le serveur "ami";
6- Créer le tunnel au démarrage avec crontab.

Dans cet exemple, allons donner accès depuis l'extérieur à un serveur web qui tourne sur le LAN
Nous utiliserons les adresses IP suivantes, qui sont, bien sûr, à remplacer par celles réellement utilisées :
- Serveur "ami" externe : 1.2.3.4 avec SSH sur le port 2200. Le port 80 sera redirigé vers la machine du LAN;
- Raspberry Pi sur le LAN : 192.168.1.20 avec SSH sur le port 22;
- Machine à laquelle on veut donner accès depuis l'extérieur : 192.168.1.100. Serveur Web sur le port 8080.

Fonctionnement :
1- Le Raspberry Pi ouvre un tunnel SSH sécurisé vers le serveur "ami" 1.2.3.4:2200.
Il établit également les connexions avec les machines du LAN concernées (pour être précis, ces connexions ne seront en fait établies qu'au moment d'une connexion entrante, mais pour plus de clarté, je préfère les représenter ici).
Le reverse-ssh permet d'ouvrir un port sur ce serveur (80 dans notre exemple).

Ce port sera redirigé vers le port 8080 de la machine du LAN 192.168.1.100 pour laquelle on souhaite donner un accès depuis l'extérieur.

2- Une machine extérieure souhaite se connecter à notre machine sur le LAN

Pour cela, elle se connecte au serveur "ami" (

http://www.mondomaineperso.com

)

3- Cette connexion est redirigée sur la machine du LAN
La connexion au port externe du serveur 80 est redirigée par son SSH vers le Raspberry Pi par le tunnel sécurisé.
Le client SSH sur Raspberry Pi redirige le tunnel vers la machine finale sur le LAN, sur le port 8080.

Cette connexion n'est pas chiffrée mais ce n'est pas important car on se trouve sur le LAN.

Réalisation :

A - Sur le serveur "ami" :

1 - Ouvrir les ports souhaités sur le serveur "ami" (80 dans notre exemple)

2- Créer un utilisateur "revssh", mot de passe complexe (pas la peine de le noter, on l'utilisera avec une clef)

useradd -m revssh; passwd revssh

3- Par sécurité, interdire à cet utilisateur de se logguer et ne lui autoriser que la redirection de port :

apt-get install rssh # On installe rssh

Certaines fonctions de rssh (scp, sftp, ...) peuvent être activées/désactivées dans /etc/rssh.conf.
Modifier /etc/passwd pour utiliser rssh lors de la connexion, ce qui interdira à cet utilisateur de se logguer :

revssh:x:1006:1007::/home/revssh:/usr/bin/rssh

Dans cet exemple, l'uid et le gid 1006 et 1007 dépendent de la machine. Il ne faut pas y toucher.

4- Modifier /etc/ssh/sshd_config :

GatewayPorts yes       # Pour permettre la redirection de port et faire du reverse-ssh
ClientAliveInterval 30 # Pour fermer les ports en cas de perte de connexion

Suite dans le post suivant...

oga83

Suite :

B- Sur le client Raspberry 4G

1- Modifier /etc/ssh/ssh_config (attention, pas sshd_config !) pour faciliter la récupération de la connexion en cas de coupure

TCPKeepAlive yes
ServerAliveCountMax 3
ServerAliveInterval 15
ExitOnForwardFailure yes

2- Générer une clef privée (en étant root pour que la clef soit dans /root/.ssh/id_rsa) :

ssh-keygen -t rsa

3- Copier la clef publique sur le serveur

Copier le contenu de /home/root/.ssh/id_rsa.pub (sur le Raspberry) dans le fichier /home/revssh/.ssh/authorized_keys (du serveur)

4- Installer autossh pour obtenir un tunnel ssh avec reprise automatique en cas de perte de connexion

apt-get install autossh

5- Ajouter une ligne dans /etc/crontab :

@reboot    export AUTOSSH_POLL=30; /usr/lib/autossh/autossh -M 20000 -C -N -f -n -T -p 2200 -R \*:80:192.168.1.100:8080 revssh@1.2.3.4

Les options utilisées pour autossh sont les suivantes :

-M    Port de surveillance utilisé par autossh
-C    Les données sont compressées
-N    Ne pas exécuter de commande distante. Rediriger les ports uniquement.
-f    Fonctionnement en arrière-plan
-n    Ne pas lire sur stdin
-T    Désactiver la création du pseudo-terminal.
-p 2200 Port SSH utilisé par le serveur. A remplacer par le port réellement utilisé.
-R     Configuration de la redirection reverse-ssh.
    La syntaxe est la suivante : Interface:PortServeur:IPMachineLAN:PortMachineLan
En indiquant \* comme interface, on ouvre les ports de toutes les interface réseau du serveur. C'est indispensable car, par défaut, le reverse-ssh ouvre le port de l'interface "lo" alors qu'on souhaite utiliser le port de l'interface ouverte sur internet.

Si l'on souhaite effectuer plusieurs redirections, il suffit d'ajouter une option -R supplémentaire :)

A noter que l'on peut très bien donner accès au Raspberry depuis l'extérieur. Il suffit d'utiliser 127.0.0.1 comme adresse LAN.

Par exemple, pour accéder au Raspberry en SSH depuis l'extérieur, on pourra ajouter :

-R \*:2222:127.0.0.1:22

Il faudra bien sûr penser à ouvrir le port 2222 sur le serveur. On aura accès au Raspberry Pi de l'extérieur avec la commande suivante :

ssh -p 2222 www.mondomaineperso.com

Voilà, vous avez maintenant la possibilité de donner accès à n'importe quelle machine de votre LAN :)

Si ce genre de post vous plait, n'oubliez pas de le promotionner pour que j'en fasse d'autres !

oga83

Complément :

Accéder à des machines de son LAN de l'extérieur, sans ouvrir de ports supplémentaires

La méthode exposée ci-dessus permet d'exposer certains ports des machines de son LAN sur internet. Cela est très utile pour héberger un serveur web chez soi ou donner accès à des services de manière permanente.

Si l'on souhaite avoir accès temporairement et à la demande à des machines de son LAN, voici comment procéder.

Cas d'utilisation :

Se connecter à une machine quand on est à l'extérieur, sans que cette machine ait un port ouvert à l'extérieur

Principe :

Utiliser un tunnel SSH sur son PC (à l'extérieur), avec redirection de port, dans un tunnel déjà établi par le Raspberry Pi.

Réalisation :

1- Avec la méthode exposée dans les posts précédents, donner accès au serveur SSH du Raspberry Pi.

On supposera que l'option suivante a été utilisée pour établir le tunnel entre le Raspberry Pi et le serveur "ami" :

-R \*:2222:127.0.0.1:22

Cette option donne accès, de l'extérieur, sur le port 2222, au serveur SSH du Raspberry Pi sur son LAN.

Pour plus de sécurité, il est fortement conseillé de n'utiliser que les connexions par clef d'authentification et d'interdire les connexions par mot de passe (à configurer sur le Raspberry Pi).

2- Etablir une connexion SSH de l'extérieur sur le Raspberry Pi avec une redirection de port vers la machine souhaitée.

Imaginons que l'on souhaite avoir accès à un serveur MySql sur son LAN qui tourne sur la machine 192.168.1.55. Sachant que MySql utilise par défaut le port 3306, nous allons rediriger le port du PC utilisé à l'extérieur vers 192.168.1.55:3306.

Pour cela, on utilise la commande suivante avec redirection de port (la redirection n'est pas reverse cette fois-ci) :

ssh -p 2222 -L 3306:192.168.1.55:3306 www.mondomaineperso.com

Sur PC ou Mac, on peut avantageusement utiliser Putty :

Configuration de la connexion

Configuration des redirections

3- A partir de là, le port local 3306 de son PC est redirigé vers son LAN sur le serveur MySql :)

Pour s'y connecter (par exemple avec MySQL Workbench), on utilise l'adresse 127.0.0.1:3306

[A noter, que dans le cas de MySql, il y a encore plus simple puisque MySQL Workbench est capable de se connecter à un serveur au travers d'un tunnel SSH. La commande ssh ci-dessus n'est donc pas nécessaire]

De cette manière, on peut avoir accès à l'interface web de son routeur, ou à n'importe quelle autre machine de son LAN :)

Pour avoir accès à l'interface wb d'un routeur Huawei, il y a un petit piège lié à une redirection html vers une url absolue. Si vous avez suivi jusque ici, vous saurez certainement le résoudre ;)

Vos commentaires sont les bienvenus !

Si ce genre de post vous plait, n'oubliez pas de le promotionner pour que j'en fasse d'autres !

thierryR

Bonjour. Merci pour ce tuto illustré. C'est très chouette. Il y juste un point qui me semble obscur car au serveur j'ai une autre box en ip fixe.

-R     Configuration de la redirection reverse-ssh.

Peux tu détailler davantage. Merci.

oga83

thierryR a dit :

Peux tu détailler davantage. Merci.

De quels détails as-tu besoin ?

Il y a déjà la syntaxe du reverse-tunnel et un exemple juste en dessous.

dupratpierre11

Sauf erreur de ma part :
Attention, il y a une petite discordance entre les explications/implantations et les 4 premiers schémas rzo
En effet, le LAN sur les schémas est en adressage avec un préfixe dans 192.168/16

Alors que dans le texte on parle d’un adressage avec un préfixe dans 172.16/12

oga83

@dupratpierre11
Tu as raison. Ça vient du fait que je suis en 172.17.0.0/16 chez moi et que j'ai fait le tuto avec une config plus classique en 192.168.1.0/24.
J'ai demandé à Ludovick de le corriger.

thierryR

Merci les gars. Un tel tuto est plutôt rare sur la toile. Ce n'est pas tous les jours qu'on utilise du reverse ssh.

Pour des curieux comme moi, qui n'y connait rien, il est important d'être précis. (C'est de l'apprentissage).

Pour accéder à son installation de l'extérieur, on m'a toujours dit qu'il fallait créer une liaison VPN mais jamais cet exemple. Félicitations.

oga83

@thierryR Tant mieux si ce post t'a servi. Tu peux le promotionner :wink:

ludovick

on peux pas double-promote !

oga83

ludovick a dit :

on peux pas double-promote !

Je n'en demande pas tant, un seul suffit :D

Shen

Bonjour,

Est-ce que le reverse-ssh fonctionne pour les connexions entrantes d'un client torrent avec la connexion à un tracker privé?

oga83

@Shen

Aucune idée, mais me semble qu'un tel client utilise tcp ET udp.

Faire du reverse-ssh udp est possible mais beaucoup plus compliqué (il faut convertir le flux udp en tcp pour passer dans le tunnel qui ne supporte que tcp).

Shen

Merci de la réponse,

J'ai vu que mon client propose le choix des protocoles utilisés (TCP,UDP ou les 2)

Ca restreint le nombre de seed, ceux ne proposant que l'UDP forcément. Et théoriquement les paquets TCP ont moins de charge utile du aux en-têtes sur chaque paquet de ce que j'ai lu.

Je me suis interessé à OpenMTCProuteur, évoqué et présenté plusieurs fois sur le forum, je suis en test et ca marche très très bien.
Par contre je vais aussi tester le reverse-ssh, comme tu le dis c'est un exercice interessant pour approfondir ssh

maxime92hs

bonjour, lorsque j'execute la commande apt-get install rssh j'obtient :

Package rssh is not available, but is referred to by another package.
This may mean that the package is missing, has been obsoleted, or
is only available from another source

E: Package 'rssh' has no installation candidate

et je ne trouve pas de solution sur internet, merci à vous

ludovick

@maxime92hs sous quel environnement ? Si c'est Debian Buster c'est normal, ne pas en tenir compte.

pleneve

Bonjour ludovick,
Merci pour ces tutos qui sont très clairs et très bien expliqués.
Ils pourrait répondre à mon problème d'accès à mon réseau situé derrière un routeur 4G perso, mais j'ai aussi trouvé un troisième solution sur le net à base de FRP (Fast Reverse Proxy) qui à l'air alléchante.
Mon idée c'est de faire tourner le serveur FRP sur mon NAS avec IP privé et le client FRP sur mon NAS avec IP publique. Du coup je maitrise les 2 de bout en bout sans besoin de passer par un serveur externe (payant) ; seul défaut il faut que mon NAS principal reste allumé 24/24 mais c'est déjà le cas.
Connaissez vous FRP et auriez vous des conseils sur cette solution ?
Cordialement
Pascal

oga83

Le principe est toujours le même (FRP, ngrok, reverse-ssh, ...) :

On effectue une connexion sortante vers un serveur "ami", accessible de l'extérieur, pour établir une route inverse.

Gazby18

Bonjour,

J'ai trouvé le sujet très intéressant car je voudrais atteindre depuis internet une caméra D-Link DCS 4633EV située derrière un modem routeur Huavei B525s-65a.
Après deux jours d’essais malgré que le DDNS fonctionne j’avais bien remarqué que l’adresse retourné par celui-ci en 10.116.x.x n’était pas joignable depuis un navigateur.

Je vais donc essayer votre solution et comme je souhaite que le dispositif consomme le moins possible d’électricité vu qu’il fonctionnera 24h sur 24 le Raspberry Pi sera le bienvenu.
Quel modèle me conseilleriez-vous et quelle version de Linux faudrait-il utiliser ?
Autrefois j’ai bidouillé sous Linux et travaillé sur des stations Unix Sun mais maintenant je suis plutôt plus habitué à Windows jusqu’à la version 7 pro.

En vous remerciant par avance.

ludovick

Un Raspberry Pi 3 ou nano suffit. Mais pour avoir de l'ethernet Gigabit ce sera un RPi4
J'utilise la distrib dietpi.

Page suivante »