connexion SSH avec noip

[transalp89]

Bonjour, je me connecte en ssh sans porbleme dasn mon reseau interne.
par contre quand j'accede via l'adresse ip externe, je n'arrive pas a me connecter.
j'ai bien fait la redirection du port 22 sur le routeur et creer mon domaine dans noip

ci dessous connexion via reseau interne ca marche
PS C:\Users> ssh pi@192.168.x.x
pi@192.168.x.x's password:

ce qui est bizarre c'est que j'obtiens le type de reponse ci dessous pour demander le password utilisateur avec une adresse bizarre
et j'ai beau taper mon password, au bout de 3 fois il me fait une connection timeout

PS C:\Users> ssh pi@'hostname'.ddns.net
Password for pi@pf1pa2.fra.ccncore.net:
Connection closed by 213.xxx.xxx.xxx port 22

donc il a bien trouver le raspberry sur la bonne ip et le bon port mais il ne reconnait pas le pwd

aurais-je louper quelque chose dans le parametrage noip

merci de votre aide !!

[maxty01]

Bonsoir,

Dans un premier temps, difficile à dire ou se trouve le problème, nous allons y aller pas à pas.

Tout d'abord, lors des tests «externes» :
Est-il possible de voir le log /var/log/auth.log ?
(Attention, remplacer les données sensibles tel que IP, user ou autre process)

Est-ce que je client se connecte depuis le réseau local ou en 3/4G (càd via le wan) ?

Bonne soirée,

[Artemus24]

Salut à tous.

Bonne année, Bonne Santé, Mes Meilleurs Voeux pour 2022.

Est-ce que votre BOX est en 4G ou avez-vous un accès par ADSL ou fibre ?
Avez-vous testé depuis internet si votre adresse IP est accessible ?

Vous nous parlez de "noip"?
Utilisez-vous, non pas l'adresse IP, mais le nom de domaine noip ?
Si OUI est-ce que ce nom de domaine pointe bien vers votre ordinateur ?
A-t-il la bonne adresse IP ?

Avez-vous testé depuis l'internet si le port 22 est ouvert (ou un autre port si ce n'est pas le 22 que vous utilisez) ?

Ces tests sont à faire, non pas de chez vous, mais de l'extérieur, avec une autre adresse IP que celle de votre BOX.

Pour ce qui est du NAT dans votre box, vous devez faire la redirection en précisant :
--> le port en entrée (22) si c'est celui que vous utilisez pour votre accès.
On peut en mettre un autre port, comme par exemple 443
--> le port de sortie qui normalement est le 22 dans votre Raspberry.
--> l'adresse IP fixe de votre Raspberry PI
Cette adresse doit être déclaré dans le serveur DHCP de votre BOX.

Pour l'accès depuis l'internet, la commande est la suivante :

Code : Tout sélectionner

pi@votre_adresse_internet:443

J'ai mis ici le port 443 dont vous avez ouvert dans le NAT de votre BOX.
Si vous utilisez le port 22, soit vous ne mettez rien ou bien vous le précisez.

Pour ce qui est du mot de passe, ne mettez que des lettres sans accents et des chiffres.
Pas de symboles particuliers.

Cordialement.
Artemus24.
@+

[maxty01]

Je me permet de répondre avant transalp89.

Est-ce que votre BOX est en 4G ou avez-vous un accès par ADSL ou fibre ?
Avez-vous testé depuis internet si votre adresse IP est accessible ?

Je pense que c'est le nœud du problème rencontré par transalp89.

La première à savoir : est-ce que transalp89 possède une adresse IP Publique Natée ou non par le FAI.
En effet, il n'est pas exclu que transalp89 se trouve dans un groupe Naté par son FAI.
Cela peut réduire à néant ses chances d’accéder à son RPI depuis internet.

Vous nous parlez de "noip"?
Utilisez-vous, non pas l'adresse IP, mais le nom de domaine noip ?

C'est le but de noip, non ?

Si OUI est-ce que ce nom de domaine pointe bien vers votre ordinateur ?

Ordinateur ou box ?
Moi je dirai box, l'ordinateur étant derrière la box, non ?

A-t-il la bonne adresse IP ?

Très bonne question, j'invite transalp89 à nous dire s'il peut répondre à la question.
Si oui, alors j'invite transalp89 à regarder sur sa box et via https://www.whatismyip.com/fr/
Sinon, nous expliquerons comment faire.

Avez-vous testé depuis l'internet si le port 22 est ouvert (ou un autre port si ce n'est pas le 22 que vous utilisez) ?

Ce test, tel que décrit, n'est pas probant.
La majorité des ports en sorties sont ouverts, cependant il n'est pas exclu que le port 22 soit bloqué, cela va également dépendre du fait que transalp89 ai ou non une IP Natée

Ces tests sont à faire, non pas de chez vous, mais de l'extérieur, avec une autre adresse IP que celle de votre BOX.

Ce test, tel que décrit, n'est pas probant.
Le but de l’exercice est de pouvoir accéder à son RPI depuis internet, tester une adresse autre que celle de sa box serait inutile.

Pour ce qui est du NAT : évitons de complexifier le problème et restons sur le port 22, pour l'instant

Pour ce qui est du mot de passe : là aussi, je ne suis pas d'accord ...
Dans un article, j'invite les utilisateurs à

Utiliser un password complexe, avec des lettres minuscules, majuscules, des chiffres, des caractères spéciaux et de longueur suffisante.

Toujours dans cette article, j'invite tout le monde

dans la mesure du possible, d'utiliser des clés public/privée pour vous connecter en SSH

Je vous invite donc tous les deux à lire mon tuto sur la sécurisation du ssh : viewtopic.php?f=3&t=283
Il date un peu, mais est toujours d'actualité.

Il n'est pas exclu qu'un autre périphérique réponde au SSH.
Donc, les premières choses que je souhaite connaitre sont :
1. Est-ce que le serveur ssh du RPI recois bien la demande de connexion.
2. Quelles sont les conditions des tests effectué par transalp89.

Les deux réponses aux deux questions, que j'ai posé, répondront à une multitude de vos questions ci-dessus.

Cordialement,
Maxty

[Artemus24]

Salut à tous.

C'est le but de noip, non ?

Oui, c'est le but.
Il doit installer un logiciel de chez noip afin que l'adresse IP soit mise en relation avec le nom du domaine noip.
Même si l'adresse est dynamique, le lien se fera dans tous les cas.

Ordinateur ou box ?

La box car l'adresse IP qu'il doit tester est l'adresse WAN.

Le but de l’exercice est de pouvoir accéder à son RPI depuis internet, tester une adresse autre que celle de sa box serait inutile.

C'est ce que je lui demande de faire, de tester, non pas depuis son réseau local, mais d'ailleurs sur le net
S'il vérifie son identité avant le test, son adresse IP WAN doit être différente de celle de sa BOX.

Pour ce qui est du mot de passe : là aussi, je ne suis pas d'accord ...

Les mots de passe , c'est dépassé ! J'utilise pour m'identifier un certificat SSH.
La clef est stockée dans le répertoire ".ssh" à la racine du répertoire du compte auquel j'accède.

Cordialement.
Artemus24.
@+

[maxty01]

Je connais bien le principe du DynDNS, j'utilise celui d'OVH, directement sur mon firewall.

Il est également possible, selon la box et le fournisseur DynDNS, de le configurer directement dans la box

Je suis un peu déçu par ton dernier paragraphe, car tu aurai lu complètement ce que j'ai écrit, tu ne l'aurai pas écrit de la même manière :

Toujours dans cette article, j'invite tout le monde

dans la mesure du possible, d'utiliser des clés public/privée pour vous connecter en SSH

Je vous invite donc tous les deux à lire mon tuto sur la sécurisation du ssh : viewtopic.php?f=3&t=283
Il date un peu, mais est toujours d'actualité.

Et malheureusement, le password n'est pas aussi dépassé que tu ne le penses ...

Maintenant, laissons transalp89 répondre aux questions afin d'avancer sur son problème.

PS : je me suis permis de corriger ta réponse ... juste une erreur de balise

[Artemus24]

Salut maxty01.

Je suis un peu déçu par ton dernier paragraphe, car tu aurai lu complètement ce que j'ai écrit, tu ne l'aurai pas écrit de la même manière :

Je viens de relire ton sujet où d'ailleurs je suis intervenu.

Pour la protection de mes ordinateurs, je travaille surtout sur le Firewall.
Root est accessible en SSH, mais uniquement dans mon réseau local, pas depuis internet.

Pour m'identifier, j'utilise des certificats SSH public et privé.
Comme toi, j'ai interdit le mot de passe pour le compte "root".

Dans mon Firewall de la Raspberry, je filtre les adresses IP Wan.
Si une personne n'a pas la bonne adresse IP, son accès sera interdit.

Que veux-tu que j'améliore ?
L'accès depuis internet se fait à partir d'une adresse IP qui est toujours la même.

De même, pour les attaques, je peux interdire un accès par une adresse IP.
C'est ce que j'ai fait dans le pare-feu de Windows.
Il y a avait des chinois qui passaient leur temps à interroger mes ports et à faire des tentatives d'intrusions.

On peut poursuivre la sécurité, mais je ne l'ai pas fait, en demandant que la connexion soit avec authentification.

Cordialement.
Artemus24.
@+