OMV5 Connexion ssh à OMV impossible par internet

T

Tenkaichi

Apprenti
16 Octobre 2021
64
5
8
Bonjour,

Je viens vers vous un peu désespéré. J'essaye de me connecter à mon NAS sous omv en ssh depuis l'extérieur de mon réseau local, en utilisant mon ip publique. Pour cela, j'ai attribué une IP fixe à mon serveur, puis j'ai ouvert le port 22 de mon routeur, en renvoyant le tout vers l'ip fixe de mon serveur.
Mais quand je tente de me connecter, "connexion timed out"...
J'utilise la commande "ssh root@xxx.xxx.xxx.xxx"
Est-ce que j'ai oublié une étape ? Franchement je suis un peu perdu..
Et du coup, pas de connexion ssh, pas de connexion à l'interface OMV, bref aucun accès...
Pour information je suis chez RED, je ne sais pas si c'est la raison du problème...
Je vous remercie d'avance pour votre aide !
 
Dernière édition par un modérateur:
Salut,
Au vu de se que tu décrit, cela devrai fonctionner. Mais je ne te conseil pas du tout de faire comme cela ! Tu sera la proie d'attaque constante !
Je sais que SFR fait aussi dans le dos de ses abonnées de l'ip partagé ( mais je ne me souviens plus du nom qu'il utilise, CG-NAT ou un truc du genre ).

Quel type de "Connectivité" as tu dans l'interface de ta box ?

Si c'est bien cette histoire d'ip partagé, il va te falloir voir avec le support pour obtenir une ip full stack ipv4 sans quoi tu n'arrivera pas a te servir correctement de ton serveur depuis l'extérieur.

Pour revenir a cette acces externe, sache que la regle veut qu'on expose sur internet le stricte minimum, et encore moins directement les interfaces de login de type SSH ! et encore encore moins avec le port par defaut !
Pour un acces depuis l'extérieur a ton réseau, je te conseil plutot la mise en place d'un serveur Wireguard ! Avec Wireguard c'est plutot simple, et tres sécurisé !
 
Hello, déjà merci pour cette réponse ultra rapide ! ^^
Alors sur mon interface Box je suis en connectivité IPv4

Si j'utilise ssh c'est juste pour faire des petits tests, voir si tout fonctionne bien. Or tout ne fonctionne pas bien..
Je cherche pas mal d'informations sur comment partager mon NAS via internet.
Mais je ne suis pas intéressé par l'installation d'une application pour y accéder. J'aimerais pouvoir y accéder en connectant un emplacement réseau dans mon explorateur de frichier et y accéder par ce dernier (j'avais entendu parler de WebDav pour ça je crois). Donc je vais regarder ta proposition évidement, vu que je ne sais pas encore ce que c'est. Merci !
 
  • J'aime
Réactions: EVO
Tenkaichi a dit:
Mais je ne suis pas intéressé par l'installation d'une application pour y accéder. J'aimerais pouvoir y accéder en connectant un emplacement réseau dans mon explorateur de frichier et y accéder par ce dernier (j'avais entendu parler de WebDav pour ça je crois).
Cliquez pour agrandir...
L'avantage de l'utilisation d'un VPN comme Wireguard, c'est que pour ton PC cela ne changera rien que tu soit chez toi, ou non.
A l'extérieur, tu aura juste a connecté le VPN, et ton PC pensera etre a l’intérieur du réseau local. Il sera donc possible d'acceder a tout le NAS sans soucis, mais aussi aux éventuels partages réseaux ( SMB, .... )

Pour le WebDAV, tu sera obliger de rajouter une application, et pour l’accès externe sécurisé il te faudra un nom de domaine, et un certificat, ... C'est pas la même mise en place qu'un serveur VPN. Nextcloud fait également serveur WebDAV.

Je ne pense pas que tu pourra te passer d'une appli tiers pour ce que tu souhaite faire, en tout pas, pour le faire de façon sécurisé.

Pour revenir a ton test SSH, le pare-feu sur OMV est actif ? Si oui, il faut autorisé la connexion dedans.
 
Le problème, c'est que si je suis sur un pc où je n'ai pas les droits admins pour installer mon client vpn, je ne pourrai pas me connecter à mon serveur? EN soit ce serait pour des cas très particuliers et ponctuels donc je pourrais m'en passer, mais bon...
Mais autrement oui la solution vpn semble efficace et simple à mettre en place.

Le pare-feu n'a aucune règle dans sa liste, en tout cas de ce qui est visible sur l'interface de omv.
 
Tenkaichi a dit:
Le problème, c'est que si je suis sur un pc où je n'ai pas les droits admins pour installer mon client vpn, je ne pourrai pas me connecter à mon serveur? EN soit ce serait pour des cas très particuliers et ponctuels donc je pourrais m'en passer, mais bon...
Cliquez pour agrandir...
Effectivement, Wireguard ( et de mémoire tout les autres clients VPN ) réclame les droits admin ( au mini pour l'installation ).

Tenkaichi a dit:
Le pare-feu n'a aucune règle dans sa liste, en tout cas de ce qui est visible sur l'interface de omv.
Cliquez pour agrandir...

J’avais pas fait attention, met tu essaye de te connecter en root directement ? Si oui pas tres sécure ^^
La connexion en root est désactivé par defaut, il faut l'activé : Dans Services > SSH
2021-10-16 11_20_37-Window.png

Une bonne pratique est plutot de se connecter avec un utilisateur "normal" puis de passer en root avec la commande su - puis le mot de passe admin
 
Le root est activé puisque j'arrive à me connecter avec en local.
Et oui, je me doute que c'est pas top, mais c'était juste pour aller vite, et faire un test rapide de connexion. De toute façon j'ai effacé mes redirections de ports quand j'ai vu que ça ne fonctionnait pas.
D'ailleurs j'ai essayé de me connecter depuis internet avec un utilisateur standard, ça ne fonctionne pas non plus.
 
On est d'accord, que tu fait bien tes tests via une connexion externe ? ( 4G ... )
Essaye peut etre un port externe plus exotique, comme 2222

Box 2222/TCP > 22/TCP OMV

et tu tente le connexion de l'extérieur : ssh root@xxx.xxx.xxx.xxx -p 2222
 
Oui bien sur, je me connecte à mon réseau 4G.

Toujours le même problème, malgré l'utilisation d'un port exotique.
Pas besoin de reboot la box quand on ouvre les ports, c'est instantané?
 
Tenkaichi a dit:
Pas besoin de reboot la box quand on ouvre les ports, c'est instantané?
Cliquez pour agrandir...
Non pas besoin , c'est effectivement direct.

Bon, je viens d'essayé sur mon OMV6, et j'ai pas eu de soucis :

Redirection 22/TCP vers 22/TCP dans la box, en direction de OMV6
Autorisation dans le pare-feu d'OMV

Vérifie bien se que tu a fait, il doit y avoir une petite erreur a un soucis, peut etre que l'ip de redirectione st pas bone dans la box ?
...
N'hesite pas a joindre des screens

Ou alors c'est ce soucis de ipv4 partagé, mais je ne sait pas comment on fait pour le savoir chez SFR si on est en partagé
 
Bonne nouvelle, j'arrive à me connecter en ssh depuis internet sur une raspberry pi fraichement installée avec raspbian.. Le problème viendrait de omv?
 
Je viens de rajouter la règle, ça ne change rien, connection timed out..
Est-ce que je repart sur une installation propre pour voir si ça marche?...
 
Dernière édition:
  • Triste
Réactions: EVO
Certainement...
Petite question, j'avais des données sur mon disque Data, comment je fais pour les retrouver dans l'interface OMV?
J'arrive à y accéder en allant dans /srv/dev-disk.../ mais je ne les vois pas dans mes dossiers partagés sur l'interface web.
EDIT: j'ai trouvé, désolé pour le dérangement ^^
 
  • Haha
Réactions: EVO
Petite question, je ne sais pas si je dois ouvrir un post pour, s'il le faut je le ferai.
Pourquoi ce n'est pas sécurisé de se connecter en ssh à un serveur depuis internet? Qu'est-ce qui fait que c'est dangereux? A part tester de se connecter en brut force je ne vois pas trop ^^
 
Tenkaichi a dit:
A part tester de se connecter en brut force je ne vois pas trop ^^
Cliquez pour agrandir...

Effectivement, brut force, mot de passe fuiter, .. les connexions SSH/SFTP sont les cibles favorites
Mais aussi faille de sécu, ...

Edit : Si par exemple tu expose tous tes services directement via leurs ports ou reverse : SSH, SFTP, Radarr, Sonarr, qbittorrent, nextcloud, bitwarden, prowlarr, jellyfin, tautulli, gotify, ... cela te fait autant de possible entrée en cas de failles ! et donc beaucoup de surveillance a faire au niveau mise à jour, ...


Si tu passe par un VPN pour tout sauf imaginons Nextcloud. Cela te fait seulement 2 choses a surveiller ! le serveur VPN, et Nextcloud !
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas