[Résolu] [SSH] : connexion impossible : après investigation problème de résolution dns

Mon serveur YunoHost

Matériel: Odroid N2.
Version de YunoHost: 4.1.4.4 (stable)
J’ai accès à mon serveur : En direct avec un clavier/écran / SSH
Êtes-vous dans un contexte particulier ou avez-vous effectué des modifications particulières sur votre instance ? : non

Bonjour,

Alors que depuis chez moi j’accède en SSH à mes deux serveurs yuno (avec paire de clef, pas de login root autorisé et Password authentication et Usepam indiqué en no dans sshd_config) ; depuis l’extérieur avec un autre ordi je n’arrive pas à acceder à l’un des deux (pour l’autre c’est OK).

l’output de la commande ssh -p n°port utilisateur(autorisé comme Allowusers dans sshd_config)@domaine.nohost.me est :
ssh: connect to host domaine.nohost.me port n°xxxxxxx : connection timed out

Pas de problème du côté des journaux de fail2ban à mon sens mais par contre concernant les journaux SSH, pour /var/log/auth.log :
toutes les deux minutes j’ai :
Jan 14 12:56:01 domaine CRON[12216]: pam_unix(cron:session): session opened for user root by (uid=0)
Jan 14 12:56:01 domaine CRON[12216]: pam_unix(cron:session): session closed for user root

Avez-vous des pistes ?

Merci beaucoup pour votre aide

Salut,

As-tu bien configuré la redirection de port sur ta box ? Quant à tes logs, rien d’inquiétant a priori, il s’agit des tâches cron. Il s’agit de tâches qui sont effectuées à intervalle régulier généralement à des fins d’administration et d’entretien du serveur. Après, ça peut valoir le coup de vérifier que les tâches cron sont bien toutes légitimes si tu penses que ton serveur a pu être compromis.

Bonjour Typhlos,

merci pour ta réponse.
Le port concerné pour ce serveur est bien ouvert en TCP et UDP sur le routeur (la freebox est en DMZ) et sur la webadmin yuno.

Sur la tache Cron, OK je note que c’est pas là qu’il faut chercher.

le auth.log SSH m’indique aussi toute les 10 minutes :
slapd: DIGEST-MD5 common mech free

(Le cron toutes les deux minutes corresponds au cron qui regarde si il y a besoin de mettre à jour l’IP pointée par ton domaine en nohost.me )

1 Like

C’est noté Aleks. Merci.

D’autres points de contrôles éventuels pour un connection timed out ?

EDIT : dans le log de slapd j’ai un :
jan 14 15:15:01 slapd[17717]: slap_global_control: unrecognized control: 1.3.6.1.4.1.4203.666.5.16

Est-ce que ça a un rapport ?

Peux-tu poster ta configuration ssh ? Soit il s’agit d’une mauvaise configuration, soit l’ip de ton autre pc a été bannis sur ton serveur par fail2ban. Tu peux essayer de vérifier cette hypothèse et enlever ton ip de fail2ban le cas échéant.

Quant à slapd, je ne vois pas de rapport avec ton problème de ssh à ma connaissance.

Re-hello Typhlos,

à mon sens on peut éliminer l’option fail2ban => rien dans les log hastebin

je suis pas chez moi mais la config sshd me parait pas être un problème car hier (chez moi) ça marchait et même config sur l’autre serveur auquel j’accède.

Enfin un truc important, sur le PC qui ne se connecte pas en SSH, j’ai accès à la webadmin mais uniquement avec l’adresse IP et pas avec le nom de domaine (je n’ai donc pas accès aussi au SSO).
Je précise que j’ai à côté de moi un autre ordi qui lui se connecte très bien au nom de domaine (mais je peux pas faire le test SSH sur celui là car il n’a pas les clefs et c’est le seul accès configuré en SSH) (je suis au bureau avec un PC perso avec les clef SSH et un PC pro sans les clefs).

C’est assez intéressant, ça me fait penser qu’il y aurait un problème de dns sur le pc depuis lequel tu essaies de te connecter et qu’il n’arrive pas à faire la résolution dns de ton domaine. Il faudrait que tu essayes de te connecter depuis un autre pc pour confirmer cela.

Tu peux transférer les cléfs SSH de ton pc perso vers ton pc pro. C’est clairement pas génial comme pratique mais ça se fait si tu veux tester ça rapidement sans attendre d’ajouter les clefs de ton pc pro sur ton serveur.

Je me connecte depuis mon pc pro au nom de domaine sans problème (interface SSO…etc.).

avant même de faire ça j’aimerai comprendre pourquoi sur l’un j’arrive à me connecter au SSO (nom de domaine nohost.me) et sur l’autre non…mais là je sèche :slight_smile:

C’est ce que j’expliquais, je pense qu’il y a un soucis de résolution dns sur le pc où tu n’arrives pas à te connecter au SSO. Et du coup, quand tu fais ssh user@tondomaine.nohost.me, il ne va pas réussir à se connecter parce qu’il n’arrive pas à faire la résolution dns. Je pense que si tu essaies de te connecter en ssh avec l’ip directement, ça devrait marcher.

Ton pc est sous quel OS?

Bien vu Typhlos ça marche en effet

Le PC pro où la résolution DNS se fait windows
Le PC perso Debian

Ouvre un terminal sur ton pc perso et essaie de faire un nslookup tondomaine.nohost.me afin de voir ce qu’il te répond.

Non-authoritative answer :
Name : mon domaine.nohost.me
Adress : l’IP public de mon serveur

C’est étrange que la résolution dns se fasse ici mais pas dans ton navigateur ou quand tu veux te connecter en ssh. Tu as modifié quelque chose dans ta configuration dns sur ton pc perso?

Non je crois pas. As-tu un moyen de checker ?

Normalement ça devrait être la configuration standard je pense. Tu peux toujours poster le contenu de ton /etc/resolv.conf pour que je te confirme ça. Tu peux aussi essayer de vider le cache dns de ton pc puis de redémarrer ton résolveur dns.

nameserver 10.64.0.1
nameserver fc00:bbbb:bbbb:bb01::1

J’ai vidé le cache de firefox car je vois pas d’autre commande pour faire ça.

Est-ce que tu peux m’indiquer stp comment faire ça ?

Merci.
J’ai vidé le cache DNS mais ça ne change rien :frowning:
EDIT : Et par contre j’ai accès à des sous-domaines WTF ??? :slight_smile: mais pas au domaine sauf en local

C’est vraiment bizarre :confused:

On peut faire un fix en mettant dans /etc/hosts la ligne suivante :

ip_publique_de_ton_serveur tondomaine.yunohost.me

En gros, ça va permettre de passer outre la résolution dns en spécifiant directement l’adresse ip correspondant au nom de domaine. L’inconvénient c’est que si tu as une ip dynamique, il faudra que tu mettes à jour régulièrement le fichier /etc/hosts. Pour régler ça de manière définitive, je sèche par contre. Essaie peut-être de demander sur des forums debian, il y aura peut-être des personnes plus à même de t’aider