Le sas SSH n'est là que pour rebondir vers le réseau interne, ce n'est ni un serveur de stockage, ni un serveur de travail. Face aux dérives passées concernant le premier point et l'utilisation comme espace de stockage tampon (sans nettoyage), les “home directory” sont quotidiennement vidés, à l'exception des fichiers ssh (id_*, authorized_keys, config).
Les clients SSH moderne (>=7.3) offre la possibilité de faire un ProxyJump directement via l'option -J des clients ssh (fonctionne sous MacOS, Windows et Linux)
ssh -J username@sas.math.univ-paris-diderot.fr username@remote_server
rsync -a -e "ssh -J username@sas.math.univ-paris-diderot.fr" /path/to/local/file username@remote_server:/path/to/remote/file
scp -o ProxyJump=username@sas.math.univ-paris-diderot.fr /path/to/local/file username@remote_server:/path/to/remote/file
sftp -o ProxyJump=username@sas.math.univ-paris-diderot.fr username@remote_server
Les tunnels ssh permettent de rebondir sur le réseau local en créant un tunnel entre 2 machines.
2 étapes :
ssh -N -L local_port:remote_server_addr:remote_server_port username@sas.math.univ-paris-diderot.fr
ssh -N -L 22222:un-serveur.domain.tld:22 username@sas.math.univ-paris-diderot.fr ssh -p 22222 username@localhost
ssh -N -L8443:www.google.fr:443 username@sas.math.univ-paris-diderot.fr curl -k https://localhost:8443
La connexion par openvpn permet aussi d'accéder aux revues en ligne (Jstor, Le Monde, …) en bénéficiant des abonnements « Université Paris 7 - Denis Diderot ».
Puis dans tous les cas:
Pour utiliser cette connexion pour les revues il faut rajouter la ligne:
redirect-gateway def1
dans le fichier sg.ovpn.
openvpn
.root
ou avec sudo
) : openvpn --config /etc/openvpn/sg.ovpn
.
La commande /sbin/ifconfig
fait apparaître une nouvelle entrée (tun…
). La commande netstat -rn
(ou /netstat -ra
) permet de vérifier quelles sont les routes ajoutées. La route par défaut n'est pas modifiée. Les machines du réseau privé sont accessibles par leur IP ou CNAME (alias).
Pour modifier la route par défaut
openvpn --config /etc/openvpn/sg.ovpn --redirect-gateway
(attention, toutes les connexions sont alors redirigées via sas.math.univ-paris-diderot.fr
, la passerelle du bâtiment Sophie Germain ! Si vous utilisez cette option, mieux vaut interrompre la connexion openvpn dès que vous ne l'utilisez plus).
Pour en savoir plus man openvpn
.
La connexion nouvellement configurée apparait dans le menu de network-manager. Quand la connexion est établie, un cadenas s'ajoute à l'icône de network-manager, l'info-bulle affiche que la connexion est active, /sbin/ifconfig
fait apparaître une nouvelle interface (tunnel).
Sur les configurations testées à ce jour la route par défaut est modifiée : toutes les connexions distantes passent par la passerelle sas.math.univ-paris-diderot.fr
(vérification par netstat -rn
ou netstat -ra
). Mieux vaut donc déconnecter le vpn dès qu'il n'est pas nécessaire de l'utiliser.