Bonjour,  
J'aimerai faire profiter un amis de ma connexion free dégroupée. Il se trouve que cette personne dispose d'une connexion très rapide ( RENATER ) mais qui est derrière un proxy/firewall très restrictif. Il ne peut utiliser que son port 80 pour toutes les connexions entrantes et sortantes. (443 pour du ssl surement )  
J'aimerai donc lui faire office de FAI avec sa connexion http. Pour cela, j'ai pensé a crée un vpn entre nos deux pc sur le port 80. Il va se connecter avec son ip sur le serverur vpn et par conséquent se verra attribuer une ip privée. Ensuite il faut modifier sa table de routage avec un script qui fait en sorte que tout traffic entrant/sortant de l'interface réseau locale ( de sa connexion RENATER ) soit redirigé vers l'interface virtuelle créée par le vpn. De l'autre coté, il faut que tout trafic entrant sur l'interface du vpn soit redirigé vers la freebox pour exécuter la requette demandée et lui envoyé ensuite sur le vpn le résultat.  
Conclusion : Mon pot veut se connecter en TCP sur le port 6699 :  
 
                                          [ requette 10.1.1.2:6699 en TCP ]  
son_ip_publique-->client_vpn  ======================== > serveur_vpn-->ip_publique_freebox  
201.x.x.x              10.1.1.2                                                    10.1.1.1          81.x.x.x  
 
                                                  [ résultat de la requette 10.1.1.1:80 ]  
Interface locale<--Interface virtuelle  <========================  serveur_vpn<--ip_publique_freebox  
201.x.x.x              10.1.1.2                                                               10.1.1.1          81.x.x.x  
 
 
 
Mes questions sont les suivantes :  
- Ce schémas est il réalisable ?  
- Si oui, est ce que OpenVpn conviendrai-il comme client/serveur vpn  
- Comment faire en sorte que le serveur vpn transmette la requête demandée à la freebox, récupérer le résultat et le renvoyer à mon pot  
 
 
Je suis bien sur ouvert à toute autre alternative. Je vous remercie donc de votre lecture pour ceux qui sauront réponde pour leur savoir faire

Les admins des fac sont pas fous, rien passera, les entêtes sont filtrées et donc si c'est pour faire un truc qui est pas autorisé ça va être dur, très dur
 
Et le VPN sortira même pas s'ils l'ont pas autorisé
 
En gros pas de trafic illégal depuis une fac avec un admin non corrompu
 
PS: idem si c'est sur un APHP ou autre cern ou inserm
 
Historiquement internet vient d'eux, faut pas penser que tu les entuberas comme ça  
 
L'analyse de trame tu connais?? Du https qui passe sur un port 80 ça sort pas alors un port exotique tu te fourres le doigt DTC

Il existe des softs pour genre directement ce que tu veux de façon beaucoup plus simple, comme le couple httport/htthost.
 
Mais c'est pas dit que ça passe si les admins de son réseau font bien leur travail, et de toutes façons faut bien être conscient qu'a plus ou moins long terme ton pote VA se faire gauler, c'est inévitable, et ce jour la tout ce qu'il va gagner c'est au minimum qu'il n'aura plus de connexion au net du tout.

oui effectivement sur la couche IP est indiqué le type de la trame par un flag  
 
il faut donc que quand tu veux faire passer qu'il y ait ce flag sinon il sera bloquer ...
 
pour ce faire, tu as je crois httptunneling dans lequel tu peux mettre n'importe quoi ...
 
le plus simple dans ton cas, ca serais par exemple du ftp. tu créé une connexion http entre ton poste et celui de ton pote et tu utilise ce tunnel pour faire passer du ftp. Il s'installe un client et toi un serveur et zou ....
 
Par contre, je pense que tu peux voire ce qu'il y a dans une trame qui a été tunnelisé par httptunneling. Il faudra donc le sécurisé et faire par exemple du "ftp over ssh over httptunneling" (corrigé moi si je me trompe de sens avec les over)
 
Donc :
toi <-> ftp <-> ssh <-> httptunneling <-> Internet <-> httptunneling <-> ssh <-> ftp <-> ton pote

C est sur qu il doit y avoir un proxy, donc comme dit plus haut il filtre les trames.
Donc si ds la trameil y a  un get ou post ca passe, sinon ca passe pas :\ , stout a mon avis tu peux rien s ils n ont pas envie ...  

avec httptunneling justement si il fait passer une trame http avec le bon flag

Ca peut encore se detecter hein, des connexions http tres longues vers une IP dans le pool client d'un FAI c'est quand même un tout petit peu suspect...

euhhh, tu veux dire que cela se remarquerait sur le proxy de l'université la connexion http tres longue ?
nop ?

Merci pour vos réponses,
Si je désire créer un vpn entre nous deuxn c'est justement pour chiffer les trames encapsuler dans l'http. Avec Openvpn, c'est du TLS qui sera chargé de faire ce travail. De plus, j'ai bien préciser que je voulé tout faire passer par le port 80. Aujourd'hui, mon pot DL tout ce qu'il veut grace a mon serveur apache, mais il me demande avant ce qu'il ve, et je lui place ca dans le dossier www. Il ve mainteant un peu d'autonomie jouer en réseau par example etc...
leflos5 me disait que les entetes sont filtrées. Oui, biensur, tout est filtré par le proxy, mais si c'est de l'udp du vpn chiffré avec du TLS, encapsulé dans l'http, je vois mal comment le proxy pourrait rejeter les trames. Le GET/POST peut etre une raison valable, mais quant on surf sur le net, on ne fait pas que du GET/POST.
Aussi, le temps de connexion peut etre suspecté, mais je vous dis, il télécharge de chez moi des fichiers de plusieurs GIG tout le temps, et ca na jamais posé de problem.

 
Le copain de brethold n'est certainement pas le 1er a vouloir jouer au plus malin avec la connexion de sa fac, et il doit quand même y avoir des gens un minimum compétents et des systèmes un minimum bien configuré pour parer à ce genre de situation.
Parce que c'est bien gentil, mais ce genre de chose c'est pas juste un systeme anti-censure et anti-admins fachos, ça peut avoir de tres grosses implications en terme de sécurité ou au niveau légal.

 
J'imagine bien le ping  

Jouer en réseau pour ne pas citer autre chose

Ce que tu cherche c'est proxytunnel. http://proxytunnel.sourceforge.net/
Avec ça tu peux te connecter directement a nimporte quel ordi par ssh de derriere un proxy qui utilise https, donc en général tous les proxys.
Sauf si il authorise que les connections sortantes https vers le port 443, dans cas il faut faire écouter ton serveur ssh sur le port 443.
 
C'est quasiment indetectable.
La seul chose c'est qu'il y a une deconnection apres un certain temps de idle, et ssh a parfois une options "keep alive".
Bref ça marchait impec pour moi, et un pote aussi à testé depuis sa boite.

 
Je pense que le seul moyen d'empecher la technique du proxytunnel par https c'est de suprimer https
 
Quand j'etais à la fac j'y avais pas pensé, dommage, mais je me suis ratrapé ailleurs  

Merci ilaglisser, je ne conaissais pas cet outil. Vais donc me documenté
La technique du vpn reste comeme plus artistique !!

 
Bah rien n'empeche de faire passer ton vpn par le tunnel ssh, c'est d'ailleurs recommandé de le faire
Je l'ai fait
Y a moyen de n'utiliser que TCP pour le tunnel et pas UDP.
Par contre il faut utiliser les clef ssh pour pas qu'il demande de password    
 
Imparable
 
Oui il existe une faille de sécurité énorme dans tous les proxy, et c'est https. Ironique non ?  

et oui, rien n'est parfait !!  
Si j'ai bien compris, avec proxytunnel il pourra se connecter sur mon pc mais c'est tout. Cependant, je ve que cette connection joue le role d'un FAI. C'est à dire, une fois connecté, il se voit attribué des resources lui permettant d'utiliser sa connection restrictive d'une maniere completement libre. Le vpn crée une nouvelle interface réseau virtuelle ( tun) qui lui permet de faire ca. Mais avec proxytunnel je vois pas comment pourrait on faire la meme chose.

 
Bloquer automatiquement ce genre de truc est une chose, détecter que quelqu'un est joue au cowboyz en est une autre....
 
A moins d'avoir des admins completement jemenfoutsistes et/ou incompétents, il s'en rendront compte tôt ou tard, ça aussi c'est imparable.
 

 
On peut aussi respecter le reglement de son taf/ecole et le travail des admins hein, c'est pas interdit et ces limitations sont pas juste la pour vous faire chier  
 
Le jour ou vous ferez virer ou mettre a pied de votre boite ou qu'ils vous arrivera des bricoles a la fac faudra pas pleurer...

Salut El Pollo Diablo,
je suis d'accord avec toi, sur le respect des regles communes etc...
Mais dans le cas de mon pot, il a deja une connexion chez lui qu'il paye tout les mois. Il est parti faire un ans dans une autre ville ou il se retrouve avec cette connecion tres resctrictif. Donc deux raisons pour essayer de faire qque chose. La premiere, c'est qu'il paye deja une connexion et la deuxieme, les admins lui donnent une connexion 10 Mbit pour faire du surf sur le net. Il voudrait donc tout simplement en profiter un peu. Et pour finir, je ne pense pas que dans la charte qu'ils lui ont donné, l'utilisation de vpn ou de proxytunnel  soit spécifiée qque part.
 
 

 
Si t'etais pas d'accord, qu'est ce que ce serait
 

 
 
Et alors, c'est le probleme de son école ça ?    
 

 
C'est parfaitement logique, on lui donne gratuitement une connexion web 10Mb, c'est evidemment un droit inaliénable d'en faire absolument de qu'on veut dérrière, on est déjà bien gentil d'accepter d'utiliser leur connexion    
 

 
Sans doute pas en des termes aussi précis, mais je t'assure que le fait de contourner toutes la sécurité de la connexion qui lui est gentilment mise a disposition doit pas être tres recommandé par la charte... Ce que vous voulez faire ne rentre evidemment pas dans le cadre des conditions d'utilisation de cette connexion, ai au moins l'honneteté de le reconnaitre, sinon ta question faut pas la poser ici suffit de demander aux admins de ton pote    
 
C'est en plus profondément égoiste ce genre d'attitude, parce quela derniere chose que voulez c'est que tout le monde fasse la même chose que vous, parce que la la connexion deviendrait rapidement inutilisable et des mesures drastiques serait tres vite prise. Et en plus si vous vous faites chopper, ca amene souvent encore plus de retriction pour tous les utilisateurs...

Dans ma seconde fac y avait acces ssh dans les deux sens.
Ne pas avoir ssh dans ma premiere fac à été plutot lourd qu'autre chose, pour gerer les projets, les oublis d'envois, avant une presentation, ce genre de trucs
 
Sinon je trouve ça éxagéré de parler de charte pour un truc aussi simple que proxytunnel.
Tout ce que ça fait c'est enlever le debut de la reponse lors de la connec sur le port https, et tout le reste ce fait par ssl, sans bidouille de protocole, et sans client ssh traffiqué.
On peut pas vraiment parler de hack.
En fait ça serait vraiment tres simple à intégré à ssh d'office.

 
Avec proxy tunnel il pourra se connecter a nimporte quel pc avec un serveur ssh, sauf si le port sortant authorisé pour ssl est restreint au 443. Dans ce cas il faudra metre le bon port en ecoute sur ton ordi.

 
Y'a des restrictions et diverses mesures de sécurité sur la connexion.
Vos softs permettent de passer totalement outre ces restrictions et toute la sécurité de la connexion.
 
Si vous voyez pas ou est le probleme et ce qu'on pourrait vous repprocher, vous etres soit de tres mauvaise foi, soit franchement idiots    
 
Je répète, ce genre de choses dans plein de sociétés c'est licenciement immédiat pour les coupables, dans une école je vois pas comment ça ne pourrait pas entrainer au minimum une suppression immédiate de tous les privilèges internet de la personne concernée. C'est pas juste une bricole pour montrer qu'on est plus malin, ca peut etre tres lourd de conséquences ce genre de choses, j'en ai été témoin (et acteur) plusieurs fois.

 
Je suis d'accord que faire un VPN c'est plutot trash, vu que ça permet explicitement un acces de l'exterieur vers l'interieur, mais un simple ssh de l'interieur vers l'exterieur bon, c'est pas scandaleux.
 
Pour moi il y a probleme si tu permets un acces de l'exterieur.
 
Les restrictions authorisent un acces par https, ssh utilise ssl, je vois pas ou est le probleme
 

 
Si ça l'est, ça bypasse quand même quasiment une bonne partie des restrictions et sécurité de la connexion, perso si je tombe sur un user qui s'amuse à ça je vais pas faire beaucoup de différence avec un VPN, et tu ne devrais pas esperer une seule seconde plus de clémence des admins réseau ou tu as ça en place.

 
C'est comme quelqu'un qui se plain de s'être fait cambrioler et qu'on prouve que la porte n'etait pas fermée a clef.
 
Là, la porte est ouverte.
 
 
 

si le gars laisse sa porte ouverte, ca me donnerais encore moins envie de le combrioler.  
 
Il me fais confiance, je n'ai surtout pas envie de trahir sa confiance, morallement cela me ferait tres tres mal ...
 
Apres El Pollo D iablo, je suis ok avec toi. Ton pote risque bcp pour si peu de chose ...
 
Cela dit mis à part ce point, cela peut etre sympa de savoir comment bypasser techniquement ....
 
ilaglisser, tu as dit : "ssh utilise ssl", ca j'en suis moins sur. ssh est completement à part. La principal grosse différence, c'est qu'avec le ssl un simple navigateur suffit alors qu'avec ssh il te faut un client ssh...

SSH utilise SSL ( Secure Socket Layer) ssh est un protocole tt comme http, l https c est de l http avec des socket SSL

 
Super mentalité, vraiment.

Moi, ce qui me fait halluciner, c'est que ce topic soit encore vivant

Oula oula, je vois qu'on est perdu dans notre  topic. Au début je voulais un conseil d'une personne experimentée sur un sujet technique. Maintenant, je vois qu'on est parti sur des questions d'ethique et de principes. Pesonelmenent, et comme je l'ai deja dis, je suis d'accord avec El Pollo Diablo, mon pot a deja le privilege d'avoir une connexion de qualité mais qui permet juste de surfer sur le net. Mais comme il aimerai des fois controler sa machine à distance avec sa connexion actuelle ou autre chose, je lui ai proposé ce workaround en ésperant avoir raison. Je ne pense pas serieusement, que les admins refusent le fait que mon pot se conecte que son serveur vnc avec sa conexion, ou sur le serveur web de sa mule etc .... Il fait de la config a disantce de sa machine, il ne veut utiliser aucun protocole peer to peer ou tenter de pirater le réseau qui lui ai mis a sa disposition. Donc, revenant a l'essentiel, qui est la réalisation technique de ce mini projet si on pe dire. Pour finir, j'aimerai juste dire a wolfman que je ne comprend pas pourquoi est ce que ce sujet devrai etre supprimé. Il a interessé beaucoups de gens, et dans qque réponse, il ya des gars qui ont cité des solutions qui peuvent plus tard servir à kk1 dans sa recherche.
Merci et bon weekend !!
 
 

 
Alors pourquoi tu utilises une méthode permettant de contourner les connexions en place et exposant le réseau de l'ecole de ton pote a des risques que les admins s'éforcent de limiter par ailleurs plutot que de demander aux admins d'autoriser directement ça ?    
 

 
Parce que quoi que tu en penses, ce que tu demande au final c'est une forme de piratage, et que c'est explicitement interdit par les règles de ce forum.
 

 
Et ce topic revient 4 ou 5 fois par mois, avec toujours les mêmes réponses et le même débat idiot  

ok, merci pour l'info je ne savais pas ...
 
il faudra que je revois ca moi ...
 
ce topic est super interessant techniquement ca serait dommage qu'il soit supprimé.

 
Bah attends parle pas non plu comme un admin pour qui le monde vient de s'écrouler suite à cette révélation.
 
A ma fac il y avait eu une attaque sur les switchs et ça mis le réseau a genoux pendant presque une semaine. Ca c'est grave.
 
A mon avis faire du ssh par https, la plupart des admins penseraient même pas que c'est possible.
 
Enfin pour moi le plus grave qu'on puisse faire avec ça c'est de mettre à dispo depuis l'exterieur et pour nimporte qui l'intranet et toutes les machines du parc et des données sensibles.
Ca c'est grave.
Quand à faire son petit VPN tranquilou bon ça au pire on te dirait d'arreter de suite.
 
Bref se faire virer pour ça, personnellement j'y crois pas.  
 
Pour moi l'interet d'un proxy etait d'empecher tout d'abord les acces depuis l'exterieur, mais bon ça un firewall normal le fait, mais surtout d'eviter qu'un troyen puisse se connecter de l'interieur vers l'exterieur.
Mais là force est de reconnaitre que le proxy montre ses limites, d'autant plus qu'on ne peut plu enlever https !

MDR.
Quand on s'interesse à la sécurité et aux accès distants; les tunnels SSL sont un des premiers trucs qu'on voit (tunnels ssh; https et autres...)  
 
Ne les prenez pas pour plus cons qu'ils ne le sont.  

 
Ah ouais, et cette technique du tunnel par https est aussi secrete que le Fight Club ?

lol, je vois que ca continue !! Je ne pensais pas que ca allait lancé un tel débat. Les admins ne sont pas tous cons ilaglisser, mais rare sont ceux qui sont vraiment compétents, car la plus parts sont sous payés. D'ailleur, El Pollo Diablo pourrait nous le confirmer peut etre

Je dis pas qu'ils sont cons, ni même incompétents.
Quand j'ai découvert ce truc sur google j'étais un peu sur le cul.
Bon ok, je suis pas admin réseau mais j'aime bien ça. Je m'interesse pas du tout au hacking ou autre, donc me faire traiter de pirate pour ça je trouve ça un peu déplacé.
J'avais éssayé déjà avec des tunnel http mais ça avait toujours merdé.
 
Comme je disais le principal c'est que le proxy freine les troyens, mais si un troyen utilisant se genre de proxy apparait ça va etre tendu

 
J'ai bien sur attendu que tu viennes sur ce topic pour apprendre l'existence de cette méthode, c'est d'ailleurs pour ça que je parlais d'httport dans mon 1er post    
 

 
Toute remise en question de la sécurité du réseau est grave.
Avec ce genre de methode, tu peux faire rentrer et sortir ce que tu veux du réseau, peut être que pour toi c'est super pratique, pour les admins c'est un peu un cauchemar.
 

 
Mais bien sur, prend tous les admins pour des cons.
Un truc qu'un rigolo comme toi a du trouver en 30 secondes de google c'est evidemment totalement inconnu de la plupart des admins...
 

 
Tu veux pas l'admettre pour te rassurer, mais tout ça c'est du pareil au même.
 

 
Et ben continue a faire ton malin, faudra juste pas t'etonner le jour ou il t'arrivera des bricoles.
 

 
Tu ne sais visiblement pas du tout ce que sont un proxy et un firewall...
 

 
Compromettre d'une façon ou d'une autre un syteme d'information qui ne t'appartient pas = piratage, pas besoin d'aller hacker les serveurs de la CIA pour ça.

 
Tu es hautin là ou c'est moi qui délire ?
 

 
C'est pas la remise en question qui est grave.
Ce qui est grave c'est de mettre en péril le réseau et son contenu.
Faire un tunnel ssh pour son utilisation personnelle ne mettra pas la réseau en péril.
 

 
Il remet ça sur le tapis.
 
ahah gros con.
 
Etant donné que tu persistes à croire que je le pense, voilà, c'est dit spécialement pour toi.  
 

 
Euh ouais super, me rassurer d'exactions que j'aurai comises ?
Vraiment je vais avoir du mal a prendre un ton sérieux.
 

 
Oh oui, fouette moi  
 

 
Si tu comptes t'en servir comme définition du Larousse ça va pas le faire c'est certain.
 

 
Et maintenant tu trouves le moyen de me parler de la CIA, il faut le faire quand même !
 
Manquerai plu que tu parles de Sarkozy  
 
 
Tu es vex qu'on puisse allégrement passer à travers un proxy sans hack et tu viens pourrir ce topic.
T'as qu'a demander à le faire fermer et nous faire bannir.
Ou alors tu viens nous prevenir pour notre bien, mais ça non j'y crois pas.
 
Bonne chasse