CÉDRIC / SYS – mode d’emploi SSH / VPN

Configurer le VPN

Tout est décrit ici (ou bien: Infrastructure réseau -> Accès distant -> Installer le client VPN CNAM). Les infos ci-dessous sont juste un résumé.

Il faut installer l’outil globalprotect. Attention certaines versions de globalprotect ne fonctionnent pas. Il vaut mieux se cantonner aux versions proposées au téléchargement par la DSI (lien ci-dessus).

Alternative au VPN

Les alternatives ci-dessous sont décrites sur la même page que celle du VPN (voir lien ci-dessus).

Passerelle RDP

Certains services web sont accessibles sans VPN via le “portail VPN”.

passerrelle SSH

On peut utiliser ssh pour se connecter mais il faut faire la demande auprès de la DSI et donner vers quelle(s) machine on veut rebondir depuis la passerelle gw-ssh.cnam.fr. La marche à suivre (mail à la DSI) est décrite sur le site de la DSI (cf lien ci-dessus).

Très pratique pour monter des disques avec sshfs et/ou se connecter à un serveur interne.

Marche à suivre: une fois que le mail a été envoyé à la DSI et que la DSI a fait le nécessaire On peut mettre ce genre de chose dans son .ssh/config (remplacez <monloginVirtualia> par votre login, et serveur par le nom du serveur à accéder):

Host gw-ssh.cnam.fr
  User <monloginVirtualia>
  IdentityFile ~/.ssh/id_rsa_3072
  AddKeysToAgent yes

Host serveur
  Hostname serveur
  IdentityFile ~/.ssh/id_rsa_3072
  ForwardAgent yes
  AddKeysToAgent yes
  ProxyJump gw-ssh.cnam.fr
  User <monloginVirtualia>
  Port 22

Ensuite, exemples:

ssh serveur pour se connecter au serveur.
sshfs -o ServerAliveInterval=15 courtiep@serveur:public_html ~/public_html

pour monter un répertoire du serveur sur un répertoire local chez vous (ici le répertoire public_html.

Proxy via ssh pour pouvoir se connecter aux sites web internes du cnam

Méthode alternative sous linux (et probablement macos) uniqement pour pouvoir se connecter aux sites web internes du cnam:

Dans un terminal faire

ssh -D 9999 loginVirtualia@vlad.cnam.fr

puis configurer le proxy de votre système avec les données suivantes:

Réglage manuel
HTTP proxy: port: 8080
Socks Host: 127.0.0.1, port 9999

Eduroam au CNAM

Instructions ici.

Attention: certains OS nécessitent d’installer un certificat, et celui-ci ne marche pas toujours (sous ubuntu ça ne semble pas marcher par exemple). Dans ce cas il y a un autre certificat à essayer an bas de la page ci-dessus.

Attention problème sous linux notamment (référence).

Résimé: incompatibilité entre Openssl , ssl3 et eduroam. J’ai utilisé avec succès la méthode appelée “old method” consistant à éditer le fichier

/etc/NetworkManager/system-connections/YOUR_NETWORK_NAME.nmconnection

et d’ajouter ceci dans la section [802-1x]:

phase1-auth-flags=32

puis redémarrer les services:

sudo systemctl restart NetworkManager.service
sudo systemctl restart wpa_supplicant.service