Accès console à distance au routeur/switch, via Raspberry pi.

Disons-le, la configuration de pare-feu est un art maitrisé par pas beaucoup et tolère difficilement les erreurs. Combien peuvent clamer haut et fort n’avoir jamais été verrouillé hors de leur système ?

Les routeurs administrables à distance résolvent en partie cette problématique en permettant aux administrateurs plusieurs modes de connexion : ssh, webmin et winbox sur Mikrotik, ftp, etc. Cependant, il suffit d’avoir mis à jour son réseau LAN ou de tester du VLAN pour tout à coup se faire rejeter méchamment par tous les services du routeur. Dans ces cas-là, les deux options sont un reset physique et intégral du routeur, ou tenter de réparer son erreur en se branchant physiquement au port de console, en RJ45, USB ou port en Série (Serial Port).

Le problème d’un accès physique au routeur est de devoir se déplacer, dans une pièce sombre, souvent froide et encore plus souvent, en plein milieu de la nuit. Afin de palier ce problème, nous mettons en place la console à distance du pauvre, à l’aide d’un raspberry pi et d’un cable de console. Le résumé des étapes est le suivant :

  • Installer raspbian et activer le serveur ssh, la wifi,
  • Brancher le raspbian avec le cable console sur le routeur,
  • Se connecter sur le raspbian, et trouver le port en série utilisé,
  • Se connecter grâce à « screen » sur le routeur et se logguer.

Etape 1 : Préparation du Raspberry pi

Nous allons formater et installer Raspbian minimal sur notre Raspberry Pi. Il existe un « imager » qui permet de configurer tout ce dont on aurait besoin afin de lancer le Pi en un tour de main. Le logiciel se trouve ici dans plusieurs moutures MAC, Ubuntu, Windows. Nous allons utiliser Windows pour formater la carte SD et tout paramétrer.

raspi imager

Vous pouvez certainement installer Raspberry Pi OS (32-bit) qui vous donnera le desktop et tout le tintouin. Mais nous allons essayer de garder l’image aussi petite que possible, car l’idée, c’est d’avoir un accès de secours, peu utilisé et de préférence économe en énergie.

Il est aussi possible d’installer la version 64-bit, mais sur mon Pi 3, ça a immédiatement buggé lors de la première session ssh.

Sélectionnez « Raspberry Pi OS (autres), ensuite « Raspberry Pi OS Lite (32-bit)

On sélectionne la carte SD qui va bien en on passe au paramétrage de l’image en cliquant sur la petite roue crantée en bas de la fenêtre.

Ouverture du menu avancé

On va déjà donner un nom à l’hote (notre Pi) et ensuite activer SSH, ainsi que donner un login et son mot de passe.

Rajout du nom, activation SSH, rajout login/mot de passe

Même s’il est possible de rajouter une clé ssh pour s’y connecter, je recommande de laisser cette étape une fois la première connexion par login/mdp standard effectué, car l’activation du « Allow public-key » déactive complètement d’autres types de connexion.

En scrollant plus bas, nous pouvons configurer la wifi du Pi avec le SSID de chez vous (attention à utiliser le SSID utilisable par la Pi, c’est-à-dire, si c’est un Pi 3, il ne pourra se connecter qu’aux réseaux en 2.4 GHz).

Rajout de la Wifi

Attention, si vous sauvegardez ces paramètre dans Imager et que vous l’ouvrez à nouveau, les mots de passe seront hashés, et il faudra les renseigner à nouveau.

Vérifiez aussi la disposition clavier utilisée et corrigez s’il le faut.

Disposition du clavier

Ensuite, on sauvegarde pour la session et on lance l’écriture sur la carte SD.

Étape 2 : Allumage et connexion SSH, branchement sur routeur

Suite à l’allumage du Pi, si tout a été bien configuré, le système devrait booter, lancer le service ssh et se connecter au réseau Wifi spécifié. On peut surveiller la connexion en observant sur son routeur si le nom d’hôte apparait.

Notre hôte (Pi) apparait sur le routeur après obtention d’une adresse IP

Après avoir récupéré l’adresse IP du routeur, on se connecte par SSH au Pi.

Pi connecté à la Wifi et SSH fonctionnel

Il ne reste plus qu’à brancher son câble console sur le Pi et l’autre bout, sur le routeur. Dans notre cas, nous avons un câble Serial vers USB.

Branchement du câble console au routeur
Branchement du câble au Pi

Étape 3 : Connexion à distance au routeur

Une fois le Pi branché, on peut l’allumer et s’y connecter à distance.

Nous allons maintenant trouver le port en série utilisé par le Pi afin de s’y connecter. Cela se fait en filtrant les messages, à la recherche des mots « tty » comme ceci :

dmesg | grep tty
Recherche du port Serial

Dans mon cas, le port en série est reconnu comme un utilisant l’USB, car mon câble console est de type USB <-> Série. Donc, la dernière ligne affiche « ttyUSB0 ».

Des câbles purement en Série Port vont plutôt afficher ttyS0.

Afin de se connecter, on va installer le paquet « Screen » qui émule une console, comme suit :

sudo apt install screen

Ensuite, on se connecte au routeur en tapant :

sudo screen /dev/ttyUSB0 115200

115200 fait référence au taux de transfert entre votre ordinateur et le routeur (baud rate), nous renvoyant au temps des modems analogiques. Dans mon cas, le routeur accepte 115200, mais dans d’autres, c’est plutôt 9600 ou ce que vous avez configuré dans le routeur pour la console.

Connexion au routeur via SSH

En voilà. On est connecté au routeur, à distance et via un Raspberry Pi.

Il suffira de déactiver le pare-feu temporairement afin de retrouver un accès direct aux services qui nous ont été bloqués.

Même s’il est envisageable de conserver le Pi branché au port console du routeur, ce n’est pas une pratique très sécuritaire, car nous venons en effet de convertir un accès physique, à un accès à distance et attaquable par la wifi. Cependant, on peut éteindre le Pi, conserver la carte SD, et l’utiliser pour rapidement retrouver une connexion de secours, au pied levé.

Bonne bidouille !

0 0 votes
Article Rating
S’abonner
Notification pour
guest

1 Commentaire
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires

[…] si vous avez suivi le tuto de comment se connecter à la console d’un routeur via un Rpi, à distance, vous pourrez simplement connecter votre câble console au routeur et au Rpi pour […]

1
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x