The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Не могу подключиться с Ubuntu 20.04 по SSH к Cisco 2960"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / Другая система)
Изначальное сообщение [ Отслеживать ]

"Не могу подключиться с Ubuntu 20.04 по SSH к Cisco 2960"  +/
Сообщение от MihailKirillov (ok), 22-Мрт-22, 10:47 
Не могу подключиться к Cisco 2960 с Ubuntu 20.04 по SSH.
Когда только настраивал всё работало, но на следующий день перестало, не могу понять почему, знаний в Linux маловато.
На Cisco создан локальный пользователь и настроил SSH следующим образом:
!
service password-encryption
!
ip domain-name adm.local.ru
!
ip ssh version 2
crypto key generate rsa (указал 1024 бит)
!
line vty 0 4
exec-timeout 20 0
privilege level 15
logging synchronous
transport input telnet ssh
line vty 5 15
!
При такой настройке запрос на подключение с Ubuntu начал  выдавать:
Unable to negotiate with 10.63.192.2 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1
Гугление привело к тому что вроде как нужно в файл /home/user/.ssh/config прописать следующие ключи:
Host 10.63.192.2
     KexAlgorithms +diffie-hellman-group1-sha1
     Ciphers aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
И подключение заработало, но через пару дней всё перестало работать, точнее как, если я пробую подключиться ещё раз
ssh 10.63.192.2
то запрос просто висит какое-то время и затем обрывается с ответом
user@SRV-01:~$ ssh 10.63.192.2
Connection closed by 10.63.192.2 port 22

Но если на Cisco в это время посмотреть show ssh, то в ответ получаю:
001-S0#sh ssh
Connection      Version Encryption      State                   Username
0               0.0        -            Open                    -
%No SSHv2 server connections running.

если запускаю ssh -v 10.63.192.2
user@SRV-01:~$ ssh -v 10.63.192.2
OpenSSH_8.2p1 Ubuntu-4ubuntu0.4, OpenSSL 1.1.1f  31 Mar 2020
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug1: Connecting to 10.63.192.2 [10.63.192.2] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: identity file /home/user/.ssh/id_dsa-cert type -1
debug1: identity file /home/user/.ssh/id_ecdsa type -1
debug1: identity file /home/user/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/user/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/user/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/user/.ssh/id_ed25519 type -1
debug1: identity file /home/user/.ssh/id_ed25519-cert type -1
debug1: identity file /home/user/.ssh/id_ed25519_sk type -1
debug1: identity file /home/user/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/user/.ssh/id_xmss type -1
debug1: identity file /home/user/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.4
debug1: Remote protocol version 2.0, remote software version Cisco-1.25
debug1: match: Cisco-1.25 pat Cisco-1.* compat 0x60000000
debug1: Authenticating to 10.63.192.2:22 as 'user'
debug1: SSH2_MSG_KEXINIT sent
Connection closed by 10.63.192.2 port 22

Причём с терминального сервера на Windows 2012 подключение к той же Cisco, работает нормально.
Не подскажите что возможно в этой ситуации посмотреть чтобы выявить причину отсутствия подключения?


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Feel (??), 22-Мрт-22, 14:33   +1 +/
crypto key generate rsa (указал 1024 бит)
это для чего? это авторизация по ключам.

line vty 0 4
добавь login authentication local

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3

2. Сообщение от Feel (??), 22-Мрт-22, 14:36   +/
ip ssh server authenticate user password

line vty 0 4
login local
или так

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

3. Сообщение от MihailKirillov (ok), 22-Мрт-22, 14:38   +/
> crypto key generate rsa (указал 1024 бит)
> это для чего? это авторизация по ключам.

Так в инструкции было www.dmosk.ru/instruktions.php?object=cisco-ssh

> line vty 0 4
> добавь login authentication local

выдаёт ошибку
AAA: Warning authentication list "local" is not defined for LOGIN.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #5, #6

4. Сообщение от MihailKirillov (ok), 22-Мрт-22, 14:43   +/
> ip ssh server authenticate user password

На cisco нет такой команды
001-S0(config)#ip ssh ?
  authentication-retries  Specify number of authentication retries
  dscp                    IP DSCP value for SSH traffic
  logging                 Configure logging for SSH
  precedence              IP Precedence value for SSH traffic
  source-interface        Specify interface for source address in SSH connections
  time-out                Specify SSH time-out interval
  version                 Specify protocol version supported


> line vty 0 4
> login local
> или так

То же нет такой команды
001-S0(config-line)#login ?
  authentication  Authentication parameters.

001-S0(config-line)#login authentication ?
  WORD     Use an authentication list with this name.
  default  Use the default authentication list.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от Andrey (??), 22-Мрт-22, 21:27   +1 +/
>> line vty 0 4
>> добавь login authentication local
> выдаёт ошибку
> AAA: Warning authentication list "local" is not defined for LOGIN.

Cisco сообщает что нет установленного листа по какому алгоритму аутентифицировать пользователя.
Вы создали модель AAA, привязали модель к VTY. Но напрочь забыли создать лист аутентификации с именем local.
Создайте модель аутентификации полностью, потом привязывайте ее к vty или console.

Подробнее в разделах Configuring AAA.
Сайт Cisco работает круглосуточно. Информации там полно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

6. Сообщение от NetEye (ok), 24-Мрт-22, 15:18   +1 +/
conf t
aaa new-model
aaa authentication login default local
aaa session-id common
!
ip access-list standard SSH
permit a.b.c.d
permit d.e.f.g
!
line con 0
exec-timeout 0 0
speed 115200
line vty 0 4
access-class SSH in
exec-timeout 0 0
password 7 <HASH>
transport preferred none
transport input telnet ssh
transport output telnet ssh
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7

7. Сообщение от MihailKirillov (ok), 24-Мрт-22, 15:26   +/
>[оверквотинг удален]
> line con 0
>  exec-timeout 0 0
>  speed 115200
> line vty 0 4
>  access-class SSH in
>  exec-timeout 0 0
>  password 7 <HASH>
>  transport preferred none
>  transport input telnet ssh
>  transport output telnet ssh

Спасибо большое!!!
Вопрос решён, после 3 дней долбёжки, выяснилось что проблему мне подкинули ИБшники удалившие маршрут на головном роутере, в результате чего запрос с сервера Ubuntu доходил на Cisco а в обратку просто не приходил вот и всё. Капец, меня чуть части ЗП не лишили из-за этой херни ))))
Ещё раз ребят, спасибо всем кто помог!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от Криптоханыга (?), 26-Мрт-22, 11:04   +/
> выяснилось что проблему мне подкинули ИБшники

Эти парни вообще редкостные вредители. То маршрут, по их мнению лишний, грохнут, то порт закроют "подозрительный", то скрипт "лишний" удалят. Особенно та их часть, что пришла в ИБ не из И, а из Б.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #9

9. Сообщение от MihailKirillov (ok), 26-Мрт-22, 11:09   +/
ОООО дааа, (не из И, а из Б) прям в самую точку )))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру