Не могу подключиться к Cisco 2960 с Ubuntu 20.04 по SSH.
Когда только настраивал всё работало, но на следующий день перестало, не могу понять почему, знаний в Linux маловато.
На Cisco создан локальный пользователь и настроил SSH следующим образом:
!
service password-encryption
!
ip domain-name adm.local.ru
!
ip ssh version 2
crypto key generate rsa (указал 1024 бит)
!
line vty 0 4
exec-timeout 20 0
privilege level 15
logging synchronous
transport input telnet ssh
line vty 5 15
!
При такой настройке запрос на подключение с Ubuntu начал выдавать:
Unable to negotiate with 10.63.192.2 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1
Гугление привело к тому что вроде как нужно в файл /home/user/.ssh/config прописать следующие ключи:
Host 10.63.192.2
KexAlgorithms +diffie-hellman-group1-sha1
Ciphers aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
И подключение заработало, но через пару дней всё перестало работать, точнее как, если я пробую подключиться ещё раз
ssh 10.63.192.2
то запрос просто висит какое-то время и затем обрывается с ответом
user@SRV-01:~$ ssh 10.63.192.2
Connection closed by 10.63.192.2 port 22Но если на Cisco в это время посмотреть show ssh, то в ответ получаю:
001-S0#sh ssh
Connection Version Encryption State Username
0 0.0 - Open -
%No SSHv2 server connections running.если запускаю ssh -v 10.63.192.2
user@SRV-01:~$ ssh -v 10.63.192.2
OpenSSH_8.2p1 Ubuntu-4ubuntu0.4, OpenSSL 1.1.1f 31 Mar 2020
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug1: Connecting to 10.63.192.2 [10.63.192.2] port 22.
debug1: Connection established.
debug1: identity file /home/user/.ssh/id_rsa type -1
debug1: identity file /home/user/.ssh/id_rsa-cert type -1
debug1: identity file /home/user/.ssh/id_dsa type -1
debug1: identity file /home/user/.ssh/id_dsa-cert type -1
debug1: identity file /home/user/.ssh/id_ecdsa type -1
debug1: identity file /home/user/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/user/.ssh/id_ecdsa_sk type -1
debug1: identity file /home/user/.ssh/id_ecdsa_sk-cert type -1
debug1: identity file /home/user/.ssh/id_ed25519 type -1
debug1: identity file /home/user/.ssh/id_ed25519-cert type -1
debug1: identity file /home/user/.ssh/id_ed25519_sk type -1
debug1: identity file /home/user/.ssh/id_ed25519_sk-cert type -1
debug1: identity file /home/user/.ssh/id_xmss type -1
debug1: identity file /home/user/.ssh/id_xmss-cert type -1
debug1: Local version string SSH-2.0-OpenSSH_8.2p1 Ubuntu-4ubuntu0.4
debug1: Remote protocol version 2.0, remote software version Cisco-1.25
debug1: match: Cisco-1.25 pat Cisco-1.* compat 0x60000000
debug1: Authenticating to 10.63.192.2:22 as 'user'
debug1: SSH2_MSG_KEXINIT sent
Connection closed by 10.63.192.2 port 22Причём с терминального сервера на Windows 2012 подключение к той же Cisco, работает нормально.
Не подскажите что возможно в этой ситуации посмотреть чтобы выявить причину отсутствия подключения?
crypto key generate rsa (указал 1024 бит)
это для чего? это авторизация по ключам.line vty 0 4
добавь login authentication local
ip ssh server authenticate user passwordline vty 0 4
login local
или так
> ip ssh server authenticate user passwordНа cisco нет такой команды
001-S0(config)#ip ssh ?
authentication-retries Specify number of authentication retries
dscp IP DSCP value for SSH traffic
logging Configure logging for SSH
precedence IP Precedence value for SSH traffic
source-interface Specify interface for source address in SSH connections
time-out Specify SSH time-out interval
version Specify protocol version supported
> line vty 0 4
> login local
> или такТо же нет такой команды
001-S0(config-line)#login ?
authentication Authentication parameters.001-S0(config-line)#login authentication ?
WORD Use an authentication list with this name.
default Use the default authentication list.
> crypto key generate rsa (указал 1024 бит)
> это для чего? это авторизация по ключам.Так в инструкции было www.dmosk.ru/instruktions.php?object=cisco-ssh
> line vty 0 4
> добавь login authentication localвыдаёт ошибку
AAA: Warning authentication list "local" is not defined for LOGIN.
>> line vty 0 4
>> добавь login authentication local
> выдаёт ошибку
> AAA: Warning authentication list "local" is not defined for LOGIN.Cisco сообщает что нет установленного листа по какому алгоритму аутентифицировать пользователя.
Вы создали модель AAA, привязали модель к VTY. Но напрочь забыли создать лист аутентификации с именем local.
Создайте модель аутентификации полностью, потом привязывайте ее к vty или console.Подробнее в разделах Configuring AAA.
Сайт Cisco работает круглосуточно. Информации там полно.
conf t
aaa new-model
aaa authentication login default local
aaa session-id common
!
ip access-list standard SSH
permit a.b.c.d
permit d.e.f.g
!
line con 0
exec-timeout 0 0
speed 115200
line vty 0 4
access-class SSH in
exec-timeout 0 0
password 7 <HASH>
transport preferred none
transport input telnet ssh
transport output telnet ssh
>[оверквотинг удален]
> line con 0
> exec-timeout 0 0
> speed 115200
> line vty 0 4
> access-class SSH in
> exec-timeout 0 0
> password 7 <HASH>
> transport preferred none
> transport input telnet ssh
> transport output telnet sshСпасибо большое!!!
Вопрос решён, после 3 дней долбёжки, выяснилось что проблему мне подкинули ИБшники удалившие маршрут на головном роутере, в результате чего запрос с сервера Ubuntu доходил на Cisco а в обратку просто не приходил вот и всё. Капец, меня чуть части ЗП не лишили из-за этой херни ))))
Ещё раз ребят, спасибо всем кто помог!
> выяснилось что проблему мне подкинули ИБшникиЭти парни вообще редкостные вредители. То маршрут, по их мнению лишний, грохнут, то порт закроют "подозрительный", то скрипт "лишний" удалят. Особенно та их часть, что пришла в ИБ не из И, а из Б.
ОООО дааа, (не из И, а из Б) прям в самую точку )))