Cisco ssh connection refused by remote host

Содержание
  1. Доступ к маршрутизатору Cisco
  2. Материал из Xgu.ru
  3. Содержание
  4. [править] Telnet
  5. [править] ACL
  6. [править] Дополнительные параметры при подключении telnet
  7. [править] Разрыв соединения
  8. [править] Предотвращение залипания соединений
  9. [править] Настройка нестандартных портов для telnet и привязка к конкретной vty
  10. [править] SSH
  11. [править] Настройка нестандартных портов для SSH и привязка к конкретной vty
  12. [править] Работа с сессиями
  13. [править] Исходящие сессии Telnet и SSH
  14. [править] Приостановка и мониторинг исходящих сессий
  15. [править] Входящие сессии
  16. [править] Автоматическое выполнение команды
  17. [править] HTTP
  18. [править] Ограничение количества соединений
  19. [править] Изменение стандартного порта
  20. [править] Время жизни соединения
  21. [править] Ограничение доступа
  22. [править] Аутентификация
  23. [править] Локальная аутентификация (локальная база пользователей)
  24. [править] Разграничение доступа пользователям
  25. [править] Уровни привилегий по умолчанию
  26. [править] Уровни привилегий
  27. [править] CLI view
  28. [править] Всякое
  29. [править] Пароли
  30. [править] Гарантия выполнения низкоприоритетных задач
  31. [править] Приглашение командной строки
  32. [править] Баннеры
  33. [править] Создание меню
  34. [править] Создание соответствий IP-адрес — имя хоста
  35. [править] Сообщение о недоступности хоста
  36. [править] Спрятать IP-адрес хоста к которому выполняется подключение
  37. [править] Login enhancement
  38. Cisco ssh connection refused by remote host
  39. перестало пускать по SSH на циску-Connection refused
  40. Кто сейчас на конференции

Доступ к маршрутизатору Cisco

Материал из Xgu.ru

Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

На этой странице описывается настройка доступа к коммутаторам и маршрутизаторам Cisco.

Содержание

[править] Telnet

Настройка доступа telnet без пароля:

При подключении сразу попасть в привилегированный режим:

[править] ACL

Для ограничения доступа к маршрутизатору по протоколу telnet можно использовать ACL и применить их к vty.

Например, настроен ACL, который разрешает подключаться к маршрутизатору по telnet только с адреса 4.4.4.4:

Подключившись по telnet, например, с адреса 4.4.4.4 к маршрутизатору dyn5, можно затем из этой сессии инициировать telnet сессию к другому маршрутизатору. Для того чтобы контролировать куда можно подключаться изнутри сессии telnet необходимо настроить ACL в исходящем направлении. Например, подключившись к маршрутизатору dyn5 по telnet, инициировать исходящую сессию telnet можно будет только на адрес 1.1.1.1:

Если выполняется попытка подключиться к неразрешенному адресу, то появляется такое сообщение:

[править] Дополнительные параметры при подключении telnet

Обычно при подключении telnet маршрутизатор в качестве адреса отправителя выбирает адрес интерфейса, который ближе всего к получателю. Однако это поведение можно изменить, как для конкретной сессии, так и в принципе для всех подключений telnet.

Указание интерфейса для текущей сессии telnet:

Указание интерфейса для всех сессий telnet:

[править] Разрыв соединения

Настройка таймаута после которого, независимо от активности, пользователь будет отключен (в минутах):

Отображение предупреждающего сообщения за 30 секунд до того как сессия будет разорвана из-за истечения интервала absolute-timeout:

[править] Предотвращение залипания соединений

Для очистки зависших Telnet сессий используется механизм TCP-keepalives
Зачем это нужно? Порой возникают залипшие соединения сессий telnet. И при последующих попытках соединений — оно не устанавливается, при этом выдается сообщение «Connection refused by remote host» Для предотвращения данной ситуации в конфигурацию роутера необходимо внести изменения:

[править] Настройка нестандартных портов для telnet и привязка к конкретной vty

Указание нестандартного порта для telnet:

После указания rotary 3 для того чтобы попасть по telnet на vty 3, надо заходить на порт 3000+3.

Пример конфигурации маршрутизатора:

Подключение с соседнего маршрутизатора (к порту 3000+rotary):

Пользователь подключился к vty 3:

[править] SSH

Имя домена (необходимо для генерации ключей):

Создание пары ключей:

Включение SSH версии 2:

Создание пользователя в локальной базе:

[править] Настройка нестандартных портов для SSH и привязка к конкретной vty

Изменение порта SSH для определенной линии vty:

Настройка соответствия vty и rotary:

Пример конфигурации маршрутизатора:

Подключение с соседнего маршрутизатора (к порту 2009):

Пользователь подключился к vty 4:

Ограничение числа сессий ssh ip ssh maxstartups Пример: ограничим 2 сессиями

Ограничение времени timeoutá (по-умолчанию 300 секунд)ip ssh time-out
SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.
Пример:

Указание интерфейса для всех сессий ssh

Включение журналирования событий SSH ip ssh logging events

Указание версии использования протокола ip ssh version версия Пример:

Указание, какой ключ должен использоваться при соединении:

[править] Работа с сессиями

[править] Исходящие сессии Telnet и SSH

Инициировать сессию telnet:

Исходящие сессии SSH:

[править] Приостановка и мониторинг исходящих сессий

Приостановить сессию: Ctrl+Shift+6 и потом x.

Показать исходящие сессии:

Вернуться в приостановленную сессию:

Завершить исходящую сессию:

Если с маршрутизатора были открыты сессии, а затем приостановлены, то нажатие ‘Enter’ приводит к тому, что открывается последняя сессия. Для того чтобы сделать перевод строки, без команды и без восстановления последней сессии, необходимо использовать комбинацию ctrl+l.

Или нажать номер несуществующей сессии. После этого ‘Enter’ отрабатывает как обычно:

[править] Входящие сессии

Показать подключения к локальному маршрутизатору (консоль, telnet, ssh):

Показать сессии ssh:

[править] Автоматическое выполнение команды

Команда autocommand используется для автоматического выполнения определенной команды после того как пользователь подключился к определенной line:

[править] HTTP

[править] Ограничение количества соединений

Настройка максимального количества соединений (по умолчанию 5, диапазон от 1 до 16):

[править] Изменение стандартного порта

Изменение стандартного порта HTTP:

[править] Время жизни соединения

[править] Ограничение доступа

С помощью ACL можно указать каким хостам разрешен доступ по HTTP на маршрутизатор:

[править] Аутентификация

Настройка аутентификации по локальной базе пользователей:

Пример создания пользователей:

[править] Локальная аутентификация (локальная база пользователей)

Управление правами доступа на основании атрибутов, присвоенных отдельному пользователю.

Когда VPN-пользователи проходят аутентификацию на локальном сервере IOS, то может понадобиться запретить им доступ к CLI.

Настройка AAA (если настроен VPN, то тут могут быть дополнительные настройки):

Создание списка атрибутов для запрещения доступа к CLI:

Назначение списка пользователю:

Если пользователь пытается зайти в CLI маршрутизатора, то выдается ошибка:

[править] Разграничение доступа пользователям

[править] Уровни привилегий по умолчанию

Команды уровня 0:

Некоторые команды уровня 1:

[править] Уровни привилегий

Создание пользователя и задание пароля:

Назначение пользователю уровня привилегий:

Задание соответствия между командами и уровнем привилегий:

Для просмотра уровня своих привилегий используется команда show privilege
Пример:

[править] CLI view

Включить root view:

Настроить пароль для view:

Добавить команды доступные в view:

[править] Всякое

[править] Пароли

Задание минимальной длины пароля:

Хранение паролей в виде хеша:

Если необходимо ввести пароль в котором есть знак ?, то перед знаком необходимо нажать Esc + Q (при подключении пароль надо вводить просто со знаком ?). Например, пароль Cisco??pass надо вводить так: CiscoEsc + Q?Esc + Q?pass

Задание количества разрешенных неудачных попыток логина в минуту. При превышении будет сгенерировано лог-сообщение:

Для задания пароля входа в privileg EXEC level (привилегированный режим) используется команда enable password|secret
Пример:

Следует заметить, что при использовании enable secret будет использоваться кодирования пароля с помощью алгоритма MD5, что повышает безопасность системы в целом

[править] Гарантия выполнения низкоприоритетных задач

При возникновении ситуации высокой загрузки процессора, низкоприоритетные задачи могут не дождаться своей очереди выполнения. По-умолчанию Cisco выделяет 5% процессорного времени для выполнения такого рода задач. Для изменения используется команда scheduler allocate .
Пример:

Что бы маршрутизатор более живо реагировал на команды в консоли при большой нагрузке. 4000 микросекунд — это время переключения между процессами. 200 микросекунд, это максимальное время, которое выделяет маршрутизатор на выполнение низкоприоритетных задач

[править] Приглашение командной строки

Отключить приглашение командной строки в глобальном конфигурационном режиме:

После выполнения команды, приглашение dyn1(config)# не отображается. При возвращении в режим enable приглашение появляется.

Настройка приглашения режима enable:

[править] Баннеры

Баннер — это своеобразная вывеска, которая предназначена для сообщения определенной информации, любому, кто пытается получить доступ к маршрутизатору. За рубежом, обычно, сообщается информация о том, кому принадлежит данное коммуникационное оборудование и что может последовать, если в дальнейшем последует несанкционированный доступ либо попытка доступа. Может быть и любая другая информация. К примеру фирма Cisco на новых не сконфигурированных маршрутизаторах сообщает об этом факте. Существует 3 вида баннеров motd, exec, incoming

Создание баннера message-of-the-day (MOTD):

Для создания баннера необходимо указать ключевое слово banner тип РазделительТекст баннера Разделитель. Разделитель НЕ может содержаться в тексте баннера

Существует возможность динамически добавлять в тело баннера имя хоста или домена, используя регулярные выражения $(hostname) и $(domain).
Пример:

[править] Создание меню

Текст приглашения по выбору пункта меню:

Настройка очистки экрана перед выводом меню:

Ключами для выбора определенного пункта меню могут быть буквы, цифры или строки. Если используются строки, то должен быть настроен режим line-mode:

Создание пунктов меню:

Настройка команд, которые будут выполняться при вызове пункта меню:

Для того чтобы пользователь мог выйти из меню, при создании меню необходимо настроить один пункт меню с командой menu-exit:

Для пунктов меню, в которых предполагается вывод результата выполнения команды, необходимо задать параметр pause:

Можно указать какой пункт будет выполняться по умолчанию в случае, если пользователь не выбрал пункт меню и нажал Enter:

Отображение строки с информацией о статусе подключения:

Настройка автоматического вызова меню при подключении пользователя:

[править] Пример меню и соответствующая конфигурация

[править] Создание соответствий IP-адрес — имя хоста

Просмотреть список существующих соответствий:

[править] Сообщение о недоступности хоста

Настройка сообщения о недоступности хоста при подключении к нему по Telnet:

[править] Спрятать IP-адрес хоста к которому выполняется подключение

Обычно, при подключении к хосту, который в момент подключения доступен, в консоли отображается IP-адрес хоста:

Спрятать IP-адрес хоста к которому выполняется подключение:

После этого, при выполнении подключения адрес не отображается:

[править] Login enhancement

[править] Настройка блокировки

Настройка периода блокировки хоста, с указанием количества попыток подключения к маршрутизатору в течение указанного периода времени:

Пример. Хост будет заблокирован на 60 секунд, если в течение 10 секунд будут 3 неудачные попытки логина:

После нескольких неудачных попыток подключения:

[править] Настройка исключений из правила блокировки

Пример. Исключение хоста 192.0.1.2:

[править] Настройка логирования попыток подключения и задержки между подключениями

Задержка между попытками подключения (по умолчанию 1 секунда):

Источник

Cisco ssh connection refused by remote host

Сообщения без ответов | Активные темы Текущее время: 03 ноя 2022, 17:56

Часовой пояс: UTC + 3 часа

перестало пускать по SSH на циску-Connection refused

Страница 1 из 1 [ Сообщений: 23 ]
Версия для печати Пред. тема | След. тема

Подозреваю
sh crypto key mypub rsa
ничего не выводит

crypto key generate rsa modulus 2048 labe SSH_KEY export general

ip ssh version 2
ip ssh rsa keypair-name SSH_KEY

да, sh crypto key mypub rsa ничего не выводит ((

gateway(config)#crypto key generate rsa ?
general-keys Generate a general purpose RSA key pair for signing and encryption
storage Provide a storage location
usage-keys Generate separate RSA key pairs for signing and encryption

gateway(config)#crypto key generate rsa general-keys label MY_KEYS modulus 1024

gateway(config)#ip ssh rsa keypair-name MY_KEYS

gateway#sh processes | i SSH
67 Mwe 818BC4D8 0 2 0 4076/6000 0 SSH Event handle

gateway# show ip ssh
SSH Enabled — version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

Но при правильно указанном пароле не подключается (( — Permission denied, please try again.

Если ключ есть и пользователь тоже есть, то скорее всего не совпадает версия ssh

Простой тест: попробуйте прямо с циски на саму себя залезть:

Ro# ssh -l [user] [ip int Ro]

ДОлжна спросить пароль. Если не спрашивает — ищем проблему в циске. Если спрашивает — в сетевых настройках и клиенте ssh

Ro# ssh -l admin 192.168.1.1

значит трабл в сетевых настройках или клиенте ssh.

$ ls -alh /dev/tty
crw-rw-rw- 1 root root 5, 0 Ноя 13 16:55 /dev/tty
nikita@nikitaDeb:

боюсь показаться тупым:
username создан?

line vty 0 4
login local

Ну дык сама то циска спрашивает.

К тому же
aaa new-model
автоматически означает
aaa authentication login default local
и применение этого правила везде, где уже открыт доступ (консоль, vty и пр.)

получилось зайти после добавления в конфиг:

Очень странно. Ибо если он пускал сам на себя (кстати, пускал при введении правильного пароля?) значит и правило было.

Короче, чтобы не гадать, надо всегда делать так:

aaa new-model
aaa authentication login defaul local

line vty 0 4
login authen default

Так будет работать всегда. Явно описано использование локальной базы данный юзеров.

login local на line vty пишется тогда, когда не включено aaa new-model, а ssh использовать надо.

Не, не странно. Это я прогледел при ответе вам строку no aaa new-model. А варианта всего 2

no aaa new-model
line vty 0 4
login local

aaa new-model
aaa authen login default local
line vty 0 4
login authen default

Первый вариант старый, не очень удобные, не может использовать сервера аутентификации. Второй — новый.

Страница 1 из 1 [ Сообщений: 23 ]

Часовой пояс: UTC + 3 часа

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Источник

Читайте также:  Картридж hp 285 к каким принтерам подходит
Поделиться с друзьями
КомпСовет
Adblock
detector