Jump to content

Cisco ASA шлёт TCP-FIN при установлении ssh-cоединения.

All-in-One
 Share

Recommended Posts

All-in-One

All-in-One

Posted
Posted

Здравствуйте!

 

Подскажите, пожалуйста, в чём может быть причина ?  При установлении соединения через secureCRT - ошибка "connection closed".

В обмене видно следующее: после получения от клиента сообщения "Key Exchange Init"  Аса закрывает соединение. 

 

Заранее спасибо! 

 

 

ASA-ssh-error_server-tcp-fin.JPG

All-in-One

All-in-One

Posted
  • Author
Posted

 

Крипты совместимой может не быть, это тоже возможная причина почему оно может не хотеть.  

 

- то есть нужно попробовать на другом клиенте ?  Добавлю, что в логах ФВ- "internal error". 

 

Ключи созданы

 

FW1# sho run ssh
ssh stricthostkeycheck
ssh timeout 15
ssh version 2
ssh key-exchange group dh-group14-sha1
ssh NET1 255.255.255.0 management
ssh NET1 255.255.255.0 inside


FW1# sho crypto key mypubkey rsa 
 Key name: <Default-RSA-Key>
 Usage: General Purpose Key
 Modulus Size (bits): 4096
 Storage: config
 Key Data:
..
 Key name: NEW
 Usage: General Purpose Key
 Modulus Size (bits): 2048
 Storage: config
 Key Data:
..

 

 

А в show ver на что обратить внимание ? На разрешённые схемы шифрования ?

 

 

jffulcrum

jffulcrum

Posted
Posted

debug ssh на Cisco и пробуйте соединиться.

 

5 часов назад, All-in-One сказал:

ssh key-exchange group dh-group14-sha1

Старые клиенты с этим несовместимы.

 

 

5 часов назад, All-in-One сказал:

 Key name: <Default-RSA-Key>
 Usage: General Purpose Key
 Modulus Size (bits): 4096
 Storage: config
 Key Data:
..
 Key name: NEW
 Usage: General Purpose Key
 Modulus Size (bits): 2048
 Storage: config
 Key Data:

 

Удалите их все (zeroize) и сгенерите заново. Это приходилось делать после некоторых обновлений софта.

Ivan_83

Ivan_83

Posted
Posted
On 12/4/2023 at 9:37 AM, All-in-One said:

- то есть нужно попробовать на другом клиенте ?

Что же вы всякими ущербными клиентами то пользуетесь!?

ssh -vvvvv USER@HOST

и читаем портянку.

Возможно потом правим конфиг в ~.ssh/config чтобы включить недостающее.

А если проблема в другом - из портянки тоже будет примерно понятно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.