alibek Posted November 19, 2024 Posted November 19, 2024 С прошлой недели никак не выходит каменный цветок. Уже идеи кончились. Явно что-то не доделал или где-то небольшая ошибка, но не могу увидеть, где именно. Есть ASR1001X с ПО версии 16.9.8 и примерно такой конфигурацией: version 16.9 service timestamps debug datetime localtime service timestamps log datetime localtime platform qfp utilization monitor load 80 no platform punt-keepalive disable-kernel-core platform hardware throughput level 20000000 ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! transport-map type persistent ssh SSH time-out 30 authentication-retries 4 transport interface GigabitEthernet0 connection wait allow interruptible ! aaa new-model ! ... ! no ip domain lookup subscriber templating subscriber authorization enable multilink bundle-name authenticated ! ... ! interface Loopback0 description SELF vrf forwarding Mgmt-intf ip address 10.255.255.213 255.255.255.255 ! ... ! interface GigabitEthernet0 description MGMT vrf forwarding Mgmt-intf ip address 10.1.3.18 255.255.255.252 negotiation auto ! ... ip route vrf Mgmt-intf 10.1.0.0 255.255.0.0 10.1.3.17 ! ip ssh version 2 ! ip access-list standard ANY permit any ip access-list standard SSH_ACCESS permit 10.1.0.0 0.0.255.255 ! ... ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 access-class SSH_ACCESS in vrf-also exec-timeout 30 0 privilege level 15 logging synchronous transport input ssh ! transport type persistent ssh input SSH В порт te0 включен интернет, в порт te1 включены абоненты, в mgmt включена служебная сеть (RADIUS и пр.), остальные порты не используются. Сетевая доступность есть, устройство пингуется само, пингует внешние узлы, берет время по SNTP. Но подключиться к нему по SSH не могу, получаю сообщение "Connection refused". Ни на loopback (10.255.255.213), ни на транспортный интерфейс (10.1.3.18). При этом не доходит даже до запроса ключа или пароля, сразу отказ. Не могу понять, что не так. При этом другой ASR1001X, настроенный довольно похоже, принимает подключения без каких-либо проблем. Правда там служебная сеть включена в gi0/0/0 (то есть в качестве транспортного линка используется гигабитный порт, а не mgmt), но на mgmt-интерфейсе тоже есть IP-адрес и на него тоже можно подключиться. Разница только в том, что на работающий ASR я захожу по ключу, а на неработающем ключ еще не загружен, поэтому использую авторизацию по паролю. Вставить ник Quote
jffulcrum Posted November 19, 2024 Posted November 19, 2024 ip ssh source-interface По дефолту Cisco берет первый попавшийся интерфейс для source-ip в ответах. Обычно везет и первым идет vlan1 управление. Вам не повезло Вставить ник Quote
fractal Posted November 19, 2024 Posted November 19, 2024 7 часов назад, alibek сказал: С прошлой недели никак не выходит каменный цветок. Уже идеи кончились. Явно что-то не доделал или где-то небольшая ошибка, но не могу увидеть, где именно. Есть ASR1001X с ПО версии 16.9.8 и примерно такой конфигурацией: version 16.9 service timestamps debug datetime localtime service timestamps log datetime localtime platform qfp utilization monitor load 80 no platform punt-keepalive disable-kernel-core platform hardware throughput level 20000000 ! vrf definition Mgmt-intf ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! transport-map type persistent ssh SSH time-out 30 authentication-retries 4 transport interface GigabitEthernet0 connection wait allow interruptible ! aaa new-model ! ... ! no ip domain lookup subscriber templating subscriber authorization enable multilink bundle-name authenticated ! ... ! interface Loopback0 description SELF vrf forwarding Mgmt-intf ip address 10.255.255.213 255.255.255.255 ! ... ! interface GigabitEthernet0 description MGMT vrf forwarding Mgmt-intf ip address 10.1.3.18 255.255.255.252 negotiation auto ! ... ip route vrf Mgmt-intf 10.1.0.0 255.255.0.0 10.1.3.17 ! ip ssh version 2 ! ip access-list standard ANY permit any ip access-list standard SSH_ACCESS permit 10.1.0.0 0.0.255.255 ! ... ! line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 access-class SSH_ACCESS in vrf-also exec-timeout 30 0 privilege level 15 logging synchronous transport input ssh ! transport type persistent ssh input SSH В порт te0 включен интернет, в порт te1 включены абоненты, в mgmt включена служебная сеть (RADIUS и пр.), остальные порты не используются. Сетевая доступность есть, устройство пингуется само, пингует внешние узлы, берет время по SNTP. Но подключиться к нему по SSH не могу, получаю сообщение "Connection refused". Ни на loopback (10.255.255.213), ни на транспортный интерфейс (10.1.3.18). При этом не доходит даже до запроса ключа или пароля, сразу отказ. Не могу понять, что не так. При этом другой ASR1001X, настроенный довольно похоже, принимает подключения без каких-либо проблем. Правда там служебная сеть включена в gi0/0/0 (то есть в качестве транспортного линка используется гигабитный порт, а не mgmt), но на mgmt-интерфейсе тоже есть IP-адрес и на него тоже можно подключиться. Разница только в том, что на работающий ASR я захожу по ключу, а на неработающем ключ еще не загружен, поэтому использую авторизацию по паролю. В логах что? 1. Может из вне не с той сети идёте? 2. Sh ip ssh делали? Key есть? Пробовали сгенерить новый? 3. Прошивка старая, возможно с клиента пробуете зацепиться с новыми алгоритмами которых ещё нет на asr Вставить ник Quote
Andrei Posted November 19, 2024 Posted November 19, 2024 Попробуйте ssh -v username@ip_cisco Вставить ник Quote
sirmax Posted November 19, 2024 Posted November 19, 2024 17 минут назад, Andrei сказал: Попробуйте ssh -v username@ip_cisco Телнетом на ссх порт он вообще открыт? 2 часа назад, fractal сказал: . Прошивка старая, возможно с клиента пробуете зацепиться с новыми алгоритмами которых ещё нет на asr О таком клиент ругается причем довольно внятно Вставить ник Quote
sirmax Posted November 19, 2024 Posted November 19, 2024 Вопрос из разряда «тупой или еще тупее?» а ключ на устройстве сгенерирован? Вставить ник Quote
fractal Posted November 20, 2024 Posted November 20, 2024 8 часов назад, sirmax сказал: О таком клиент ругается причем довольно внятно Он может есть в клиенте, но его может не быть на asr тогда а логах девайса вылетит инфа об этом Вставить ник Quote
alibek Posted November 20, 2024 Author Posted November 20, 2024 16 часов назад, jffulcrum сказал: ip ssh source-interface Спасибо. Что-то такое в мыслях крутилось, но я пробовал с ip helper. 8 часов назад, sirmax сказал: а ключ на устройстве сгенерирован? Ну, вопрос то может и наивный, но правильный. Забыл. При указании source-интерфейса железка ругнулась на то, что нужно сгенерировать ключи для включения ssh. Задал source-интерфейс, сгенерировал ключи, теперь все работает. Вставить ник Quote
fractal Posted November 20, 2024 Posted November 20, 2024 8 часов назад, alibek сказал: Задал source-интерфейс Это источник подключения с железки, но не на неё) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.