ssh no Ubuntu falha após a primeira vez: Rotas assimétricas, a conexão SSH falha ao estabelecer corretamente

3

Eu fiquei perplexo com esse problema ... Eu tenho um host exs na sub-rede 10.128.0.1 e convidados na sub-rede 10.128.20.1. Eu tenho outra caixa na sub-rede 10.128.0.1 com vms em 10.129.18.1 ...

O roteador é simples com hospedagem múltipla para abranger todas as três sub-redes com lan principal de 10.128.0.1 e multihomed para 10.128.18.1 e 10.128.20.1 ...

Eu posso ssh para qualquer convidado em 10.128.18.1 convidados, mas para 10.128.20.1 convidados, posso ssh apenas uma vez, então tenho que reiniciar o convidado? Vejo que os pacotes que chegam à VM guest com tracedump ... mas, por algum motivo, a conexão acaba ou ela está lá esperando por algo. Eu desliguei useDNS em sshd_config , já que o servidor de dns local ainda não estava configurado ... pensando que estava afetando isso.

De alguma forma, acho que é o meu problema de configuração sshd , mas não consigo melhorar ...

Aqui está meu sshd_config :

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel DEBUG
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
AllowUsers testuser
UseDNS no
ClientAliveInterval 15
ClientAliveCountMax 5

Gostaria de receber algumas ideias.

    
por purvesh 18.11.2015 / 15:05

1 resposta

1

Respondendo a minha própria pergunta enquanto o problema foi resolvido. Isso é para o benefício de outras pessoas que têm problemas semelhantes.

O problema acabou por ser a rota assimétrica que foi criada. Para o TCP, a sessão envolve o envio de SYN, ACKS e outros quadros para estabelecer a conexão. Se houver uma rota assimétrica, ela ainda está OK no nível do TCP, no entanto, se o roteador tiver um firewall com o SPI ativado e vir o ack em uma rota diferente, terminará esse pacote, ou seja, estará executando seu trabalho. Idealmente, você deseja evitar rotas assimétricas, mas no mundo prático não é possível, por ex. você tem dois roteadores ou gateway de software (gateway de VPN, por exemplo) na mesma sub-rede ou sua rota estática não está configurada corretamente, isso acontecerá.

Se o roteador suportar, habilite o roteamento assimétrico e esse problema desaparecerá. Também tente desabilitar o SPI (não recomendado embora) no seu roteador. Faça isso se você estiver bem protegido pelo seu NAT.

Para o meu caso, eu ativei o roteamento assimétrico no meu firewall. Eventualmente eu estou tendo problemas para filmar as rotas sobrepostas, se houver ...

Uma afirmação clichê, porém, rotas assimétricas são dolorosas na parte traseira para depurar, já que você está totalmente ignorante inicialmente até começar um tedioso processo de eliminação, especialmente se estiver configurando uma nova configuração como eu era.

    
por 19.11.2015 / 22:36