Falha na negociação de SSH para alguns sites

3

Eu uso o SSH extensivamente para administrar vários sistemas. Tudo estava funcionando perfeitamente até pouco tempo atrás, quando descobri que não conseguia SSH em alguns servidores (mas outros funcionam perfeitamente).

Atualizei recentemente para o Ubuntu 14.04 mais recente, e me pergunto se essa é a causa, mas mais importante - como posso corrigir o problema?

Em cada caso, estou navegando em uma VPN usando chaves públicas / privadas. Em cada caso, se eu telnet manualmente para a porta 22, recebo o banner SSH. Há muito pouco para ajudar a rastrear qual é o problema, mas quando eu ssh com "-v" os sistemas que estou tentando acessar falham após a saída

debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<3072<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP

Quando o SSH é bem-sucedido na outra rede, recebo o seguinte

debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-md5 none
debug1: kex: client->server aes128-ctr hmac-md5 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<3072<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA d9:a7:23:9e:93:da:fe:15:54:5c:a3:01:54:b7:0c:be
debug1: Host '114.23.35.78' is known and matches the RSA host key.

Posso confirmar que parece ser todos os hosts por trás da 1 rede que estão falhando - e há um bom número deles abrangendo diferentes versões do CentOS. (Onde eu posso SSH na rede está usando caixas baseadas em CentOS e Ubuntu - eu posso alcançar ambos). Todas as conexões atrás da outra rede parecem funcionar.

Em ambos os casos eu estou tentando usar o protocolo SSH 2 (se eu tentar forçar o protocolo 1 recebo "Versões principais do protocolo diferem: 1 vs 2)

Eu tentei prender o MTU no OUTPUT, mas isso não parece ter feito diferença.

Em

Alguma idéia de como (sem acesso local ao servidor) eu posso descobrir o que está acontecendo?

EDITAR COM MAIS INFORMAÇÕES:

  • Quando eu tento o SSH do meu celular (passando pelo mesmo roteador e VPN semelhante), o acesso funciona bem.

  • Quando eu tento o SSH do meu computador pelo celular por meio da conexão de dados do celular funciona bem.

  • Independentemente de eu conectar meu computador ao roteador por meio de um cabo ou ponto de acesso não me permite conectar. (Não consigo ligar o meu computador através do meu telemóvel para o meu AP, mas isso seria porque eu não posso usar o AP como um cliente AP e AP no mesmo tempo)

  • Há um número bastante grande de entradas no meu cache de ARP de roteadores (acima de 1000), Eu suspeito, para atividade P2P no início do dia. O modem está usando "extensões PPP", então É claro que o endereço MAC do IP é o mesmo, sendo o do modem. Eu não tem a opção de encerrar a sessão PPP no roteador com este modem. (Também não sei o quão relevante isso é - eu diria que não é relevante como o tráfego é tunelado usando OpenVPN, ignorando o roteador em um traceroute e também recebo um Telnet banner.

  • O problema não parece estar relacionado a IPTABLES quando descartei o iptables no roteador do rede causando problemas. Eu posso ligar para a interface externa do roteador não problemas (sem VPN), mas assim que eu tento a interface interna eu recebo o problemas descritos.

  • Atualizar o SSH e o OpenVPN não fez nenhuma diferença, nem permitiu a senha autenticação.

por davidgo 07.01.2015 / 04:44

0 respostas

Tags