Назад | Перейти на главную страницу

ssh на Ubuntu терпит неудачу после первого раза: асимметричные маршруты, соединение SSH не устанавливается должным образом

Я был сбит с толку этой проблемой ... У меня есть хост exs в подсети 10.128.0.1 и гости в подсети 10.128.20.1. У меня есть еще один ящик в подсети 10.128.0.1 с vms на 10.129.18.1 ...

Маршрутизатор просто многосетевой, чтобы охватить все три подсети с основным LAN 10.128.0.1 и многосетевым для 10.128.18.1 и 10.128.20.1 ...

Я могу ssh любому гостю на 10.128.18.1 гостей, но для гостей 10.128.20.1 я могу ssh только один раз, то гость перезагружать надо? Я вижу, что пакеты достигают гостевой виртуальной машины с tracedump ... но по какой-то причине соединение просто истекает или оно чего-то ждет. Я выключил useDNS в sshd_config так как локальный DNS-сервер все еще не настроен ... думая, что это влияет на него.

Как-то я думаю, что это мой sshd проблема с конфигурацией, но не могу отточить ее ...

Вот мой sshd_config:

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
HostKey /etc/ssh/ssh_host_ecdsa_key
UsePrivilegeSeparation yes
KeyRegenerationInterval 3600
ServerKeyBits 768
SyslogFacility AUTH
LogLevel DEBUG
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no
PermitEmptyPasswords no
ChallengeResponseAuthentication no
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
AllowUsers testuser
UseDNS no
ClientAliveInterval 15
ClientAliveCountMax 5

Был бы признателен за некоторые идеи.

Отвечая на свой вопрос, как проблема была решена. Это для тех, у кого есть подобные проблемы.

Проблема оказалась в созданном асимметричном маршруте. Для TCP сеанс включает отправку SYN, ACKS и других кадров для установления соединения. Если есть асимметричный маршрут, он все еще в порядке с уровня TCP, однако, если у маршрутизатора есть брандмауэр с включенным SPI, и он видит подтверждение, поступающее по другому маршруту, он собирается завершить этот пакет, то есть он выполняет свою работу. В идеале вы хотите избежать асимметричных маршрутов, но на практике это невозможно, например, у вас есть два маршрутизатора или программный шлюз (например, шлюз VPN) в одной подсети, или ваш статический маршрут настроен неправильно, это произойдет.

Если маршрутизатор поддерживает, включите асимметричную маршрутизацию, и эта проблема исчезнет. Также попробуйте отключить SPI (хотя не рекомендуется) на вашем маршрутизаторе. Сделайте это, если вы хорошо защищены вашим NAT.

В моем случае я включил асимметричную маршрутизацию в моем брандмауэре. В конце концов, у меня возникнут проблемы со съемкой пересекающихся маршрутов, если они есть ...

Одно клише, однако, асимметричные маршруты - это боль в задней части для отладки, поскольку вы совершенно невежественны вначале, пока не начнете утомительный процесс исключения, особенно если вы устанавливаете новую настройку, как я.