fenris14
Goto Top

Ruckus ICX SSH

Hallo,

mal eine kurze Frage: Wie kann ich bei fastiron Version 08.0.70g den SSH-Server aktivieren?

Bin nach Anleitung in diesem Video vorgegangen:

https://www.youtube.com/watch?v=F1_tLiGEGAQ

Die Zeile...

aaa authentication login default local

finde ich nun ebenfalls unter "show run". Problem ist, dass ich mit einem SSH-Client nicht drauf komme... "Connection refused". Zwei User mit RSA-Key habe ich ebenfalls angelegt. Beim Ersten ging alles ohne Probleme, aber beim zweiten hatte ich dann einen Configuration Mismatch weshalb meine Stack-Member sich neugestartet haben. Was hat es damit aufsich?

Gibt es da noch einen Trick? Ist das überhaupt in dieser Version möglich, oder erst ab 08.0.90?

Gruß

Content-Key: 558898

Url: https://administrator.de/contentid/558898

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: brammer
brammer 18.03.2020 um 10:03:10 Uhr
Goto Top
Mitglied: Fenris14
Fenris14 18.03.2020 um 10:32:52 Uhr
Goto Top
telnet@ICX7250-24 Switch#show ip ssh config
SSH server                 : Disabled
SSH port                   : tcp\22
Host Key                   : 
Encryption                 : aes256-cbc, aes192-cbc, aes128-cbc, aes256-ctr, aes192-ctr, aes128-ctr, 3des-cbc
Permit empty password      : No
Authentication methods     : Password, Public-key, Interactive
Authentication retries     : 3
Login timeout (seconds)    : 120
Idle timeout (minutes)     : 0
SCP                        : Enabled
SSH IPv4 clients           : All
SSH IPv6 clients           : All
SSH IPv4 access-group      : 
SSH IPv6 access-group      : 
SSH Client Keys            : 
Client Rekey               : 0 Minute, 0 KB
Server Rekey               : 0 Minute, 0 KB
telnet@ICX7250-24 Switch#

Ich vermute mal das unter "Host Key" was stehen sollte... korrekt? Der wird ja generiert wenn ich zum Beispiel eingebe:

crypto key generate rsa

Das habe ich auch gemacht. Wird dann damit auch gleich der SSH-Server aktiviert? Warum steht da nichts? Gibt es da bei einer Stack-Config vielleicht etwas zu beachten?
Mitglied: brammer
brammer 18.03.2020 um 10:37:11 Uhr
Goto Top
Hallo,

nun, Zeile 2 ist ja wohl deutlich genug...

SSh server disabled.

brammer
Mitglied: Fenris14
Fenris14 18.03.2020 um 10:40:22 Uhr
Goto Top
Das ist mir auch klar. Aber wie aktiviere ich diesen? Wenn es mit "crypto key generate" nicht funktioniert, wie dann?
Mitglied: aqui
Lösung aqui 18.03.2020 aktualisiert um 12:33:17 Uhr
Goto Top
Der SSH Server ist immer out of the box aktiv !
Du solltest nochmal die normale Prozedur durchlaufen und den Key komplett löschen und neu installieren.
  • crypto key zerosize
  • Dann DNS Domain Namen setzen wie switch.fenris.intern
  • local Authentication aktivieren mit aaa authentication login default local
  • Lokalen Usernamen setzen mit Username admin password admin
  • Uhrzeit setzen wegen des Keys mit timezone ... und summertime bzw. NTP Server und clock set...
  • Dann mit crypto key generate rsa den Key setzen
  • Fertisch
Dann sollte der Zugriff mit PuTTY usw. funktionieren
Dieses Dokument beschreibt die ToDos im Detail (Brocade war der vorherige Hersteller)
https://docplayer.net/6483555-Brocade-ironshield-best-practices-hardenin ...

Hier mal eine SSH Standard Konfig auf einem nackten ICX 7150 mit aktuellem Layer 3 Image Ver. 8.09.0f:
ICX7150-C12 Router#sh run
Current configuration:
!
ver 08.0.90fT213
!
vlan 1 name DEFAULT-VLAN by port
 router-interface ve 1
!
aaa authentication web-server default local
aaa authentication login default local
enable aaa console
!
no telnet server
username super password sp-admin
username admin password admin
!
clock summer-time
clock timezone europe CET
!
interface ethernet 1/3/2
 speed-duplex 1000-full
!
interface ve 1
 ip address 192.168.100.1 255.255.255.0
!
ip ssh  source-interface ve 1
!
end 

Das kommt dann bei der globalen Übersicht dabei raus:
ICX7150-C12 Router#sh ip ssh config
SSH server                 : Enabled
SSH port                   : tcp\22
Host Key                   : RSA 2048
Encryption                 : aes256-cbc, aes192-cbc, aes128-cbc, aes256-ctr, aes192-ctr, aes128-ctr, 3des-cbc
Permit empty password      : No
Authentication methods     : Password, Public-key, Interactive
Authentication retries     : 3
Login timeout (seconds)    : 120
Idle timeout (minutes)     : 5
Strict management VRF      : Disabled
SCP                        : Enabled
SSH IPv4 clients           : All
SSH IPv6 clients           : All
SSH IPv4 access-group      :
SSH IPv6 access-group      :
SSH Client Keys            :
Client Rekey               : 0 Minute, 0 KB
Server Rekey               : 0 Minute, 0 KB 

Generell lässt sich der SSH Server Prozess über die Konfig nicht deaktivieren wie z.B. Telnet mit no telnet server. Der ist also immer aktiv wenn die Credentials entsprechend gesetzt sind.
Welches Modell bzw. Image L2 oder L3 benutzt du und mit welchem Release ? Beachte das du hier immer das von Ruckus recommendete im höchsten Patch Level verwenden solltest !
Zw. der 8.07 und 8.09 gab es eine Änderung der Konfig Syntax.
Mitglied: clSchak
clSchak 18.03.2020 aktualisiert um 21:23:27 Uhr
Goto Top
fast

user admin priv 0 pass deinpasswort

wäre richtig ... face-smile und @aqui du schaltest ernsthaft den Webserver ein? D:

Und wenn man gemischte Anbieter hat sollte man das default-VLAN auf eine andere ID schieben, ansonsten kann man VLAN 1 nicht taggen (was mit HP, Netgear usw. (leider) möglich ist. Wenn man nur einen Hersteller wie z.B. Ruckus verwendet ist das nicht notwendig.

Ich kann jetzt nicht schlafen wegen dem Webinterface :'(

face-smile

Gruß
@clSchak


PS: und wenn man es ganz richt macht und auch keine ranzigen Warnmeldungen erhalten möchte, erstellt man bei der internen CA die passenden Zertifikate und importiert diese dann: http://docs.ruckuswireless.com/fastiron/08.0.80/fastiron-08080-security ...

machen wir gerade, dann sind da auch weniger Fehlermeldungen im internen Netz, bzw. Warnmeldungen.

Ja, die schlimmste bzw. bescheidenste Änderung ist die Regelung wie die PVID eines Ports setzt, dass ist jetzt mal extrem bescheiden wie das gelöst ist, umständlicher geht nimmer
Mitglied: aqui
aqui 19.03.2020 aktualisiert um 09:38:00 Uhr
Goto Top
und @aqui du schaltest ernsthaft den Webserver ein?
Nein, natürlich nicht ! face-big-smile
Das war nur das Überbleibsel einer Demo für Klicki Bunti Knechte face-wink
Mit den Zertifikaten bzw. Keys hast du natürlich Recht. Das vereinfacht das Handling mit SSH massiv.
"priv 0" braucht man nicht zwingend, denn das macht der CLI Parser im Default.
Ja, die schlimmste bzw. bescheidenste Änderung ist die Regelung wie die PVID eines Ports setzt
Du meintest jetzt sicher den "Death of Dual Mode" ab der 8.0.8er, oder ?!
https://www.youtube.com/watch?v=SAIZaiq1fvY
Finde ich aber irgendwie logisch, denn das macht der Rest ja ebenso von der Konfig Logik her gesehen.

Wär mal interessant zu wissen ob der TO das jetzt hinbekommen hat ?!
Mitglied: Fenris14
Fenris14 28.03.2020 um 09:26:09 Uhr
Goto Top
Ja, hat alles geklappt. Habe ja schon als gelöst markiert.

Habe alles nochmal von Anfang gemacht und dann funktionierte es ohne Probleme.

Übrigens finde ich den 'dual-mode' sehr praktisch. Es ist schade das der keinen Weg mehr in 8.0.8 gefunden hat. Macht es sehr leicht, bestehende Netzwerke Schritt für Schritt in eine VLAN-Umgebung zu migieren. In den 08.0.7er geht das wunderbar und habe ich jetzt letzte Woche ebenfalls sehr häufig verwendet.
Mitglied: aqui
aqui 28.03.2020 um 12:00:06 Uhr
Goto Top
Es ist schade das der keinen Weg mehr in 8.0.8 gefunden hat.
Das macht aber nichts. Die Funktion ist ja generell nicht weg. Sie wird schlicht und einfach nur "anders" konfiguriert. Letztlich etwas logischer und kompatibler zur CLI Syntax anderer Hersteller.
Lediglich also nur ein rein kosmetisches "Problem". face-wink
Mitglied: clSchak
clSchak 30.03.2020 um 09:41:33 Uhr
Goto Top
kosmetisch? Wohl eher deutlich umständlicher & schlechter, das war mit "dual-mode" super schnell und einfach, so wie es jetzt ist, ist es deutlich umständlicher und dauert auch deutlich länger und "kostet" somit auch deutlich mehr wie vorher (wenn das in Zeit umrechnet)
Mitglied: aqui
aqui 30.03.2020 um 15:31:03 Uhr
Goto Top
Mmmhhh...wo ist der Unterschied ob du "dual-mode xyz" eingibst oder "untag eth xyz" ?? Das ist doch eigentlich gleicher Aufwand ?! Zumal du bei Dual Mode ja taggen muss und dann zusätzlich noch dual-mode. 2 Kommandos statt nun nur einem. Ich persönlich finde das jetzt nicht ganz so schlimm zumal es andere ja auch so handhaben.
Ist aber wie immer im Leben natürlich Geschmackssache. face-wink
Mitglied: clSchak
clSchak 30.03.2020 aktualisiert um 15:34:44 Uhr
Goto Top
nein, wenn man z.B. im Core-Bereich ein paar mehr VLANs tagged auf den Port liegen hat und z.B. die PVID umstellen muss, machst du erst ein "no tagged etherent x/x/x" und dann ein "untagged ethernet x/x/x" - musst aber ggf. vorher noch in das andere VLAN und dort "no untagged ethernet x/x/x" ... das ist deutlich mehr Aufwand face-wink.

schneller ist: int e x/x/x -> no du -> du x
fertig ... face-smile
Mitglied: aqui
aqui 30.03.2020 aktualisiert um 15:46:11 Uhr
Goto Top
OK, geht jetzt davon aus wenn du ein bestehendes Dual Mode Design umkonfigurierst. Da hast du recht.
Ich war jetzt von "grüner Wiese" ausgegangen.
Aber der CLI Parser "konvertiert" dies ja automatisch bei einem Releasewechsel.