Hallo Gruppe,
ich möchte mit einem Client per SSH zu einem Server1 und von dort zu anderen Hosts (wieder per SSH).
Wenn der Client putty/win oder termius/android ist und Server1 ein Debian12, dann klappt der Zugriff im terminal des Server1 auf weitere Hosts problemlos. Ist der Client hingegen juicessh/android kommt es dann zu keiner Sitzung auf weitere Hosts von Server1 aus. (Der SSH-Client startet und fragt oder meldet nichts mehr) - ich kann aber vom Client juicessh/android problemlos direkt auf die weiteren Hosts zugreifen - wenn Server1 ein Debian9 ist, klappt es auch mit juicessh/android = tausche ich in der Konstellation nur juicessh/android aus geht es = tausche ich in der Konstellation meinen "Hop-"Server geht es auch
Ich schlussfolgere daher eine Kombination aus juicessh/android und Debian12 (bzw. meinen Settings dort).
Wie kann ich denn nun weiter debuggen, wo da genau auf Geige klemmt. Die Entwickler sind da keine rechte Hilfe.
Mit freundlichen Grüßen / Kind regards Ronny Seffner
ich möchte mit einem Client per SSH zu einem Server1 und von dort zu anderen Hosts (wieder per SSH).
Das schaut danach aus, daß die ssh-Server-Versionen und ssh-Client-Versionen so weit auseinanderliegen, daß sie keine gemeinsamen Schnittmengen mehr betreffs Schlüsselaustausch oder Verschlüsselungsalgorithmus haben - die Welt hat sich weitergedreht.
Genaueres sieht man mit $ ssh -vvvv bzw. in den Server-Logs.
Veraltete Verfahren auf aktuellen ssh Clients einschalten geht, solange sie noch nicht aus dem Quellcode entfernt wurden, mit
$ ssh -o HostKeyAlgorithms=+ssh-dss -o PubkeyAcceptedKeyTypes=+ssh-rsa rhel6
$ ssh -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms=+ssh-dss -o PubkeyAcceptedKeyTypes=+ssh-rsa rhel5
Oder, persistent in ~/.ssh/config
Host rhel6 HostKeyAlgorithms +ssh-dss PubkeyAcceptedKeyTypes +ssh-rsa
Host rhel5 HostKeyAlgorithms +ssh-dss PubkeyAcceptedKeyTypes +ssh-rsa KexAlgorithms +diffie-hellman-group1-sha1
Bei Debian 12 kann man den ssh-Dienst dazu bewegen, veraltete Schlüsseltypen/Algorithmen anzubieten, indem man
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedKeyTypes +ssh-rsa
in der /etc/ssh/sshd_config ergänzt.
Hallo William,
Das schaut danach aus, daß die ssh-Server-Versionen und ssh-Client- Versionen so weit auseinanderliegen, daß sie keine gemeinsamen
Moment:
* Das geht NICHT! Client -> Debain12 -> Debian12 juicessh -> OpenSSH_9.2p1 -> OpenSSH_9.2p1 (beide OpenSSH haben sogar identische Konfigurationen)
* Das geht! Client -> Debain12 -> Debian9 juicessh -> OpenSSH_9.2p1 -> OpenSSH_7.4p1
Ich kann Deinem Gedanken ja folgen, aber das Erlebte widerspricht dem hier. Außerdem sollte doch das, was Server1 und Server2 verhandeln, dem Client egal sein.
$ ssh -vvvv
Screenshot von der Sitzung des juicessh auf Server1 beim Versuch von dort SSH auf Server2 zu machen.
Mit freundlichen Grüßen / Kind regards Ronny Seffner
ich möchte mit einem Client per SSH zu einem Server1 und von dort zu anderen Hosts (wieder per SSH).
Das schaut danach aus, daß die ssh-Server-Versionen und ssh-Client-Versionen so weit auseinanderliegen, daß sie ohne Nachhilfe keine gemeinsamen Schnittmengen mehr betreffs Schlüsselaustausch oder Verschlüsselungsalgorithmus haben - die Welt hat sich weitergedreht.
Genaueres sieht man mit $ ssh -vvv bzw. in den Server-Logs.
Veraltete Verfahren auf aktuellen ssh Clients einschalten geht, solange sie noch nicht aus dem Quellcode entfernt wurden, mit
$ ssh -o HostKeyAlgorithms=+ssh-dss -o PubkeyAcceptedKeyTypes=+ssh-rsa rhel6
$ ssh -o KexAlgorithms=+diffie-hellman-group1-sha1 -o HostKeyAlgorithms=+ssh-dss -o PubkeyAcceptedKeyTypes=+ssh-rsa rhel5
Oder, persistent in ~/.ssh/config
Host rhel6 HostKeyAlgorithms +ssh-dss PubkeyAcceptedKeyTypes +ssh-rsa
Host rhel5 HostKeyAlgorithms +ssh-dss PubkeyAcceptedKeyTypes +ssh-rsa KexAlgorithms +diffie-hellman-group1-sha1
Bei Debian 12 kann man den ssh-Dienst dazu bewegen, veraltete Schlüsseltypen/Algorithmen anzubieten, indem man
HostKeyAlgorithms +ssh-rsa PubkeyAcceptedKeyTypes +ssh-rsa
in der /etc/ssh/sshd_config ergänzt.
Hat denn da keiner eine Idee, wie ich da weiter vorgehen kann. Es muss doch an irgendeinem Setting der beteiligten Server oder Client liegen, wenn es denn grundsätzlich funktioniert.
Mit freundlichen Grüßen / Kind regards Ronny Seffner
lug-dd@mailman.schlittermann.de
-
Epler, William -
ronny@seffner.de