fishrain
Goto Top

Cisco Switch 250 - Passwort Recovery per CLI

Hallo

wollte mich nach längerer Zeit mal wieder auf die Benutzeroberfläche des Switches einloggen - kam als erstes die Aufforderung zur Passwortänderung . Habe ich gemacht (altes Passwort eingegeben - zwei mal neues Passwort eingegeben). Danach war ich in der GUI des Switches - und oben blinkt rot das Speichern der Konfiguration-Symbol. Habe ich angeklickt . Danach alles gut. Ich logge mich wieder aus.

Danach möchte ich mich mit dem neuen Passwort wieder einwählen - geht nicht "falscher Nutzername oder falsches Passwort" - hab alles probiert - Cache geleert - anderen Browser hergenommen - komme nicht mehr rein. Keine Ahnung was da schief lief....

Kann mir jemand erklären (oder link zu Anleitung schicken) wie ich das Passwort per CLI zurücksetzen kann ohne die Konfiguration des Switches zu verlieren?

Ich hab zwar ein Backup der Konfiguration des Switches ...möchte aber den Weg über kompletten Reset und Wiedereinspielen des Backups vermeiden

Vielen Dank vorab für eure Hilfe

Content-Key: 11716996039

Url: https://administrator.de/contentid/11716996039

Printed on: February 29, 2024 at 21:02 o'clock

Member: commodity
Solution commodity Dec 03, 2023 updated at 12:36:37 (UTC)
Goto Top
altes PW hast Du versucht?
Ansonsten:
Kann mir jemand erklären (oder link zu Anleitung schicken) wie ich das Passwort per CLI zurücksetzen kann ohne die Konfiguration des Switches zu verlieren?
Nein, es würde
a) gegen die Forenregeln verstoßen Diskussionsrichtlinien - die Regeln zu unseren Inhalten und
b) gibt es diesen Weg nicht. Cisco-Hintertüren kennt vielleicht die NSA, sie sind aber kein Allgemeinwissen.

Für Dein Ziel dient das Konfigurationsbackup. Switch resetten, Konfiguration zurückspielen, alles fein face-smile
Gut, dass Du das Backup gemacht hast.

Bei einigen wirklich miesen Netzwerkgeräten, wie zB der CGM KocoBox wird das (neue) Passwort abgeschnitten, wenn man ein zu langes eingegeben hat. Dann hilft es, das Passwort abgeschnitten auf die Maximal-Länge einzugeben. Der Cisco verträgt aber 64 Zeichen und es sind mir keine Sonderzeichen-Beschränkungen bekannt. Ich denke auch, der Switch würde ein nicht akzeptiertes Passwort ablehnen.

Also: Reset und Backup. Sind 10 (eher 5) Minuten. Fast schneller als ein Thread hier im Forum face-smile

Viele Grüße, commodity
Member: fishrain
fishrain Dec 03, 2023 at 15:21:53 (UTC)
Goto Top
ja altes PW hab ich auch probiert.

ok...dann halt doch Reset und Backup einspielen....

aber trotzdem krass ...vielleicht lags am Passwortgenerator (Bitwarden) mit dem ich das neue Passwort erstellt hab...

Kann man zumindest für die Zukunft diese Routine deaktivieren, dass alle x Monate eine neues Passwort generiert werden muss ?
Member: aqui
aqui Dec 03, 2023 updated at 16:08:03 (UTC)
Goto Top
Ja! Wie Immer: RTFM! 🧐
Passwort Credentials und Aging (deaktivieren) in den Security Settings anpassen wie es jeder gute Netzwerk Admin macht. Außerdem solltest du unter Administration --> User Accounts einen neuen Usernamen wie z.B. "admin" mit Admin Privilegien (15) und entspr. Passwort anlegen und danach den Cisco Default User immer löschen! Dann passieren solche Fauxpas' auch nicht.
cisco
Member: commodity
commodity Dec 03, 2023 updated at 16:45:53 (UTC)
Goto Top
Ja, wie oben vom Kollegen @aqui beschrieben. Noch als Tipp, die Ciscos haben eine Suche im Menü. Mit einem passenden Stichwort findet man die Einstellungen ratzfatz. Sogar ohne TFM face-wink

Thread gelöst? Dann bitte: Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?

Viele Grüße, commodity
Member: aqui
aqui Dec 04, 2023 at 16:40:17 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag auf "gelöst" oder "erledigt" setzen?
Member: Xaero1982
Xaero1982 Dec 04, 2023 at 19:37:41 (UTC)
Goto Top
Jungs, ernsthaft?

DAS ist nun wirklich kein Staatsgeheimnis und offiziell von Cisco als how to gelistet.

Er braucht so oder so physischen Zugriff auf das Gerät.

https://www.cisco.com/c/en/us/support/docs/smb/switches/Cisco-Business-S ...

Verbindung aufbauen mit einem passenden Konstolenkabel

Passwortrecovery sollte die gleiche Prozedur sein wie beim 350er
https://www.cisco.com/c/en/us/support/docs/smb/switches/Cisco-Business-S ...

Grüße
Member: commodity
commodity Dec 04, 2023 updated at 20:10:51 (UTC)
Goto Top
Jungs, ernsthaft?
Total ernsthaft. Zumindest hier sagt der Cisco VIP, dass es für den 250er nicht geht, nur für den 350er. Man sieht die Hintertür hier wohl als Feature. Wahrscheinlich direkt nach der Weihnachtsfeier programmiert.

I.Ü. auch total absurd, eine solche Zugangsmöglichkeit zu eröffnen. Das hebelt u.U. die komplette Portsecurity aus.
Ich kann es kaum glauben:
This procedure allows the user to login to the device without password authentication.

Viele Grüße, commodity
Member: fishrain
fishrain Dec 09, 2023 updated at 19:03:23 (UTC)
Goto Top
Ich hatte tatsächlich nach so etwas gesucht wie Xaero1982 geschrieben...aber das ging auf dem 250 er nicht

Kleiner Nachtrag zum Schmunzeln: Ich hatte dann tatsächlich den Switch auf Werkseinstellungen zurückgesetzt und hatte dann das Backup (configuration-file) eingespielt - leider hat mich das nicht weiter gebracht da ich das damalige Passwort nicht mehr hatte - schlussendlich musste ich den switch komplett neu aufsetzen

Naja aus solchen Fehlern lernt man - in Zukunft wird das Passwort aging deaktiviert - und zum Backup wird das Passwort vermerkt.

Hab jetzt fast alles wieder so hinbekommen wie es vorher war.

Einziges Problem das ich noch hab - ich weiß nicht wie man über das Webinterface die Default Route zum Gateway erstellt - geht das nur per CLI (per SSH) - hab da im Netz ein paar Video-Tutorials gefunden....

Update: Habs doch hinbekommen per SSH (unter Anleitung von chatGPT face-smile )..danke nochmal an alle !!
Member: commodity
commodity Dec 09, 2023 at 20:00:54 (UTC)
Goto Top
Oh, Du Armer! Ich empfehle KeePassXC. face-smile

Danke für's Feedback,

viele Grüße, commodity
Member: aqui
aqui Dec 09, 2023 updated at 20:38:27 (UTC)
Goto Top
leider hat mich das nicht weiter gebracht da ich das damalige Passwort nicht mehr hatte
Na ja das war dann wenig intelligent... face-sad
Du hättest lediglich die gesicherte Konfig Datei in einem banalen Texteditor editieren müssen und die Zeilen:
passwords complexity min-classes 2
passwords aging 0
username admin password encrypted dfsd6643Cw== privilege 15 
entfernen müssen und die Konfig dann einspielen müssen. Dann gilt weiter das Default Passowrt und ein neues hättest du danach neu setzen können. Aber warum einfach machen wenn es umständlich auch geht....
Gewusst wie... 😉