13
Ruckus ICX SSH
Hallo,
mal eine kurze Frage: Wie kann ich bei fastiron Version 08.0.70g den SSH-Server aktivieren?
Bin nach Anleitung in diesem Video vorgegangen:
https://www.youtube.com/watch?v=F1_tLiGEGAQ
Die Zeile...
finde ich nun ebenfalls unter "show run". Problem ist, dass ich mit einem SSH-Client nicht drauf komme... "Connection refused". Zwei User mit RSA-Key habe ich ebenfalls angelegt. Beim Ersten ging alles ohne Probleme, aber beim zweiten hatte ich dann einen Configuration Mismatch weshalb meine Stack-Member sich neugestartet haben. Was hat es damit aufsich?
Gibt es da noch einen Trick? Ist das überhaupt in dieser Version möglich, oder erst ab 08.0.90?
Gruß
mal eine kurze Frage: Wie kann ich bei fastiron Version 08.0.70g den SSH-Server aktivieren?
Bin nach Anleitung in diesem Video vorgegangen:
https://www.youtube.com/watch?v=F1_tLiGEGAQ
Die Zeile...
aaa authentication login default localfinde ich nun ebenfalls unter "show run". Problem ist, dass ich mit einem SSH-Client nicht drauf komme... "Connection refused". Zwei User mit RSA-Key habe ich ebenfalls angelegt. Beim Ersten ging alles ohne Probleme, aber beim zweiten hatte ich dann einen Configuration Mismatch weshalb meine Stack-Member sich neugestartet haben. Was hat es damit aufsich?
Gibt es da noch einen Trick? Ist das überhaupt in dieser Version möglich, oder erst ab 08.0.90?
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 558898
Url: https://administrator.de/forum/ruckus-icx-ssh-558898.html
Ausgedruckt am: 20.04.2025 um 16:04 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
was sagt den ein:
http://docs.ruckuswireless.com/fastiron/08.0.80/fastiron-08080-security ...
brammer
was sagt den ein:
show ip ssh confighttp://docs.ruckuswireless.com/fastiron/08.0.80/fastiron-08080-security ...
brammer
telnet@ICX7250-24 Switch#show ip ssh config
SSH server : Disabled
SSH port : tcp\22
Host Key :
Encryption : aes256-cbc, aes192-cbc, aes128-cbc, aes256-ctr, aes192-ctr, aes128-ctr, 3des-cbc
Permit empty password : No
Authentication methods : Password, Public-key, Interactive
Authentication retries : 3
Login timeout (seconds) : 120
Idle timeout (minutes) : 0
SCP : Enabled
SSH IPv4 clients : All
SSH IPv6 clients : All
SSH IPv4 access-group :
SSH IPv6 access-group :
SSH Client Keys :
Client Rekey : 0 Minute, 0 KB
Server Rekey : 0 Minute, 0 KB
telnet@ICX7250-24 Switch#Ich vermute mal das unter "Host Key" was stehen sollte... korrekt? Der wird ja generiert wenn ich zum Beispiel eingebe:
crypto key generate rsaDas habe ich auch gemacht. Wird dann damit auch gleich der SSH-Server aktiviert? Warum steht da nichts? Gibt es da bei einer Stack-Config vielleicht etwas zu beachten?
Hallo,
nun, Zeile 2 ist ja wohl deutlich genug...
SSh server disabled.
brammer
nun, Zeile 2 ist ja wohl deutlich genug...
SSh server disabled.
brammer
Das ist mir auch klar. Aber wie aktiviere ich diesen? Wenn es mit "crypto key generate" nicht funktioniert, wie dann?
Der SSH Server ist immer out of the box aktiv !
Du solltest nochmal die normale Prozedur durchlaufen und den Key komplett löschen und neu installieren.
Dann sollte der Zugriff mit PuTTY usw. funktionieren
Dieses Dokument beschreibt die ToDos im Detail (Brocade war der vorherige Hersteller)
https://docplayer.net/6483555-Brocade-ironshield-best-practices-hardenin ...
Hier mal eine SSH Standard Konfig auf einem nackten ICX 7150 mit aktuellem Layer 3 Image Ver. 8.09.0f:
Das kommt dann bei der globalen Übersicht dabei raus:
Generell lässt sich der SSH Server Prozess über die Konfig nicht deaktivieren wie z.B. Telnet mit no telnet server. Der ist also immer aktiv wenn die Credentials entsprechend gesetzt sind.
Welches Modell bzw. Image L2 oder L3 benutzt du und mit welchem Release ? Beachte das du hier immer das von Ruckus recommendete im höchsten Patch Level verwenden solltest !
Zw. der 8.07 und 8.09 gab es eine Änderung der Konfig Syntax.
Du solltest nochmal die normale Prozedur durchlaufen und den Key komplett löschen und neu installieren.
- Alten SSH Key löschen mit crypto key zeroize !
- Dann DNS Domain Namen setzen wie switch.fenris.internal
- Local Authentication aktivieren mit aaa authentication login default local
- Lokalen Usernamen setzen mit Username admin password admin
- Uhrzeit setzen wegen des Keys mit timezone ... und summertime bzw. NTP Server und clock set...
- Dann mit crypto key generate rsa modulus 2048 den Key setzen
- Schwache Schlüsselalgorithmen zur Sicherheit mit ip ssh encryption aes-only abschalten!
- Fertisch
Dann sollte der Zugriff mit PuTTY usw. funktionieren
Dieses Dokument beschreibt die ToDos im Detail (Brocade war der vorherige Hersteller)
https://docplayer.net/6483555-Brocade-ironshield-best-practices-hardenin ...
Hier mal eine SSH Standard Konfig auf einem nackten ICX 7150 mit aktuellem Layer 3 Image Ver. 8.09.0f:
ICX7150-C12 Router#sh run
Current configuration:
!
ver 08.0.90fT213
!
vlan 1 name DEFAULT-VLAN by port
router-interface ve 1
!
aaa authentication web-server default local
aaa authentication login default local
enable aaa console
!
no telnet server
username super password sp-admin
username admin password admin
!
clock summer-time
clock timezone europe CET
!
interface ethernet 1/3/2
speed-duplex 1000-full
!
interface ve 1
ip address 192.168.100.1 255.255.255.0
!
ip ssh source-interface ve 1
ip ssh encryption aes-only
!
end Das kommt dann bei der globalen Übersicht dabei raus:
ICX7150-C12 Router#sh ip ssh config
SSH server : Enabled
SSH port : tcp\22
Host Key : RSA 2048
Encryption : aes256-cbc, aes192-cbc, aes128-cbc, aes256-ctr, aes192-ctr, aes128-ctr
Permit empty password : No
Authentication methods : Password, Public-key, Interactive
Authentication retries : 3
Login timeout (seconds) : 120
Idle timeout (minutes) : 5
Strict management VRF : Disabled
SCP : Enabled
SSH IPv4 clients : All
SSH IPv6 clients : All
SSH IPv4 access-group :
SSH IPv6 access-group :
SSH Client Keys :
Client Rekey : 0 Minute, 0 KB
Server Rekey : 0 Minute, 0 KB Generell lässt sich der SSH Server Prozess über die Konfig nicht deaktivieren wie z.B. Telnet mit no telnet server. Der ist also immer aktiv wenn die Credentials entsprechend gesetzt sind.
Welches Modell bzw. Image L2 oder L3 benutzt du und mit welchem Release ? Beachte das du hier immer das von Ruckus recommendete im höchsten Patch Level verwenden solltest !
Zw. der 8.07 und 8.09 gab es eine Änderung der Konfig Syntax.
fast
wäre richtig ...
und @aqui du schaltest ernsthaft den Webserver ein? D:
Und wenn man gemischte Anbieter hat sollte man das default-VLAN auf eine andere ID schieben, ansonsten kann man VLAN 1 nicht taggen (was mit HP, Netgear usw. (leider) möglich ist. Wenn man nur einen Hersteller wie z.B. Ruckus verwendet ist das nicht notwendig.
Ich kann jetzt nicht schlafen wegen dem Webinterface :'(
Gruß
@clSchak
PS: und wenn man es ganz richt macht und auch keine ranzigen Warnmeldungen erhalten möchte, erstellt man bei der internen CA die passenden Zertifikate und importiert diese dann: http://docs.ruckuswireless.com/fastiron/08.0.80/fastiron-08080-security ...
machen wir gerade, dann sind da auch weniger Fehlermeldungen im internen Netz, bzw. Warnmeldungen.
Ja, die schlimmste bzw. bescheidenste Änderung ist die Regelung wie die PVID eines Ports setzt, dass ist jetzt mal extrem bescheiden wie das gelöst ist, umständlicher geht nimmer
user admin priv 0 pass deinpasswortwäre richtig ...
und @aqui du schaltest ernsthaft den Webserver ein? D:Und wenn man gemischte Anbieter hat sollte man das default-VLAN auf eine andere ID schieben, ansonsten kann man VLAN 1 nicht taggen (was mit HP, Netgear usw. (leider) möglich ist. Wenn man nur einen Hersteller wie z.B. Ruckus verwendet ist das nicht notwendig.
Ich kann jetzt nicht schlafen wegen dem Webinterface :'(
Gruß
@clSchak
PS: und wenn man es ganz richt macht und auch keine ranzigen Warnmeldungen erhalten möchte, erstellt man bei der internen CA die passenden Zertifikate und importiert diese dann: http://docs.ruckuswireless.com/fastiron/08.0.80/fastiron-08080-security ...
machen wir gerade, dann sind da auch weniger Fehlermeldungen im internen Netz, bzw. Warnmeldungen.
Ja, die schlimmste bzw. bescheidenste Änderung ist die Regelung wie die PVID eines Ports setzt, dass ist jetzt mal extrem bescheiden wie das gelöst ist, umständlicher geht nimmer
und @aqui du schaltest ernsthaft den Webserver ein?
Nein, natürlich nicht ! 
Das war nur das Überbleibsel einer Demo für Klicki Bunti Knechte
Mit den Zertifikaten bzw. Keys hast du natürlich Recht. 👍 Das vereinfacht das Handling mit SSH massiv.
"priv 0" braucht man nicht zwingend, denn das macht der CLI Parser im Default.
Ja, die schlimmste bzw. bescheidenste Änderung ist die Regelung wie die PVID eines Ports setzt
Du meintest jetzt sicher den "Death of Dual Mode" ab der 8.0.8er, oder ?!https://www.youtube.com/watch?v=SAIZaiq1fvY
Finde ich aber irgendwie logisch, denn das macht der Rest ja ebenso von der Konfig Logik her gesehen.
Wär mal interessant zu wissen ob der TO das jetzt hinbekommen hat ?!
Ja, hat alles geklappt. Habe ja schon als gelöst markiert.
Habe alles nochmal von Anfang gemacht und dann funktionierte es ohne Probleme.
Übrigens finde ich den 'dual-mode' sehr praktisch. Es ist schade das der keinen Weg mehr in 8.0.8 gefunden hat. Macht es sehr leicht, bestehende Netzwerke Schritt für Schritt in eine VLAN-Umgebung zu migieren. In den 08.0.7er geht das wunderbar und habe ich jetzt letzte Woche ebenfalls sehr häufig verwendet.
Habe alles nochmal von Anfang gemacht und dann funktionierte es ohne Probleme.
Übrigens finde ich den 'dual-mode' sehr praktisch. Es ist schade das der keinen Weg mehr in 8.0.8 gefunden hat. Macht es sehr leicht, bestehende Netzwerke Schritt für Schritt in eine VLAN-Umgebung zu migieren. In den 08.0.7er geht das wunderbar und habe ich jetzt letzte Woche ebenfalls sehr häufig verwendet.
Es ist schade das der keinen Weg mehr in 8.0.8 gefunden hat.
Das macht aber nichts. Die Funktion ist ja generell nicht weg. Sie wird schlicht und einfach nur "anders" konfiguriert. Letztlich etwas logischer und kompatibler zur CLI Syntax anderer Hersteller.Lediglich also nur ein rein kosmetisches "Problem".
kosmetisch? Wohl eher deutlich umständlicher & schlechter, das war mit "dual-mode" super schnell und einfach, so wie es jetzt ist, ist es deutlich umständlicher und dauert auch deutlich länger und "kostet" somit auch deutlich mehr wie vorher (wenn das in Zeit umrechnet)
Mmmhhh...wo ist der Unterschied ob du "dual-mode xyz" eingibst oder "untag eth xyz" ?? Das ist doch eigentlich gleicher Aufwand ?! Zumal du bei Dual Mode ja taggen muss und dann zusätzlich noch dual-mode. 2 Kommandos statt nun nur einem. Ich persönlich finde das jetzt nicht ganz so schlimm zumal es andere ja auch so handhaben.
Ist aber wie immer im Leben natürlich Geschmackssache.
Ist aber wie immer im Leben natürlich Geschmackssache.
nein, wenn man z.B. im Core-Bereich ein paar mehr VLANs tagged auf den Port liegen hat und z.B. die PVID umstellen muss, machst du erst ein "no tagged etherent x/x/x" und dann ein "untagged ethernet x/x/x" - musst aber ggf. vorher noch in das andere VLAN und dort "no untagged ethernet x/x/x" ... das ist deutlich mehr Aufwand .
schneller ist: int e x/x/x -> no du -> du x
fertig ...
.schneller ist: int e x/x/x -> no du -> du x
fertig ...
OK, geht jetzt davon aus wenn du ein bestehendes Dual Mode Design umkonfigurierst. Da hast du recht.
Ich war jetzt von "grüner Wiese" ausgegangen.
Aber der CLI Parser "konvertiert" dies ja automatisch bei einem Releasewechsel.
Ich war jetzt von "grüner Wiese" ausgegangen.
Aber der CLI Parser "konvertiert" dies ja automatisch bei einem Releasewechsel.
