ERRORES SSHD
-
Buenas tardes Comunidad,
tengo el siguiente mensaje en los logs del sistema, me podrían comentar a que se debeNov 7 12:25:18 sshd 89368 fatal: Unable to negotiate with 116.31.116.7 port 61700: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]
Gracias.
-
Hola
https://www.openssh.com/legacy.html
Unable to negotiate with legacyhost: no matching key exchange method found.
Their offer: diffie-hellman-group1-sha1In this case, the client and server were unable to agree on the key exchange algorithm. The server offered only a single method diffie-hellman-group1-sha1. OpenSSH supports this method, but does not enable it by default because is weak and within theoretical range of the so-called Logjam attack.
El algoritmo de intercambio de llave (key) no ha sido aceptado por el cliente y/o el servidor ssh.
En la versión de pfSense 2.3, actualizaron la versión de openSSH y sus algoritmos de intercambio de llaves, seguramente deberás actualizar el cliente ssh de 116.31.116.7 (yo tuve problemas con algún cliente ssh, como filezilla, mobaxterm, putty, etc tras el paso de pfSense 2.2 a 2.3 por la misma razón)
Salu2
-
Tengo la version 2.3.2-RELEASE-p1 (amd64) , y al parecer esa ip es la de un banco,
y no puedo realizar operaciones,
ya que me muestra un error diciendo de que el tiempo de espera se agoto -
Hola
Hay una negociación ssh entre ese banco y pfSense. Y debido a la actualización no aceptan el algoritmo de intercambio de llaves el banco o el pfSense
Mira este post : https://forum.pfsense.org/index.php?topic=116823.0
https://doc.pfsense.org/index.php/2.3.2_New_Features_and_Changes#SSH_Daemon
La solución que dice openSSH es:
The best resolution for these failures is to upgrade the software at the other end. OpenSSH only disables algorithms that we actively recommend against using because they are known to be weak. In some cases, this might not be immediately possible so you may need to temporarily re-enable the weak algorithms to retain access.
O actualizar el SW en el punto final (el banco no creo que te haga caso) o activar el algoritmo "desfasado" en tu openSSH de pfSense.
No lo he hecho esto, así que te recomiendo buscar un procedimiento de como hacerlo:
Buscar algo como: Enable old key exchange algorithm in openSSH o enable diffie-hellman-group1-sha1 openSSH pfSense
–añadido ---
Ten encuenta:
SSH Daemon
NOTE: The ssh host keys were made more secure, and if a client remembers an older, weaker key, the ssh client may refuse to connect. Remove the older key and then make the ssh client learn the new key.
Changed sshd to use stronger Key Exchange algorithms and disabled some older, weaker algorithms. Clients may need to be updated to handle the new Key Exchange methods.
Currently allowed Key Exchange Algorithms: curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Removed the ECDSA host key from the sshd configuration
Added ED25519 host key to the sshd configuration
Changed the list of available ciphers.
Current allowed ciphers: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
Changed the list of available Message Authentication Code methods,
Current MAC list: hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.comSalu2
-
Hola
Si las conexiones ssh a ese banco son desde un cliente windows de tu lan, la lista de Know_hosts puede que esté en: %USERPROFILE%.ssh
Para acceder al dir desde cmd
cd /d "%USERPROFILE%\.ssh"Borrando ese fichero, cuando vuelvas a intentar establecer conexión ssh con el banco, se volverá a preguntar si se confia en ese host y si se contesta yes, creo que se vuelve a crear la key
Si no, mira este post sobre como crear key ssh en win con putty
Salu2
-
al parecer esa ip es la de un banco,
y no puedo realizar operaciones,
ya que me muestra un error diciendo de que el tiempo de espera se agoto
Trabajas con un Banco de China ? http://bgp.he.net/ip/116.31.116.7#_whois
Realizas la operaciones vía SSH ? (no son usualmente HTTPS ? )
El error "diciendo de que el tiempo de espera se agoto " te aparece en dónde ?
Lo que aparece en el Log, (si no me equivoco) indica que la IP 116.31.116.7 (CHINANET-GD) es la que trata de conectarse a tu pfSense ???
-
Ok. y el pfSense no admite el algoritmo key exchange del cliente ssh chino, por lo que rechaza la conexión
-
Hola
¿Navegas por tunel ssh?.
Pues no sabria decir, pero me da que Ptt va a estar en lo cierto y parece un intento de conexión
origen ( 116.31.116.7 port 61700 ) –- protocol ssh ---> destino ( tu pfSense, imagino que puerto tcp22)
Por lo que el problema seria que el cliente ssh del banco chino no está actualizado y no tiene los algoritmos de intercambio de llaves necesarios
Salu2
-
Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional.
-
Pues la IP del Log Corresponde a China http://bgp.he.net/ip/116.31.116.7#_whois
inetnum: 116.16.0.0 - 116.31.255.255 netname: CHINANET-GD descr: CHINANET Guangdong province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 country: CN admin-c: CH93-AP tech-c: IC83-AP mnt-by: APNIC-HM mnt-lower: MAINT-CHINANET-GD mnt-routes: MAINT-CHINANET-GD status: ALLOCATED PORTABLE remarks: -------------------------------------------------------- remarks: To report network abuse, please contact mnt-irt remarks: For troubleshooting, please contact tech-c and admin-c remarks: Report invalid contact via www.apnic.net/invalidcontact remarks: -------------------------------------------------------- source: APNIC mnt-irt: IRT-CHINANET-CN changed: hm-changed@apnic.net 20070307 irt: IRT-CHINANET-CN address: No.31 ,jingrong street,beijing address: 100032 e-mail: anti-spam@ns.chinanet.cn.net abuse-mailbox: anti-spam@ns.chinanet.cn.net admin-c: CH93-AP tech-c: CH93-AP auth: # Filtered mnt-by: MAINT-CHINANET changed: anti-spam@ns.chinanet.cn.net 20101115 source: APNIC person: Chinanet Hostmaster nic-hdl: CH93-AP e-mail: anti-spam@ns.chinanet.cn.net address: No.31 ,jingrong street,beijing address: 100032 phone: +86-10-58501724 fax-no: +86-10-58501724 country: CN changed: dingsy@cndata.com 20070416 changed: zhengzm@gsta.com 20140227 mnt-by: MAINT-CHINANET source: APNIC person: IPMASTER CHINANET-GD nic-hdl: IC83-AP e-mail: gdnoc_HLWI@189.cn address: NO.18,RO. ZHONGSHANER,YUEXIU DISTRIC,GUANGZHOU phone: +86-20-87189274 fax-no: +86-20-87189274 country: CN changed: ipadm@189.cn 20110418 changed: zhengzm@gsta.com 20140922 mnt-by: MAINT-CHINANET-GD remarks: IPMASTER is not for spam complaint,please send spam complaint to abuse_gdnoc@189.cn abuse-mailbox: antispam_gdnoc@189.cn source: APNICy SSH != HTTPS ;)
Tu "problema" con el "Banco" viene por otro lado…
-
Hola
Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional.]Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional
¿Navegas con tunel ssh?
¿Necesita el banco o su web establecer una conexión ssh a tu pfSense?
¿Para que tienes abierto en la wan ssh, para administración remota?Mira este post, mmm
@celtica:fatal: Unable to negotiate with 116.31.116.6 port 29141: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]
I traced the IP to China (I am not in china) and it appears to be constantly hitting it several times a minute on different ports…wondering if this is a process built into pfsense, or if I should be blocking this IP?
Suggestions on course of action?
Thanks
Salu2
-
Yo bloqueaba esa ip y todo su rango de redes, o con pfBlockerNG bloquear a China directamente ;D
-
Hola
Yo bloqueaba esa ip y todo su rango de redes, o con pfBlockerNG bloquear a China directamente ;D
Ya la tengo bloqueada a China , los logs de escaneos desde china, eran monumentales :)
Salu2
-
Como bloqueo dicha ip y como podria saber desde donde se esta ingresando a esa ip
-
No sabes bloquear una ip con pfSense? Hay mil maneras , busca en el foro y elige la que te interese ;D
-
Hola
La forma más facil, vía gui, de bloquear una ip, es desde Satus > System Logs > Firewall : Y en una entrada de log de esa IP clikar en icono: Easy Rule: Add to block list
Creo que debes de mirar doc básica de pfSense, se tarda una o dos horas en aprender lo básico y viene bien para soltarse en la administración de pfSense.
Salu2
