SSH pubkey připojení nefunguje - různé fingerprinty

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Od stibi

Dne 2014-05-26 20:18

Ahoj,
mám tu problém, kterému moc nerozumím.
Nepřipojím se z domácí Turris sítě na můj OpenShift server. Je to SSH připojení, pubkey se nahraje přes webové rozhraní a ono to "prostě funguje".
Fungovalo mi to celý den, dokud jsem byl připojený v práci. Doma to fungovat přestalo:

Permission denied (publickey,keyboard-interactive).

Mám doma krom Turrise ještě k dispozici 3G USB dongle od T-Mobile - přes něj vše opět funguje.
Vymazal jsem z ~/.ssh/known_hosts řádek s fingerprintem mého OpenShift serveru a zkoušel jsem se připojit (ssh můj@openshift):

Přes T-Mobile 3G USB:

The authenticity of host 'springtest-stibicz.rhcloud.com (54.196.39.45)' can't be established.
RSA key fingerprint is cf:ee:77:cb:0e:fc:02:d7:72:7e:ae:80:c0:90:88:a7.

Po přidání fingerprintu do known_hosts se normálně připojím,

Znovu jsem zmazal záznam z known_hosts, připojil jsem se k internetu přes Turris a znovu zkusil SSH připojení:

The authenticity of host 'springtest-stibicz.rhcloud.com (54.196.39.45)' can't be established.
ECDSA key fingerprint is be:2b:91:05:a7:4a:2a:28:81:c6:f7:a1:93:d1:98:fc.

Tentokrát mi server poslal ECDSA klíč, proč? (btw, github se chová stejně ?!).
Každopadně, připojení se nezdaří.

Když si zkusím vynutit RSA klíč: ssh -oHostKeyAlgorithms='ssh-rsa' můj@openshift

The authenticity of host 'springtest-stibicz.rhcloud.com (54.196.39.45)' can't be established.
RSA key fingerprint is 96:5e:64:58:9d:c6:d2:a3:85:b0:42:3c:15:82:6b:24.

Opět se připojení nezdaří.

Ohledně mé domácí sítě - Turris je připojený k O2 ADSL modemu (WAN), který je v bridge mode a taky přes wifi client mode k T-Mobile 3G WiFi modemu (WAN2) (jiná krabička, než ten 3G USB dongle).
V multiwan mám nastaveno, že default je traffic přes O2, ale vybané IP jedou přes T-Mobile 3G - třeba můj pracovní počítač.

(btw, DNSSEC forward jsem vypnul, žádná změna)
Vůbec tomu chování nerozumím a vůbec se mi to nelíbí - má někdo nápad, prosím?

Od Ondřej Caletka (>>>)

Dne 2014-05-26 21:02 Upraveno 2014-05-27 13:10

> Přes T-Mobile 3G USB:
> The authenticity of host 'springtest-stibicz.rhcloud.com (54.196.39.45)' can't be established.
> RSA key fingerprint is cf:ee:77:cb:0e:fc:02:d7:72:7e:ae:80:c0:90:88:a7.

Ze všech míst vidím týž klíč.

> Znovu jsem zmazal záznam z known_hosts, připojil jsem se k internetu přes Turris a znovu zkusil SSH připojení:
>
> The authenticity of host 'springtest-stibicz.rhcloud.com (54.196.39.45)' can't be established.
> ECDSA key fingerprint is be:2b:91:05:a7:4a:2a:28:81:c6:f7:a1:93:d1:98:fc.
>
> Tentokrát mi server poslal ECDSA klíč, proč? (btw, github se chová stejně ?!).
> Každopadně, připojení se nezdaří.

Tohle je podezřelé. Podle hlavičky serveru (SSH-2.0-OpenSSH_5.3) jde o verzi 5.3, přitom podpora pro ECDSA klíče byla přidána až ve verzi 5.7. Vysvětlení, která mě napadají jsou dvojí:

* Někde v síti se někdo pokouší provádět SSH Man-in-the-Middle útok na SSH spojení, ale nedaří se mu to.
* Někde v síti někdo omylem nastavil DNAT, který veškerý SSH provoz přesměrovavá na jednu konkrétní adresu (BTW, jaký fingerprint má SSH server vašeho Turrisu? :) )

Osobně se přikláním k druhé variantě. Zkuste projít nastavení firewallu v Turrisu, zdali tam nemáte nějaké příliš obecné přesměrování.

Od Michal Vaner (>>)

Dne 2014-05-27 13:00

Pozor, mícháte dohromady dva různé klíče. To permission denied je že server nechce pustit klienta dovnitř a v závorce je seznam metod, které umožňuje použít na autentikaci. To v known_hosts je fingerprint serveru. To, jaký tam máte je kontrola, že se připojujete na správný server, ale neovlivní to, jestli vás pustí server dovnitř.

To, že se ty RSA klíče liší nejspíš znamená, že se jedná o jiný server. Přikláním se k dojmu pana Caletky, nejspíš se to někde nějak přesměrovává jinam. Nehrál jste si s nějakými přesměrováními na Turrisu?

Od jakub.rybar

Dne 2014-05-27 14:28

S vysokou pravděpodobností a na základě osobní zkušeností (s nesprávnou konfigurací FW) bych hledal pravidlo pro přesměrování SSH z LAN do WAN, resp. na WAN rozhraní Turrisu. Jestli tam takové pravidlo máte a nevidíte v něm zakopaného psa, můžete sem prosím postnout předmětnou část výstupu z příkazu "uci show | grep redirect"?