[gelöst] ssh über nat mit versch. rechnern = props

DerAntiPro · Beitrag von **DerAntiPro** » 08.04.2006 02:25:23

Guten Morgen,
ich habe eine netzwerk in dem mehrere rechner mit ssh auf verschiedenen ports laufen. diese sind alle über einen router mit nat aus dem internet erreichbar. wenn ich also mit

Code: Alles auswählen

ssh root@myip.com -p 2244

auf den einen, und dannach mit

Code: Alles auswählen

ssh root@myip.com -p 2242

auf den anderen verbinde bekomme ich ein

WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

Ist es irgendwie möglich, der known_hosts klar zu machen, dass eine dns auf unterschiedlichen ports unterschiedliche keys zu erwarten hat?

mfg.

bse · Beitrag von **bse** » 08.04.2006 17:46:02

leg dir ne ~/.ssh/config an und erstell dort Einträge für jeden Host.

Code: Alles auswählen

man ssh_config

DerAntiPro · Beitrag von **DerAntiPro** » 09.04.2006 14:00:14

Ich habe mir jetzt folgende config angelegt:

Code: Alles auswählen

Host *
	Compression = yes
	CompressionLevel = 9
Host suse
	Port = 3022
	Hostname = warri.homeip.net
	User = web3
Host achilles
	Port = 2022
	Hostname = warri.homeip.net
	User = web3

Das hat zwar zur folge, dass ich jetzt nur noch ssh suse oder ssh achilles eingeben muss, aber das

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

bleibt immer noch

bse · Beitrag von **bse** » 10.04.2006 04:24:52

Öhm, die ganzen = sind meines Wissens alle falsch - weg damit.

Und einmal musst eventuell noch wirklich die angegebene Zeile in der known_hosts löschen. Steht ja praktischerweise schon dran, welche Zeilennummer das ist. Mit vim geht das in ca. 5 Sekunden

Für Zeile 23 zb:

Code: Alles auswählen

vim ~/.ssh/known_hosts
23G
dd
:x

... nur um die Gelegenheit zu nutzen, den Besten aller Editoren zu promoten

mistersixt · Beitrag von **mistersixt** » 10.04.2006 08:22:02

@DerAntiPro:

Soweit ich weiss geht das mit OpenSSH gar nicht. Bei der Version von http://www.ssh.com werden die known_hosts Keys inklusive Port-Nummer gespeichert, so dass bei unterschiedlichen Zielports trotzdem zw. den Keys unterschieden wird.

Ansonsten kann man vielleicht mit der Option StrictHostKeyChecking nur eine Warning ausspucken lassen.

Ich habe bisher bei diesem Problem jedem Client im LAN eine eigene DynDNS-Adresse gegeben (die zwar alle auf die gleiche IP zeigen, aber halt unterschiedliche Hostnamen haben).

Gruss, mistersixt.

gms · Beitrag von **gms** » 10.04.2006 12:24:41

Bei mir funktioniert das. Ich habe alledings noch zusätzlich den HostKeyAlias gesetzt

also:

Code: Alles auswählen

Host <hostname>
  hostname <router>
  port <port>
  HostKeyAlias <hostname>

eventuell mußt du auch noch "CheckHostIP" abschalten

Gruß
gms

Kotzkroete · Beitrag von **Kotzkroete** » 10.04.2006 12:45:18

Zur not einfach die known_hosts datei löschen. Dann sind zwar die Fingerprints weg, aber es funktioniert und is unkopliziert.

DerAntiPro · Beitrag von **DerAntiPro** » 10.04.2006 13:26:06

Danke erstmal für die viele Antworten

Ich habe es mit der Idee von gms geschafft:

Code: Alles auswählen

Host *
   Compression = yes
   CompressionLevel = 9
   CheckHostIP = no
Host suse
   Port = 3022
   Hostname = warri.homeip.net
   User = web3
   HostKeyAlias = suse
Host achilles
   Port = 2022
   Hostname = warri.homeip.net
   User = web3
   HostKeyAlias = achilles

mfg.

mistersixt · Beitrag von **mistersixt** » 10.04.2006 16:27:13

Danke gms, das hilft mir auch weiter, den Trick kannte ich auch noch nicht ...

gruss, mistersixt.