[resolu]probleme connexion ssh 2 servers sur une ip

[unnilennium]

bonjour j'ai besoin d'acceder en ssh depuis un sme ) deux autres serveurs situé a distance sur la meme adresse ip internet.


Quand je me connecte au premier qui a été rentré pas de pb

Quand je me connecte au deuxième l'erreure suivante:

Code: Tout sélectionner

Warning: the RSA host key for 'domaine.net' differs from the key for the IP address 'IP.IP.IP.IP.IP'
Offending key for IP in /root/.ssh/known_hosts:1
Matching host key in /root/.ssh/known_hosts:2
Are you sure you want to continue connecting (yes/no)?


comment resoudre ce probleme et ne pas avoir d'erreure du tout ?


merci

[Muzo]

Bonjour,

Déjà comment est-il possible d'avoir 2 serveurs avec la même adresse ip?

[unnilennium]

Bonjour Muzo,


ipcop qui fait la passerelle, et derriere une sme en dmz dans le cas qu'i m'interesse.


mais j'ai aussi une sme en passerelle avec une autre sme derriere su runa utre site.


JP

voila en gros le schema :

SME1 => INTERNET => IPCOP => SME2

sachant que la sme 2 a été la premiere mise dans le fichier host allow ssh de la sme1 et ipcop en deuxieme position.

[jibe]

Salut,

<troll>

ipcop qui fait la passerelle, et derriere une sme en dmz

demande à tomtom
</troll>

Bon, je suis un peu vache de troller là-dessus, parce que le problème serait le même si tu avais une Debian ou une CentOS derrière ton Ipcop, et n'est donc pas dû à l'association que je déconseille.

Malheureusement, je ne connais pas la solution
A priori, je chercherais plutôt à atteindre la SME depuis l'Ipcop (un truc du genre : ssh root@adresse_publique_de_l_ipcop, puis une fois sur l'ipcop ssh root@adresse_locale_de_la_sme). Mais n'ayant pas de SME derrière une ipcop , je n'ai jamais fait l'essai et ne garantis pas...

[unnilennium]

alor spour transferer un fichier sur l'ipcop ca va etre compliqué avec un script cron, sachant que j'ai aussi besoin de faire ce genre de manip en direction de la sme derriere l'ipcop.


<troll>
Concernant le cumul de SME + IPCOP
ce n'ets aps une solution que j'aime , mais c'est ce qui est le plsu adapté au besoin serveur de fichiers + serveur web pour ldes etudiants + acces internet wifi pour les portables de ces mêmes étudiants + acces restreint au reseau pour certaines stations fixes filaire comme les postes de la bibliotheque.

en gros d'un coté les avantages de sme en serveur fichier+ serveur web
et de l'autre le filtrage web de IPCOP (je sais SME peux le faire) + la distinction de plusieurs reseaux : postes fixes filtrés sans dhcp et acces controlé en wifi avec filtres de l'ipcop)

</troll>

[unnilennium]

il suffit de rajouter l'ip a la main dans le fichier ~/.ssh/known_hosts sur la ligne correpondant au deuxieme serveur.

voici comment l'ajout se fait par ssh, quand on il rencontre la première fois le deuxieme serveur et qu'on lui dit d'ajouter

Code: Tout sélectionner

sme.domaine.net,255.255.255.255 ssh-rsa AAABA...
ipcop.domaine.net ssh-rsa AAACD...


voici comment doit être le fichier modifié

Code: Tout sélectionner

sme.domaine.net,255.255.255.255 ssh-rsa AAABA...
ipcop.domaine.net,255.255.255.255 ssh-rsa AAACD...


une autre solution aurait été de compromettre la sécurité en definissant "CheckHostIP no" dans:
- le ssh_config , ou
- un ~/.ssh/config pour l'utilisateur désiré, ou
- un fichier configuration spécifiquement pour les echanges avec ce deuxieme serveur en utilisant l'option de ssh -F pour appeler ce fichier de config.

[sibsib]

Hello,

Pas sûr d'avoir tout compris, mais tu as (aurais) deux réseaux privés à gérer, et ces deux réseaux privés auraient le même adressage ?

Ne serait-il pas plus raisonable d'envisager de renuméroter un des LANs privés (Parce que là, si un jour tu envisages le VPN entre les deux sites, çà va pas marcher des masees).

Je suis d'accord, c'est un peu énorme comme solution Mais au final, tu pourrais fort probablement récupérer le temps de traitement.

Sinon, pour ton problème particulier :
tu peux envisager de créer un bout de script qui lance le ssh après avoir installé le fichier known host 'kivabien'.

un script du genre :

Code: Tout sélectionner

cp /keys/$0.key ~/.ssh/known_hosts
ssh $0


Ce script, tu le linkes avec autant de nom de destination que tu as, et tu appeles les fichiers clef adaptés (que tu sauvegardes dans mon exemple dans /keys)

Enfin bref, on est lancé dans la bidouille

A+,
Pascal

[unnilennium]

Hello,

Pas sûr d'avoir tout compris, mais tu as (aurais) deux réseaux privés à gérer, et ces deux réseaux privés auraient le même adressage ?

effectivement pas tout compris.
le problème a été résolu il s'agit d'un probleme de remplissage du fichier known_hosts par ssh a cause du fait que je chercher à acceder à 2 serveurs qui sont hebergé sur la meme connection internet depuis une autre connection internet (leur adresse semble donc être la même pour le 3° serveur qui est sur une autre connection internet et n'est pas "local" par rapport aux deux autres.


un petit schema pour eclaircir un peu plus


reseau LAN1
|
SME1
|
IP1===========internet======>IP2 --IPCOP-----SME2




SME1 cherche a avoir un acces ssh sur IPCOP et sur SME2, les ports ssh sont different ce qui achemine facilement au meme serveur, leur nom d'hotes sont different, ce qui permet une differenciation dans le fichier known_hosts et pas d'ecrasement quand la clef publique est ajoutée,
MAIS : comme l'ip est identique ssh ne la mets pas sur la ligen du deuxieme hote ajouté .... ce qui créé un conflit et une alerte à chaque connection.

le problème a été résolu en rajoutant manuellement l'ip dans le fichier knoxn_hosts.

JP


PS: les adressages des reseau locaux sont bien distinct => pas de problème pour un eventuel vpn

[jibe]

Re...

il suffit de rajouter l'ip a la main dans le fichier ~/.ssh/known_hosts sur la ligne correpondant au deuxieme serveur.

Effectivement, j'aurais dû penser à ça...

la distinction de plusieurs reseaux : postes fixes filtrés sans dhcp et acces controlé en wifi avec filtres de l'ipcop)

Je pense que tu veux dire : séparer le LAN en deux parties ? En fait, tu mets tes postes wifi sur le bleu de l'Ipcop ?

Alors là, effectivement SME seul ne sait pas le faire, mais il s'agit d'un autre troll : wifi or not wifi ?

<troll>
Je ne savais pas que les portables actuels n'ont plus la possibilité de se raccorder à un réseau câblé...
</troll>

[unnilennium]

<troll>
Je ne savais pas que les portables actuels n'ont plus la possibilité de se raccorder à un réseau câblé...
</troll>

<troll>

si si ils ont toujours une carte reseau, mais fournir des prises reseaux disponibles en nombre suffisant pour 300 pc portables potentiels c'est plus lourd à gerer que quelques AP bien répartis.

</troll>

[sibsib]

Hello,

<Mode Parano On>

si si ils ont toujours une carte reseau, mais fournir des prises reseaux disponibles en nombre suffisant pour 300 pc portables potentiels c'est plus lourd à gerer que quelques AP bien répartis.

Et, au cas bien improbable ( çà se saurait si le Wi-Fi n'était pas secure ) ou un trou de sécurité était susceptible de permettre à n'importe qui de rentrer sur ton réseau d'entreprise par le Wi-Fi, tu fais quoi ? Tu éteins tes AP et tu informe tes 300 utilisateurs que jusqu'à nouvel ordre, il n'y a plus de réseau pour eux ?

Ok, je sais, j'en fais probablement trop... Mais "pas de çà chez moi !"

</Mode Parano On>

A+,
Pascal

[jibe]

Salut,


Merci sibsib !

Ne voulant pas être taxé de trolleur, je n'avais pas voulu répondre, mais si je l'avais fait, je n'aurais pas dit mieux (mais pas moins ) !

Cela dit, unnilennium, dans le domaine du "n'importe quel mauvais truc, pourvu que j'aie le confort" (1), regarde du côté du CPL : c'est quand même nettement moins risqué (au moins tant que ce n'est pas trop utilisé !)... Si vraiment tu ne veux pas mettre quelques câbles et éventuellement switches supplémentaires (1 câble dans chaque salle et 1 switch 8 voies à 15€, ça peut peut-être suffire ?)

Et puis, pour 300 PC potentiels, tu peux adopter la méthode des FAI (là-bas ce sont des ISP) philippins : pour 500 abonnés, ils ont 10 lignes téléphoniques, partant du principe que tout le monde ne se connecte pas en même temps. Et si par malheur tu es le 11° à te connecter, pas de problème : tu passes un coup de fil (communication locale gratuite) pour demander si c'est normal que tu n'arrives pas à te connecter. On te répond que c'est bizarre et on te demande de ré-essayer tout de suite. Le temps que tu rappelles (connexion RTC), un des 10 connectés a été sauvagement débranché, et miracle, tu te connectes... Jusqu'à la déconnexion sauvage qui permettra à un autre de prendre ta place. Donc, avec 10 câbles en tout et pour tout, tu devrais pouvoir t'en sortir

(1) Perso, je suis assez volontiers les conseils de ce proverbe tibétain : "lorsque deux chemins s'ouvrent à toi, choisis toujours le plus difficile". Facilités et confort sont rarement compatibles avec fiabilité et sécurité...