CiscoForums.it

Scusate ma ho bisogno di aiuto poichè sto impazzendo per cercare di capire. Sono un neofita. Pian piano ho cercato di decifrare il file di configurazione. quello che non capisco è : Al mio primo collegamento, dal mio provider mi è stato assegnato un ip statico.
Come devo modificare il file di configurazione affichè possa raggiungere il router in ssh ?
Spero di essere stato chiaro.
Ringrazio anticipatamente.


!
version 12.2
!
no service pad
!
logging queue-limit 100
logging buffered 8192 debugging
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname xxxxx
!

enable secret
username xxxxx password xxxxxx
ip subnet-zero
no ip source-route
no ip domain lookup
!
ip domain name xxxxxx
!
ip dhcp excluded-address 192.168.1.1 192.168.1.10
ip dhcp excluded-address 192.168.1.100 192.168.1.254
!
ip dhcp pool CLIENTS
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 80.241.160.79 80.241.160.5
domain-name xxxxxx
!
ip inspect max-incomplete high 100000
ip inspect max-incomplete low 90000
ip inspect one-minute high 100000
ip inspect one-minute low 90000
ip inspect dns-timeout 10
ip inspect tcp idle-time 600
ip inspect name Firewall ftp
ip inspect name Firewall tftp
ip inspect name Firewall smtp
ip inspect name Firewall tcp
ip inspect name Firewall udp
!
interface Ethernet0
description ---- Lan interna ----
ip address 192.168.1.254 255.255.255.0
ip access-group 105 in
no ip proxy-arp
ip nat inside
no cdp enable
hold-queue 100 out
!
interface ATM0
description ---- Non ci sono indirizzi IP assegnati ----
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
!
interface Dialer0
description ---- Connessione al provider ----
ip address negotiated
ip access-group 110 in
no ip proxy-arp
ip nat outside
ip inspect Firewall out
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp chap hostname xxxxxxx
ppp chap password xxxxxx
ppp pap sent-username xxxx password xxxx
ip nat translation tcp-timeout 600
ip nat translation finrst-timeout 5
!
ip nat inside source list 101 interface Dialer0 overload
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
no ip http server
no ip http secure-server
!
access-list 101 remark ---- Traffico nattato verso Internet ----
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
!
access-list 105 remark ---- Filtra il traffico proveniente dalla LAN ----
access-list 105 deny udp any range 135 netbios-ss any
access-list 105 permit udp any eq bootpc any eq bootps
access-list 105 permit ip any any
!
access-list 110 remark ---- Impostazioni di sicurezza in input ATM 0.1 ----
!
access-list 110 remark ---- Accesso attraverso SSH e Ping ----
access-list 110 permit tcp any any eq 22
access-list 110 permit icmp any any
!
access-list 110 deny 53 any any
access-list 110 deny 55 any any
access-list 110 deny 77 any any
!
access-list 110 permit ip any any
!
dialer-list 1 protocol ip list 101
no cdp run
!
line con 0
exec-timeout 0 0
login local
no modem enable
length 30
transport preferred none
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login local
length 30
transport input ssh
exec-timeout 5 0
!
scheduler max-task-time 5000
!
end

Re:

Ciao,

prima cosa il file di conf nn si modifica, ma si danno i cmd oppurtuni e ci pensa il router a cambiare la conf...seconda cosa è da vedere se il router che ha in mano ha l'ios con il supporto per il crypto che è necessario per l'ssh.

By Marckalex - Cisco Systems Engineer

Il router ha ios 12.3, quindi supporta ssh.
Assodata questa questione ... come posso risolvere il mio problema ?
Quali sono i comandi che devo utilizzare ?


Grazie

Ciao sono un neofita pure io, perciò prendi con le pinze ciò che ti sto per dire
Spero solo che un guru non mi bacchetti per questa mia intromissione eheheheh

Allora ho visto che c'è già una voce nella acl che ti permette di eseguire il SSh da internet verso il tuo router. Quello che manca è la configurazione del server ssh. Premesso che ancora non ho provato a configurarlo nel mio router perchè sto dietro ad un altro problema, i comandi dovrebbere essere questi:
1) generare una coppia di chiavi asimmetriche per la comunicazione cifrata
Router(config)#crypto key generate rsa
2) configurazione del timeout (in secondi) e del numero di tentativi possibili:
Router(config)#ip ssh time-out 15
Router(config)#ip ssh authentication-retries 3
3)creare un utente locale (se non usi AAA) nel server:
Router(config)#username hook password hook
4)consentire solo connessioni ssh
!Il numero delle linee vty è variabile ma generalemnet sono 5 (da 0 a 4)
Router(config)#line vty 0 4
Router(config)#transport input ssh
!Questo è da usare se non hai server AAA
Router(config)#login local

Spero di esserti stato utile, ma ricorda che sono un neofita e che ancora non ho configurato ssh nel mio router

Ciao

ho una domanda.
ho un cisco 827 con un vecchio ios (c820-osy656i-mz.121-3.XG6.bin)
ho configurato l'accesso tramite ssh e funziona correttamente.
Vorrei poter abilitare l'encription a 3des e il protocollo ssh2.
In questo momento è attivo il protocollo ssh1 e encryption des.

questi due parametri dipendono dalla versione dell'IOS o lo posso configurare?
solo dall'IOS 12.3 è supportato il ssh o anche ai precedenti?

se sul router mi connetto con putty riesco ad entrare se invece ci provo con ssh client (www.ssh.org la versione client free) mi da errore (e può starci visto che è in ssh1 e des).

edit
ho visto che il ssh2 è stato implementato dalla ver 12.3T dell'ios con comandi
ip ssh version [1 | 2 ]