ubuntuusers.de

Ich bekomme seit einiger Zeit immer wieder mal folgende Meldung:

rsync --files-from=0_file_list -avze ssh . manfred@lager1:prog/gui/videodb/
Warning: Permanently added the RSA host key for IP address '2003:cb:ff0c:de00:265e:beff:fe1f:fe86' to the list of known hosts.
manfred@lager1's password: 
0_file_list
Catalogue.cpp
ComboBox.cpp
...

sent 19,767 bytes  received 1,101 bytes  1,987.43 bytes/sec
total size is 143,272  speedup is 6.87
manfred@samurai:~/prog/gui/videodb$

In der Datei: ~/ssh/known_hosts haben sich inzwischen etliche fast identische Keys angesamment. Der Teil hinter ssh-rsa ist immer gleich.

Ich habe jetzt das erste mal die IP6 Adresse notiert, daher weiß ich nicht, ob die immer gleich ist. sollte sie aber eigentlich.

Der Server hat übrigen die feste IP 192.168.123.62 und die Fritz-Box hat das auch nicht vergessen. Könnte das mit einem Update des NAS (Qnap) zusammen hängen?

In diesem Zusammenhang könnte auch interessant sein, das ich von meinem Notebook im Wohnzimmer aus nicht mehr, wie gewohnt, meinen Hauptrechner mit dem Rechnernamen ansprechen kann. Ich muss seit dem Sommer immer die IP Adresse angeben. Wobei ich anmerken muss, das auch die Fritz-Box im Sommer ein heimliches Update gemacht hat.

Momentan habe ich keine Idee, wo ich da ansetzen kann.

Dakuan schrieb:

Ich habe jetzt das erste mal die IP6 Adresse notiert, daher weiß ich nicht, ob die immer gleich ist. sollte sie aber eigentlich.

Die Interface-ID der IPv6-adresse ist mac-address-basiert, was auch OK ist. Wird evtl. mac-address-randomization gemacht?

Dakuan schrieb:

In diesem Zusammenhang könnte auch interessant sein, das ich von meinem Notebook im Wohnzimmer aus nicht mehr, wie gewohnt, meinen Hauptrechner mit dem Rechnernamen ansprechen kann. Ich muss seit dem Sommer immer die IP Adresse angeben. Wobei ich anmerken muss, das auch die Fritz-Box im Sommer ein heimliches Update gemacht hat.

Kann mit der FritzBox, reverse-lookup für diese IP-Adresse des Hauptrechners, gemacht werden?

dig -x <IP-Adresse-Hauptrechner> +short @<IP-Adresse-FrirtBox>

?

SSH-Schlüssel gelten immer nur für eine IP-Adresse. Wenn sich diese ändert – und globale IPv6-Adressen für Privatleute ändern sich mindestens einmal pro Tag – ist das für SSH ein neuer, unbekannter Rechner.

Abhilfe: Im LAN hinter einem Router nicht die uneingeschränkt global routing-fähigen Adressen 2000::/3 benutzen, sondern die nur in der eigenen Organisation routing-fähigen Adressen fd00::/8, diese kann man durch Einstellung in der Fritzbox selber fest vergeben.

Man muss dann noch auf jedem Client festlegen, dass fd00::/8 vor 2000::/3 Vorrang hat. Das geht über /etc/gai.conf und ist nicht ganz einfach zu verstehen.

@lubux Ich sitze momentan am Hauptrechner, da klappt das nicht. Daher habe ich mal das Lager genommen:

manfred@samurai:~$ dig -x 192.168.123.62 +short @192.168.123.1
LAGER1.fritz.box.
manfred@samurai:~$

@kB Momentan werden da nur Adressen mit 2003:cb:ff0c:... angeboten. Bedeuted das jetzt, dass ich den ULA-Präfix manuell festlegen muss? Oder interpretiere ich das falsch?

Was auch immer. Die Hausaufgaben mache ich erst morgen früh.

Dakuan schrieb:

@lubux Ich sitze momentan am Hauptrechner, da klappt das nicht. Daher habe ich mal das Lager genommen:

manfred@samurai:~$ dig -x 192.168.123.62 +short @192.168.123.1
LAGER1.fritz.box.

Teste mal ob ein PTR-Eintrag vorhanden ist:

host -t ptr 192.168.123.62 192.168.123.1
host -t ptr <IP-Adresse-Hauptrechner> 192.168.123.1

manfred@samurai:~$ host -t ptr 192.168.123.62 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases: 

62.123.168.192.in-addr.arpa domain name pointer LAGER1.fritz.box.
manfred@samurai:~$

und

manfred@samurai:~$ host -t ptr 192.168.123.56 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases: 

56.123.168.192.in-addr.arpa domain name pointer samurai.fritz.box.
manfred@samurai:~$ 

Was mir dabei noch einfällt: Mit meinem selbstgeschriebenen Client Programm brauchte ich früher als Ziel nur "samurai" eingeben. Jetzt muss es die IP sein. Wobei ich nie die IP6 probiert hatte, da diese mir ja bisher unbekannt war.

[edit] P.s. Zum Testen auf den Hauptrechner nehme ich immer "localhost". Da fällt das Problem nicht auf.

Dakuan schrieb:

manfred@samurai:~$ host -t ptr 192.168.123.56 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases: 

56.123.168.192.in-addr.arpa domain name pointer samurai.fritz.box.
manfred@samurai:~$ 

Was mir dabei noch einfällt: Mit meinem selbstgeschriebenen Client Programm brauchte ich früher als Ziel nur "samurai" eingeben. Jetzt muss es die IP sein.

Ich verstehe nicht warum reverse-lookup nicht geht, wenn der ptr-Eintrag vorhanden ist.
Wie sind die Ausgaben von:

cat /etc/nsswitch.conf
cat /etc/resolv.conf
host -t a samurai.fritz.box 192.168.123.1

?

Ich verstehe nicht warum reverse-lookup nicht geht, wenn der ptr-Eintrag vorhanden ist.

Das kann ja auch am Notebook liegen. Aber das muss ich erst aufbauen und verkabeln. Linux mag den WLAN-Baustein darin nicht (ist unzuverlässig). Von "samurai" nach "lager1" geht es ja wohl.

manfred@samurai:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat systemd
group:          compat systemd
shadow:         compat
gshadow:        files

hosts:          files mdns4_minimal [NOTFOUND=return] dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
manfred@samurai:~$

und

manfred@samurai:~$ cat /etc/resolv.conf
# This file is managed by man:systemd-resolved(8). Do not edit.
...
# operation for /etc/resolv.conf.

nameserver 127.0.0.53
options edns0
search fritz.box
manfred@samurai:~$

Den Kommentar habe ich mal gekürzt.

manfred@samurai:~$ host -t a samurai.fritz.box 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases: 

samurai.fritz.box has address 192.168.123.56
manfred@samurai:~$

Dakuan schrieb:

hosts:          files mdns4_minimal [NOTFOUND=return] dns

BTW: Die hosts-Zeile der /etc/nsswitch.conf kannst Du optimieren:

# hosts:          files mdns4_minimal [NOTFOUND=return] dns
hosts:          files dns mdns4_minimal [NOTFOUND=return]

So wie sich die Sache mir darstellt, sind das zwei Probleme, die aber irgendwie zusammenhängen. Da muss ich mein Clientprogramm wohl noch einmal nachbessern, wobei das eigentlich IPv6 können soll. Wenn ich da nur "samurai" eingebe, geht es und bei "samurai.fritz.box" nicht. Da muss ich wohl wieder mit txpdump ran.

Zur Info:

manfred@samurai:~$ ping samurai
PING samurai (127.0.1.1) 56(84) bytes of data.
64 bytes from samurai (127.0.1.1): icmp_seq=1 ttl=64 time=0.047 ms
...

und

manfred@samurai:~$ ping samurai.fritz.box
PING samurai.fritz.box(samurai.fritz.box (2003:cb:ff0c:de00:36b:5203:6b7f:d404)) 56 data bytes
64 bytes from samurai.fritz.box (2003:cb:ff0c:de00:36b:5203:6b7f:d404): icmp_seq=1 ttl=64 time=0.065 ms
...

Da hat AVM mich wohl ausgebremst.

So, das unwichtige zuerst. Das nebenbei entdeckte Problem ist fast gelöst. Eine Folge kleiner Fehler:

• Am Hauptrechner lief die Namensauflösung über /etc/hosts wo nur IPv4 eingestellt ist. Da fiel der Fehler nicht auf.

• Obwohl auf beiden Seiten für getaddrinfo() AF_UNSPEC eingestellt ist, beginnt der Server immer mit IPv4 und der Client mit IPv6. Damit scheitert der erste Verbindungsversuch immer und klemmt dann in einer fehlerhaften Fehlerbehandlung fest. Aber das ist lösbar.

Das eigentliche Problem scheint aber nicht zufriedenstellend lösbar zu sein. Ich habe noch keine Ahnung, was ich da als ULA eintragen sollte. Ich habe zwar den entsprechenden Wikipedia Artikel gelesen, aber das einzige Ergebnis ist, dass mir der Kopf raucht.

Zudem finde ich es extrem unpraktisch, wenn ich bei allen Rechnern, die mit rsync über das Netzwerk ein Backup machen sollen, die Systemkonfiguration umkrempeln muss.

Vor dem letzten Update der FritzBox konnte man IPv6 im lokalen Bereich noch abschalten. Diese Option wurde wohl gestrichen.

Dakuan schrieb:

Vor dem letzten Update der FritzBox konnte man IPv6 im lokalen Bereich noch abschalten. Diese Option wurde wohl gestrichen.

Aber Du könntest ssh (Server und Client) so konfigurieren, dass nur IPv4 benutzt wird:

AddressFamily
             Specifies which address family to use when connecting.  Valid arguments are “any”, “inet” (use IPv4
             only), or “inet6” (use IPv6 only).

Ups, ich fürchte da war ich wieder mal nicht deutlich genug. Das weiter bestehende IPv6 Problem getrifft die Verbindung mit dem NAS. Da habe ich eine solche Einstellung bisher nicht gefunden. Wobei ich anmerken muss, die Menüführung bei QNAP ist hauptsächlich bunt und verwirrend. Ich glaube nicht das "lager2" auch von dieser Firma kommen wird 👿

Ich betreibt echt viel Aufwand, die Meldung bekommst du weil ein Debian Entwickler (vermutlich vor über einem Jahrzehnt) meinte den Default von OpenSSH zu ändern, konkret die Einstellung CheckHostIP, diese ist im SSH Standard auf no, nur bei Debian und damit auch Ubuntu auf yes. Nachweis dazu in der Manpage von ssh_config ganz oben, auf einem Debian/Ubuntu System.

Namensauflösung ist dann aber ein anderes Thema.

Dakuan schrieb:

[…] Mit meinem selbstgeschriebenen Client Programm brauchte ich früher als Ziel nur "samurai" eingeben. Jetzt muss es die IP sein.

Dafür muss die Namensauflösung richtig funktionieren. Insbesondere muss

host samurai 

eine Liste von IP-Adressen ausgeben.