Dakuan
Anmeldungsdatum: 2. November 2004
Beiträge: 6450
Wohnort: Hamburg
|
Ich bekomme seit einiger Zeit immer wieder mal folgende Meldung:
rsync --files-from=0_file_list -avze ssh . manfred@lager1:prog/gui/videodb/
Warning: Permanently added the RSA host key for IP address '2003:cb:ff0c:de00:265e:beff:fe1f:fe86' to the list of known hosts.
manfred@lager1's password:
0_file_list
Catalogue.cpp
ComboBox.cpp
...
sent 19,767 bytes received 1,101 bytes 1,987.43 bytes/sec
total size is 143,272 speedup is 6.87
manfred@samurai:~/prog/gui/videodb$
In der Datei: ~/ssh/known_hosts haben sich inzwischen etliche fast identische Keys angesamment. Der Teil hinter ssh-rsa ist immer gleich. Ich habe jetzt das erste mal die IP6 Adresse notiert, daher weiß ich nicht, ob die immer gleich ist. sollte sie aber eigentlich. Der Server hat übrigen die feste IP 192.168.123.62 und die Fritz-Box hat das auch nicht vergessen. Könnte das mit einem Update des NAS (Qnap) zusammen hängen? In diesem Zusammenhang könnte auch interessant sein, das ich von meinem Notebook im Wohnzimmer aus nicht mehr, wie gewohnt, meinen Hauptrechner mit dem Rechnernamen ansprechen kann. Ich muss seit dem Sommer immer die IP Adresse angeben. Wobei ich anmerken muss, das auch die Fritz-Box im Sommer ein heimliches Update gemacht hat. Momentan habe ich keine Idee, wo ich da ansetzen kann.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14174
|
Dakuan schrieb: Ich habe jetzt das erste mal die IP6 Adresse notiert, daher weiß ich nicht, ob die immer gleich ist. sollte sie aber eigentlich.
Die Interface-ID der IPv6-adresse ist mac-address-basiert, was auch OK ist. Wird evtl. mac-address-randomization gemacht? Dakuan schrieb: In diesem Zusammenhang könnte auch interessant sein, das ich von meinem Notebook im Wohnzimmer aus nicht mehr, wie gewohnt, meinen Hauptrechner mit dem Rechnernamen ansprechen kann. Ich muss seit dem Sommer immer die IP Adresse angeben. Wobei ich anmerken muss, das auch die Fritz-Box im Sommer ein heimliches Update gemacht hat.
Kann mit der FritzBox, reverse-lookup für diese IP-Adresse des Hauptrechners, gemacht werden?
dig -x <IP-Adresse-Hauptrechner> +short @<IP-Adresse-FrirtBox>
?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9357
Wohnort: Münster
|
SSH-Schlüssel gelten immer nur für eine IP-Adresse. Wenn sich diese ändert – und globale IPv6-Adressen für Privatleute ändern sich mindestens einmal pro Tag – ist das für SSH ein neuer, unbekannter Rechner. Abhilfe: Im LAN hinter einem Router nicht die uneingeschränkt global routing-fähigen Adressen 2000::/3 benutzen, sondern die nur in der eigenen Organisation routing-fähigen Adressen fd00::/8 , diese kann man durch Einstellung in der Fritzbox selber fest vergeben. Man muss dann noch auf jedem Client festlegen, dass fd00::/8 vor 2000::/3 Vorrang hat. Das geht über /etc/gai.conf und ist nicht ganz einfach zu verstehen.
|
Dakuan
(Themenstarter)
Anmeldungsdatum: 2. November 2004
Beiträge: 6450
Wohnort: Hamburg
|
@lubux Ich sitze momentan am Hauptrechner, da klappt das nicht. Daher habe ich mal das Lager genommen:
manfred@samurai:~$ dig -x 192.168.123.62 +short @192.168.123.1
LAGER1.fritz.box.
manfred@samurai:~$ @kB Momentan werden da nur Adressen mit 2003:cb:ff0c:... angeboten. Bedeuted das jetzt, dass ich den ULA-Präfix manuell festlegen muss? Oder interpretiere ich das falsch? Was auch immer. Die Hausaufgaben mache ich erst morgen früh.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14174
|
Dakuan schrieb: @lubux Ich sitze momentan am Hauptrechner, da klappt das nicht. Daher habe ich mal das Lager genommen:
manfred@samurai:~$ dig -x 192.168.123.62 +short @192.168.123.1
LAGER1.fritz.box.
Teste mal ob ein PTR-Eintrag vorhanden ist:
host -t ptr 192.168.123.62 192.168.123.1
host -t ptr <IP-Adresse-Hauptrechner> 192.168.123.1
|
Dakuan
(Themenstarter)
Anmeldungsdatum: 2. November 2004
Beiträge: 6450
Wohnort: Hamburg
|
manfred@samurai:~$ host -t ptr 192.168.123.62 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases:
62.123.168.192.in-addr.arpa domain name pointer LAGER1.fritz.box.
manfred@samurai:~$
und
manfred@samurai:~$ host -t ptr 192.168.123.56 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases:
56.123.168.192.in-addr.arpa domain name pointer samurai.fritz.box.
manfred@samurai:~$
Was mir dabei noch einfällt: Mit meinem selbstgeschriebenen Client Programm brauchte ich früher als Ziel nur "samurai" eingeben. Jetzt muss es die IP sein. Wobei ich nie die IP6 probiert hatte, da diese mir ja bisher unbekannt war. [edit]
P.s. Zum Testen auf den Hauptrechner nehme ich immer "localhost". Da fällt das Problem nicht auf.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14174
|
Dakuan schrieb: manfred@samurai:~$ host -t ptr 192.168.123.56 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases:
56.123.168.192.in-addr.arpa domain name pointer samurai.fritz.box.
manfred@samurai:~$
Was mir dabei noch einfällt: Mit meinem selbstgeschriebenen Client Programm brauchte ich früher als Ziel nur "samurai" eingeben. Jetzt muss es die IP sein.
Ich verstehe nicht warum reverse-lookup nicht geht, wenn der ptr-Eintrag vorhanden ist. Wie sind die Ausgaben von:
cat /etc/nsswitch.conf
cat /etc/resolv.conf
host -t a samurai.fritz.box 192.168.123.1
?
|
Dakuan
(Themenstarter)
Anmeldungsdatum: 2. November 2004
Beiträge: 6450
Wohnort: Hamburg
|
Ich verstehe nicht warum reverse-lookup nicht geht, wenn der ptr-Eintrag vorhanden ist.
Das kann ja auch am Notebook liegen. Aber das muss ich erst aufbauen und verkabeln. Linux mag den WLAN-Baustein darin nicht (ist unzuverlässig). Von "samurai" nach "lager1" geht es ja wohl. manfred@samurai:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat systemd
group: compat systemd
shadow: compat
gshadow: files
hosts: files mdns4_minimal [NOTFOUND=return] dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
manfred@samurai:~$
und
manfred@samurai:~$ cat /etc/resolv.conf
# This file is managed by man:systemd-resolved(8). Do not edit.
...
# operation for /etc/resolv.conf.
nameserver 127.0.0.53
options edns0
search fritz.box
manfred@samurai:~$
Den Kommentar habe ich mal gekürzt.
manfred@samurai:~$ host -t a samurai.fritz.box 192.168.123.1
Using domain server:
Name: 192.168.123.1
Address: 192.168.123.1#53
Aliases:
samurai.fritz.box has address 192.168.123.56
manfred@samurai:~$
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14174
|
Dakuan schrieb: hosts: files mdns4_minimal [NOTFOUND=return] dns
BTW: Die hosts-Zeile der /etc/nsswitch.conf kannst Du optimieren:
# hosts: files mdns4_minimal [NOTFOUND=return] dns
hosts: files dns mdns4_minimal [NOTFOUND=return]
|
Dakuan
(Themenstarter)
Anmeldungsdatum: 2. November 2004
Beiträge: 6450
Wohnort: Hamburg
|
So wie sich die Sache mir darstellt, sind das zwei Probleme, die aber irgendwie zusammenhängen. Da muss ich mein Clientprogramm wohl noch einmal nachbessern, wobei das eigentlich IPv6 können soll. Wenn ich da nur "samurai" eingebe, geht es und bei "samurai.fritz.box" nicht. Da muss ich wohl wieder mit txpdump ran. Zur Info:
manfred@samurai:~$ ping samurai
PING samurai (127.0.1.1) 56(84) bytes of data.
64 bytes from samurai (127.0.1.1): icmp_seq=1 ttl=64 time=0.047 ms
...
und
manfred@samurai:~$ ping samurai.fritz.box
PING samurai.fritz.box(samurai.fritz.box (2003:cb:ff0c:de00:36b:5203:6b7f:d404)) 56 data bytes
64 bytes from samurai.fritz.box (2003:cb:ff0c:de00:36b:5203:6b7f:d404): icmp_seq=1 ttl=64 time=0.065 ms
...
Da hat AVM mich wohl ausgebremst.
|
Dakuan
(Themenstarter)
Anmeldungsdatum: 2. November 2004
Beiträge: 6450
Wohnort: Hamburg
|
So, das unwichtige zuerst. Das nebenbei entdeckte Problem ist fast gelöst. Eine Folge kleiner Fehler:
Am Hauptrechner lief die Namensauflösung über /etc/hosts wo nur IPv4 eingestellt ist. Da fiel der Fehler nicht auf. Obwohl auf beiden Seiten für getaddrinfo() AF_UNSPEC eingestellt ist, beginnt der Server immer mit IPv4 und der Client mit IPv6. Damit scheitert der erste Verbindungsversuch immer und klemmt dann in einer fehlerhaften Fehlerbehandlung fest. Aber das ist lösbar.
Das eigentliche Problem scheint aber nicht zufriedenstellend lösbar zu sein. Ich habe noch keine Ahnung, was ich da als ULA eintragen sollte. Ich habe zwar den entsprechenden Wikipedia Artikel gelesen, aber das einzige Ergebnis ist, dass mir der Kopf raucht. Zudem finde ich es extrem unpraktisch, wenn ich bei allen Rechnern, die mit rsync über das Netzwerk ein Backup machen sollen, die Systemkonfiguration umkrempeln muss. Vor dem letzten Update der FritzBox konnte man IPv6 im lokalen Bereich noch abschalten. Diese Option wurde wohl gestrichen.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 14174
|
Dakuan schrieb: Vor dem letzten Update der FritzBox konnte man IPv6 im lokalen Bereich noch abschalten. Diese Option wurde wohl gestrichen.
Aber Du könntest ssh (Server und Client) so konfigurieren, dass nur IPv4 benutzt wird:
AddressFamily
Specifies which address family to use when connecting. Valid arguments are “any”, “inet” (use IPv4
only), or “inet6” (use IPv6 only).
|
Dakuan
(Themenstarter)
Anmeldungsdatum: 2. November 2004
Beiträge: 6450
Wohnort: Hamburg
|
Ups, ich fürchte da war ich wieder mal nicht deutlich genug. Das weiter bestehende IPv6 Problem getrifft die Verbindung mit dem NAS. Da habe ich eine solche Einstellung bisher nicht gefunden. Wobei ich anmerken muss, die Menüführung bei QNAP ist hauptsächlich bunt und verwirrend. Ich glaube nicht das "lager2" auch von dieser Firma kommen wird 👿
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17518
|
Ich betreibt echt viel Aufwand, die Meldung bekommst du weil ein Debian Entwickler (vermutlich vor über einem Jahrzehnt) meinte den Default von OpenSSH zu ändern, konkret die Einstellung CheckHostIP , diese ist im SSH Standard auf no , nur bei Debian und damit auch Ubuntu auf yes . Nachweis dazu in der Manpage von ssh_config ganz oben, auf einem Debian/Ubuntu System. Namensauflösung ist dann aber ein anderes Thema.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9357
Wohnort: Münster
|
Dakuan schrieb: […] Mit meinem selbstgeschriebenen Client Programm brauchte ich früher als Ziel nur "samurai" eingeben. Jetzt muss es die IP sein.
Dafür muss die Namensauflösung richtig funktionieren. Insbesondere muss host samurai eine Liste von IP-Adressen ausgeben.
|