Cisco 2960x benaderen via SSH

zaterdag 9 april 2022 17:41

Acties:

0 Henk 'm!

13kWp

Topicstarter

Ik heb een aantal 2960x switches gekregen en ik wil er een gebruiken voor mijn lokale thuisnetwerk.

De switch heb ik helemaal factory gereset en geupdate naar de laatste versie:

De versie is:
* 1 54 WS-C2960X-48TD-L 15.2(7)E6 C2960X-UNIVERSALK9-M

Ik heb mijn username aangemaakt, ook een self signed certificaat (volgens wat instructies). Ik ben geen Cisco expert, wil wel graag bijleren.

Als ik met SSH probeer in te loggen wordt geen enkel account geaccepteerd. Ook admin, waarmee ik op de webinterface kan inloggen wordt niet geaccepteerd.

Er is hier vast iemand die weet hoe dat komt. Ik ben al 2 uur aan het knutselen maar krijg het maar niet voor elkaar. Via de CLI op de webinterface kan ik wel commando's ingeven, maar dit werkt heel omslachtig.

Alvast dank!

zaterdag 9 april 2022 18:25

plizz

Fairy schreef op zaterdag 9 april 2022 @ 18:15:
code:
1
2
3
4
5
6
7
8
9
10
11
12
!
line con 0
 exec-timeout 0 0
line vty 0 4
 password ********
 login
 transport input ssh
line vty 5 15
 password ********
 login
 transport input ssh
!
Dit is het stukje config dat ik vind waar VTY in staat. Alleen passwords ff weggehaald. Weet ook niet waarom die er staan, zou op basis van useraccount moeten gaan. Ben ook een beetje aan het stoeien geweest.

Je hebt telnet geconfigureerd op je switch. Je moet "login local" nog toevoegen line vty 0 15 en dan zou SSH moeten werken. Voor web gedeelte zie mijn vorige post.

zaterdag 9 april 2022 17:46

Acties:

+1 Henk 'm!

plizz

Post je config. Ik vermoed dat je authenticatie gedeelte fout gaat. Je moet in VTY 0 4 login local erbij doen. Ook tegen switch zeggen dat authenticatie voor website via lokale user account moet verifiëren.

code:

ip http server
ip http secure-server
ip http authentication local
!
line vty 0 4    
exec-timeout 5 0
 transport input ssh
 transport output none
 login local
end

[ Voor 32% gewijzigd door plizz op 09-04-2022 18:21 ]

zaterdag 9 april 2022 18:15

Acties:

+1 Henk 'm!

Fairy

13kWp

Topicstarter

code:

!
line con 0
 exec-timeout 0 0
line vty 0 4
 password ********
 login
 transport input ssh
line vty 5 15
 password ********
 login
 transport input ssh
!

Dit is het stukje config dat ik vind waar VTY in staat. Alleen passwords ff weggehaald. Weet ook niet waarom die er staan, zou op basis van useraccount moeten gaan. Ben ook een beetje aan het stoeien geweest.

zaterdag 9 april 2022 18:25

Acties:

Beste antwoord ✓
+1 Henk 'm!

plizz

Fairy schreef op zaterdag 9 april 2022 @ 18:15:
code:
1
2
3
4
5
6
7
8
9
10
11
12
!
line con 0
 exec-timeout 0 0
line vty 0 4
 password ********
 login
 transport input ssh
line vty 5 15
 password ********
 login
 transport input ssh
!
Dit is het stukje config dat ik vind waar VTY in staat. Alleen passwords ff weggehaald. Weet ook niet waarom die er staan, zou op basis van useraccount moeten gaan. Ben ook een beetje aan het stoeien geweest.

Je hebt telnet geconfigureerd op je switch. Je moet "login local" nog toevoegen line vty 0 15 en dan zou SSH moeten werken. Voor web gedeelte zie mijn vorige post.

zaterdag 9 april 2022 18:29

Acties:

0 Henk 'm!

Fairy

13kWp

Topicstarter

Yes het werkt!

Geen idee wat ik precies heb gedaan, maar ik heb nu een login

---
login as: ferry
Keyboard-interactive authentication prompts from server:
| Password:
End of keyboard-interactive prompts from server

Cisco01#
----

code:

!
line con 0
 exec-timeout 0 0
line vty 0 4
 password ********
 login local
 transport input ssh
line vty 5 15
 password ********
 login
 transport input ssh
!

Volgens mij is het nog niet helemaal goed. Wie het goed wil fixen met een voorbeeld, graag

Ik kan in ieder geval alvast verder hiermee

Ik ben bekend met Cisco switches die al geconfigureerd zijn en kan kleine dingetjes doen, maar dat is maar 0,001% van de kennis die een echte Cisco kenner heeft. Heb ook geen werkende configs beschikbaar op het moment.

Bedankt voor alle hulp!

[ Voor 17% gewijzigd door Fairy op 09-04-2022 18:31 ]

zaterdag 9 april 2022 19:01

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

wat lukt er nu niet dan? En wat lukt er wel?

zaterdag 9 april 2022 19:03

Acties:

0 Henk 'm!

Fairy

13kWp

Topicstarter

Kabouterplop01 schreef op zaterdag 9 april 2022 @ 19:01:
wat lukt er nu niet dan? En wat lukt er wel?

Het lukt nu wel om met SSH in te loggen. Ik vroeg me alleen af of ik door mijn geknutsel misschien iets te veel open heb gezet.

Enige wat me nu nog opvalt maar dat is niet zo spannend is dat ik na vrij korte tijd wordt gedisconnect. Denk iets van 5 minuten.

zaterdag 9 april 2022 19:06

Acties:

+1 Henk 'm!

Kabouterplop01

chown -R me base:all

Dat ligt aan waar je je switch hebt staan; voor je router open aan het internet, gelijk weghalen.
achter je router achter de NAT van je provider... zolang je er geen portforward naar hebt staan, maakt niets uit.

Doe eens een show run en post die eens (zonder je usernames en passwords uiteraard)

[ Voor 17% gewijzigd door Kabouterplop01 op 09-04-2022 19:07 ]

zaterdag 9 april 2022 19:09

Acties:

0 Henk 'm!

Fairy

13kWp

Topicstarter

Kabouterplop01 schreef op zaterdag 9 april 2022 @ 19:06:
Dat ligt aan waar je je switch hebt staan; voor je router open aan het internet, gelijk weghalen.
achter je router achter de NAT van je provider... zolang je er geen portforward naar hebt staan, maakt niets uit.

Hij staat achter een firewall, thuisnetwerk, OPNsense. Al zou er geen password op staan dan is het in principe nog veilig, maar wil het gewoon graag correct instellen.

zaterdag 9 april 2022 19:26

Acties:

+1 Henk 'm!

plizz

Fairy schreef op zaterdag 9 april 2022 @ 19:09:
[...]

Hij staat achter een firewall, thuisnetwerk, OPNsense. Al zou er geen password op staan dan is het in principe nog veilig, maar wil het gewoon graag correct instellen.

Ik stel altijd volgende zaken op mijn thuis Cisco catalyst switch.
- Tijd en NTP server
- Username met secret 8
- SSH v2 en maximaal aantal login poging en idle timeout 5 minuten
- Login blokkering na aantal fout login poging 1 minuut
- Log succesvol en mislukte login
- Access list met host\netwerken die remote access mogen bij switch (access-group in VTY)
- Login banner met je bericht of ascii art
- Console poort beveiligen met login met idle timeout 5 minuten
- Verder onnodige services uitzetten (http, https, etc)
- Ongebruikte poorten in parking vlan zetten en shutdown.

zaterdag 9 april 2022 19:28

Acties:

0 Henk 'm!

Fairy

13kWp

Topicstarter

Wat is het voordeel van ongebruikte poorten in shutdown te zetten?

Thuis heb je toch alleen zelf toegang tot de kabels en hoef je deze toch niet administratief down te brengen?

Als t stroom scheelt is het natuurlijk wel interessant

maar als het niet is aangesloten lijkt me dat toch al geen stroom te gebruiken.

[ Voor 28% gewijzigd door Fairy op 09-04-2022 19:38 ]

zaterdag 9 april 2022 20:36

Acties:

0 Henk 'm!

plizz

Fairy schreef op zaterdag 9 april 2022 @ 19:28:
Wat is het voordeel van ongebruikte poorten in shutdown te zetten?

Thuis heb je toch alleen zelf toegang tot de kabels en hoef je deze toch niet administratief down te brengen?

Als t stroom scheelt is het natuurlijk wel interessant maar als het niet is aangesloten lijkt me dat toch al geen stroom te gebruiken.

Security gewoonte meer niet.

Vraag

Beste antwoord (via Fairy op 09-04-2022 20:26)

Alle reacties