[...]

je tente de ssh dedans avec :

Code: [Sélectionner]

ssh -o KexAlgorithms=diffie-hellman-group14-sha1 -oHostKeyAlgorithms=+ssh-dss  192.168.42.1 -l ONTUSER
et il veut pas du password : 7sp!lwUBz1

j'ai tenté en verbeux :

Code: [Sélectionner]

OpenSSH_9.0p1, OpenSSL 1.1.1o  3 May 2022                                                                                                                                                     
debug1: Reading configuration data /etc/ssh/ssh_config                                                                                                                                       
debug1: Connecting to 192.168.42.1 [192.168.42.1] port 22.                                                                                                                                   
debug1: Connection established.                                                                                                                                                               
debug1: identity file /root/.ssh/id_rsa type -1                                                                                                                                               
debug1: identity file /root/.ssh/id_rsa-cert type -1                                                                                                                                         
debug1: identity file /root/.ssh/id_ecdsa type -1                                                                                                                                             
debug1: identity file /root/.ssh/id_ecdsa-cert type -1                                                                                                                                       
debug1: identity file /root/.ssh/id_ecdsa_sk type -1                                                                                                                                         
debug1: identity file /root/.ssh/id_ecdsa_sk-cert type -1                                                                                                                                     
debug1: identity file /root/.ssh/id_ed25519 type -1                                                                                                                                           
debug1: identity file /root/.ssh/id_ed25519-cert type -1                                                                                                                                     
debug1: identity file /root/.ssh/id_ed25519_sk type -1                                                                                                                                       
debug1: identity file /root/.ssh/id_ed25519_sk-cert type -1                                                                                                                                   
debug1: identity file /root/.ssh/id_xmss type -1                                                                                                                                             
debug1: identity file /root/.ssh/id_xmss-cert type -1                                                                                                                                         
debug1: identity file /root/.ssh/id_dsa type -1                                                                                                                                               
debug1: identity file /root/.ssh/id_dsa-cert type -1                                                                                                                                         
debug1: Local version string SSH-2.0-OpenSSH_9.0                                                                                                                                             
debug1: Remote protocol version 2.0, remote software version dropbear
debug1: compat_banner: no match: dropbear
debug1: Authenticating to 192.168.42.1:22 as 'ONTUSER'
debug1: load_hostkeys: fopen /root/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: diffie-hellman-group14-sha1
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:sp/35p3LosFZf1BuepvpdyP8ngM+1vBBc5YrPBPfCt0
debug1: load_hostkeys: fopen /root/.ssh/known_hosts2: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: No such file or directory
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: No such file or directory
debug1: Host '192.168.42.1' is known and matches the ED25519 host key.
debug1: Found key in /root/.ssh/known_hosts:1
debug1: rekey out after 134217728 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 134217728 blocks
debug1: Will attempt key: /root/.ssh/id_rsa
debug1: Will attempt key: /root/.ssh/id_ecdsa
debug1: Will attempt key: /root/.ssh/id_ecdsa_sk
debug1: Will attempt key: /root/.ssh/id_ed25519 
debug1: Will attempt key: /root/.ssh/id_ed25519_sk
debug1: Will attempt key: /root/.ssh/id_xmss
debug1: Will attempt key: /root/.ssh/id_dsa
debug1: SSH2_MSG_EXT_INFO received
debug1: kex_input_ext_info: server-sig-algs=<ssh-ed25519,sk-ssh-ed25519@openssh.com,rsa-sha2-256,ssh-rsa>
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /root/.ssh/id_rsa
debug1: Trying private key: /root/.ssh/id_ecdsa
debug1: Trying private key: /root/.ssh/id_ecdsa_sk
debug1: Trying private key: /root/.ssh/id_ed25519
debug1: Trying private key: /root/.ssh/id_ed25519_sk
debug1: Trying private key: /root/.ssh/id_xmss
debug1: Trying private key: /root/.ssh/id_dsa
debug1: Next authentication method: password
ONTUSER@192.168.42.1's password:
debug3: send packet: type 50
debug2: we sent a password packet, wait for reply
debug3: receive packet: type 51
debug1: Authentications that can continue: publickey,password
Permission denied, please try again.

et ça pas marche !

Y-a t'il une âme charitable qui veut bien me debloquer  j'suis à peu pres sur que c'est parce qu’on est vendredi soir et qu'on est crevé et qu'on fait du caca.

As-tu essayé de t'y connecter avant de changer son ip, lorqu'il avait encore son ip par défaut (192.168.1.10) ?
J'ai regardé, il ne semble pas y avoir de configuration particulière liée à ça, mais sait-on jamais...

Merci les copains. Vous êtes trop cools.


J'ai pluggué l'ONU dans le port SFP du hex S ( sous openwrt )


J'ai attribué l'ip 192.168.42.10 à linterface SFP toujours dans openwrt

Loggué sur l'openwrt j'essaie ssh vers l'ip de l'onu 192.168.42.10

Je vais essayer un autre client ou un tunnel ssh.

je reviens

Merci pour ces éclaircissements.

Bon je suis le boulet de service. J'ai une experience tres proche de zero en ce qui concerne les ONU.

Donc pour ré-tout-catapulter :

Mon HexS (openwrt) est tout feuneu en 192.168.1.1 sur le br-lan.
Je pluggue l'ONU dans le port SFP cependant aucune fibre ne relie l'ONU à autre chose (il est nu comme un ver) .
Si je ne lui attribue pas d'ip il est indétectable. Je suis forcé de lui attribuer une IP dans /etc/config/network

config device                                 
        option name 'sfp'                     
        option macaddr 'dc:2c:6e:XX:XX:XX'
                                         
config interface 'sfp'                   
        option proto 'static'             
        option device 'sfp'               
        option ipaddr '192.168.1.10'     
        option netmask '255.255.255.0'   
        option gateway '192.168.1.1'
Je vire la device sfp du br-wan pour eviter d’éventuels ennuis.
Je suis loggé sur le HexS et je regarde le port 22 de l'adresse 192.168.1.10

nc 192.168.1.10 22

SSH-2.0-dropbear
Ax8Fz#curve25519-sha256,curve25519-sha256@libssh.org,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,kexguess2@matt.ucc.asn.au ssh-ed25519,rsa-sha2-256,ssh-rsa3chacha20-poly1305@openssh.com,aes128-ctr,aes256-ctr3chacha20-poly1305@openssh.com,aes128-ctr,aes256-ctrhmac-sha1,hmac-sha2-256hmac-sha1,hmac-sha2-256nonenonemz`

J'ai le même résultat avec :

nc 192.168.1.1 22

Donc en fait si je pige bien je tente de me loguer sur moi même; le HexS via l'inteface sfp sur mon propre serveur ssh intégré à openwrt et pas l'openwrt integré à l'ONU.
Ne faut-il pas que l'ONU ait sa propre MAC/IP dans ce cas pour que ça fonctionne ?

Je suis un padawan en network:  à apprendre il me reste beaucoup.
Encore merci pour votre patience les copains.

Pour info, je suis passé sous Debian 11 finalement avec, en vrac :
- utilisation d'un cgroup pour tagger en priorité 6 (et oui j'en ai besoin chez moi !) le traffic uniquement émis par mes dhclient IPv4 et IPv6 (ça marche nickel !)
- nftables (et j'utilise un SET pour mettre à jour mes règles quand mon ip publique change)
- dkms pour la gestion du module kernel patché qui permet donc de gérer automatiquement la recompilation du module quand il y a un nouveau kernel
- un namespace réseau spécifique lié à une eth spécifique pour l'admin avec sshd lancé dans ce namespace
- utilisation du script de Vincent Bernat pour gérer la délégation de prefix IPv6 et réseau LAN full dual-stack IPv4/IPv6

Je vais repasser sous iptables prochainement car Docker ne supporte toujours pas officiellement nftables donc ça cohabite pas terrible terrible...

J'ai activé SRV-IOV sur mon routeur, je voudrais tester une VM Palo Alto dans un KVM pour voir ce que ça donne en perfs. Je n'ai toujours pas testé les flows openvswitch avec DPDK, mais si j'ai le temps un jour...  Et même si c'est compatible uniquement IPv4 j'essayerais bien https://github.com/scaleway/natasha pour voir les perfs aussi.

Hello,
Pourrais-tu détailler ces 2 points stp ?
- utilisation d'un cgroup pour tagger en priorité 6 (et oui j'en ai besoin chez moi !) le traffic uniquement émis par mes dhclient IPv4 et IPv6 (ça marche nickel !)
- nftables (et j'utilise un SET pour mettre à jour mes règles quand mon ip publique change)

merci

Bonjour a tous, je voulais juste faire part de mon experience ici, et peut etre trouver une solution, je n'ai pas vu d'exemple avec cette conf alors la voici:

J'ai une UDM-Pro SE avec un CRS305 et un ONT FS.

J'ai reprogramme le serial number sur l'ONT, et obtiens un O5.

Pour le mikrotik, voici ma confm le but etant d'ajouter la CoS en sortie:

# jul/07/2022 16:17:39 by RouterOS 7.3beta40
# software id = 3XU5-8C56
#
# model = CRS305-1G-4S+
# serial number = B9E90EC062FD
/interface bridge
add admin-mac=2C:C8:1B:3D:E0:7F auto-mac=no comment=defconf name=bridge
add name=bridge-WAN
/interface ethernet
set [ find default-name=sfp-sfpplus2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,10000M-full,2500M-full,5000M-full auto-negotiation=no \
    speed=2.5Gbps
set [ find default-name=sfp-sfpplus3 ] speed=10Gbps
/interface ethernet switch
set 0 l3-hw-offloading=yes
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus2,sfp-sfpplus3 vlan-ids=832
/interface ethernet switch rule
add dst-port=67 mac-protocol=ip new-vlan-priority=6 ports=sfp-sfpplus2 protocol=udp switch=switch1 vlan-id=832
/ip address
add address=192.168.1.8/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add interface=bridge
/system clock
set time-zone-name=Europe/Paris
/system identity
set name=CRS305
/system routerboard settings
set boot-os=router-os
/system swos
set allow-from-ports=p1,p2,p3,p4,p5 identity=MikroTik

Sur le router Ubiquiti, j'ai la conf en PJ

les options 77 et 60 sont copiees de la conf en post #1, j'ai une livebox 6 je ne sais pas si ca fait une difference.
pour la 90 ce sont les 23 0s et mon fti/xxxxx en hex.

Je n'arrive pas a m'authentifier/choper une IP.

Si vous voyez un truc evident merci de m'en faire part, et au pire j'espere que ca servira a d'autres!

Il me semble avoir vu passer que pour que le CRS305 applique bien la règle pour changer la CoS des paquets DHCP, il faut que le vlan-filtering soit activé.

Donc ajouter une ligne :

/interface bridge
add ingress-filtering=no name=bridge vlan-filtering=yes
J'avoue cependant ne pas avoir encore testé (mais sans, je n'avais pas réussi à faire ajouter la CoS à mon CRS305).