Acceder à un equip. CISCO si le SSH est KO
Résolu
mokaman
Messages postés
14
Statut
Membre
-
brupala Messages postés 111117 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 111117 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
je fais face à un problème reccurent:
je suis obligé d'envoyer un technien pour se connecter à un equipement CISCO pour qu'il se mette en console et lancer la commande: crypto key generate rsa general-keys modulus 1024
ceci regenere le CRYPTO SSH.
voici la conf:
line vty 0 4
access-class ACL_VTY in
exec-timeout 0 0
logging synchronous
transport input ssh
line vty 5 15
access-class ACL_VTY in
exec-timeout 0 0
logging synchronous
transport input ssh
!
ntp clock-period 36027879
ntp server 10.10.1.72
end
Standard IP access list ACL_VTY
10 permit 10.10.1.0, wildcard bits 0.0.0.255
20 permit 10.10.2.0, wildcard bits 0.0.0.255 (14 matches)
30 permit 10.15.1.0, wildcard bits 0.0.0.255 (12 matches) <<<< c'est celle-là qui me permet d'y acceder
40 permit 10.15.2.0, wildcard bits 0.0.0.255
50 permit 10.16.129.0, wildcard bits 0.0.0.255
60 permit 10.16.130.0, wildcard bits 0.0.0.255
ma question: serait-il possible d'acceder à cet equipement à distance autre que SSH?
La réponse est à priori NON, mais peut etre que le experts seront à l'écoute avec une solution.
Merci d'avance.
je fais face à un problème reccurent:
je suis obligé d'envoyer un technien pour se connecter à un equipement CISCO pour qu'il se mette en console et lancer la commande: crypto key generate rsa general-keys modulus 1024
ceci regenere le CRYPTO SSH.
voici la conf:
line vty 0 4
access-class ACL_VTY in
exec-timeout 0 0
logging synchronous
transport input ssh
line vty 5 15
access-class ACL_VTY in
exec-timeout 0 0
logging synchronous
transport input ssh
!
ntp clock-period 36027879
ntp server 10.10.1.72
end
Standard IP access list ACL_VTY
10 permit 10.10.1.0, wildcard bits 0.0.0.255
20 permit 10.10.2.0, wildcard bits 0.0.0.255 (14 matches)
30 permit 10.15.1.0, wildcard bits 0.0.0.255 (12 matches) <<<< c'est celle-là qui me permet d'y acceder
40 permit 10.15.2.0, wildcard bits 0.0.0.255
50 permit 10.16.129.0, wildcard bits 0.0.0.255
60 permit 10.16.130.0, wildcard bits 0.0.0.255
ma question: serait-il possible d'acceder à cet equipement à distance autre que SSH?
La réponse est à priori NON, mais peut etre que le experts seront à l'écoute avec une solution.
Merci d'avance.
Configuration: Windows XP Firefox 3.0.3
12 réponses
-
EUREKA!!!
j'ai trouvé l'application qui est SOLARWINDS (en version complete): un ensemble d'utilitaire de gestion de reseau par SNMP.
l'exe fait comme meme 177 MO....
1- Alors en utilisant la COMMUNITY adequate (qui permet la lecture et ecriture) j'ai pu recuperer la config du routeur inaccessible par SSH.
2- puis j'ai rempalcé: transport input ssh par transport input telnet.
3- apres il suffit de le prendre à distance en telnet sur le port 23.
4- puis regenerer la clé de cryptage avec la commande: crypto key generate rsa general-keys modulus 1024
5- et enfin remettre les transport input ssh sur les VTY et puis sauvegarder la conf.
voilà j'espere que ca va aider quelques uns.
Cdt.
PS: possible d'utiliser l'application: RADWARE je crois. -
sinon je suis sur une piste: ACCEDER à l'EQUIPEMENT CISCO EN SNMP
-
-
Bonjour,
Il y a un grand grand classique : telnet ! (transport input telnet)
Sinon, y a t il un timeout de configuré sur la sessions ssh ?
De même , le exec-timeout à 0 0 n'est pas specialement une bonne chose. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Salut,
tu n'as qu'à autoriser le telnet en plus .
transport input ssh telnet
mais 9 fois sur 10, si le ssh ne fonctionne pas (hormis le cas de la clé cité ci dessus ) le telnet ne passera pas non plus .
il sera conseillé en plus de mettre une access-list encore plus restrictive sur le telnet . -
aahh !
j'avais oublié de vous specifier un detail:
les equipements sont deja configurés et rackés sur differents sites. Donc pour l'instant je n'ai pas d'acces à ces equipements à moins d'envoyer un technicien.
c pour ça que je cherche à m'y connecter autre qu'avec le SSH (qui ne fonctionne plus à cause de la clé) et le TELNET (qui n'est pas configuré)
c'est pour ça que je suis sur la piste du SNMP (qui est configuré sur les sites)
Cdt. -
qu'est ce que tu as comme manager snmp ?
le management http n'est pas activé ? -
on a spectrum et bientot ciscoworks
voici la conf snmp typique sur les CE:
RTR#sh run | i snmp
snmp-server user aaaaaa aaaaaa v1
snmp-server user aaaaaaa aaaaaa v2c
snmp-server community bbbbbbb RO 10
snmp-server community aaaaaa RW 10
snmp-server user bbbbbbb bbbbbbb v1
snmp-server user bbbbbbb bbbbbbb v2c
snmp-server host 10.10.2.29 bbbbbbb
snmp-server host 10.10.2.30 aaaaaa -
ok je vais voir. sinon le manager HTTP n'est pas installé.
je me souviens d'un logiciel qui permet de se connecter en snmp à des equipements distants (à l'epoque c'etait des firewall - dans mon ancien boulot - ) mais je ne me souviens plus du nom.
le nom du logiciel se termine par "ware" et utilise les COMMUNITY snmp pour se connecter....
cdt -
oui c vrai.
dès que je trouverai je vous en informerai.
Cdt. -
C'est peut être l'occasion de reflechir à un acces de secours : une ligne rtc et un petit modem sur la console.
En cas de coups durs (et il y en a tjs !), attendre qu'un tech arrive sur site peut parfois être tres tres long à vivre :) -
j'y ai pensé, mais ils ne veulent aucun cout supplémentaire... comme d'hab.
à suivre.
