acceder à un equip. CISCO si le SSH est KO Résolu/Fermé

Question

Bonjour,
je fais face à un problème reccurent:

je suis obligé d'envoyer un technien pour se connecter à un equipement CISCO pour qu'il se mette en console et lancer la commande: crypto key generate rsa general-keys modulus 1024

ceci regenere le CRYPTO SSH.

voici la conf:
line vty 0 4
 access-class ACL_VTY in
 exec-timeout 0 0
 logging synchronous
 transport input ssh
line vty 5 15
 access-class ACL_VTY in
 exec-timeout 0 0
 logging synchronous
 transport input ssh
!
ntp clock-period 36027879
ntp server 10.10.1.72
end


Standard IP access list ACL_VTY
    10 permit 10.10.1.0, wildcard bits 0.0.0.255
    20 permit 10.10.2.0, wildcard bits 0.0.0.255 (14 matches)
    30 permit 10.15.1.0, wildcard bits 0.0.0.255 (12 matches)  <<<< c'est celle-là qui me permet d'y acceder
    40 permit 10.15.2.0, wildcard bits 0.0.0.255
    50 permit 10.16.129.0, wildcard bits 0.0.0.255
    60 permit 10.16.130.0, wildcard bits 0.0.0.255


ma question: serait-il possible d'acceder à cet equipement à distance autre que SSH? 

La réponse est à priori NON, mais peut etre que le experts seront à l'écoute avec une solution.


Merci d'avance.

mokaman · Answer

sinon je suis sur une piste: ACCEDER à l'EQUIPEMENT CISCO EN SNMP

mokaman · Answer

personne ?

Nico le Vosgien · Answer

Bonjour,

Il y a un grand grand classique : telnet ! (transport input telnet)

Sinon, y a t il un timeout de configuré sur la sessions ssh ?
De même , le exec-timeout à 0 0 n'est pas specialement une bonne chose.

brupala · Answer

Salut,
tu n'as qu'à autoriser le telnet en plus .
transport input ssh telnet 
mais 9 fois sur 10, si le ssh ne fonctionne pas (hormis le cas de la clé cité ci dessus ) le telnet ne passera pas non plus .
il sera conseillé en plus de mettre une access-list encore plus restrictive sur le telnet .

mokaman · Answer

aahh !

j'avais oublié de vous specifier un detail:

les equipements sont deja configurés et rackés sur differents sites. Donc pour l'instant je n'ai pas d'acces à ces equipements à moins d'envoyer un technicien.

c pour ça que je cherche à m'y connecter autre qu'avec le SSH (qui ne fonctionne plus à cause de la clé) et le TELNET (qui n'est pas configuré)

c'est pour ça que je suis sur la piste du SNMP (qui est configuré sur les sites)

Cdt.

brupala · Answer

qu'est ce que tu as comme manager snmp ?
le management http n'est pas activé ?

mokaman · Answer

on a spectrum et bientot ciscoworks

voici la conf snmp  typique sur les CE:

RTR#sh run | i snmp

snmp-server user aaaaaa aaaaaa v1 
snmp-server user aaaaaaa aaaaaa v2c 
snmp-server community bbbbbbb RO 10
snmp-server community aaaaaa RW 10
snmp-server user bbbbbbb bbbbbbb v1 
snmp-server user bbbbbbb bbbbbbb v2c 
snmp-server host 10.10.2.29 bbbbbbb 
snmp-server host 10.10.2.30 aaaaaa

mokaman · Answer

ok je vais voir. sinon le manager HTTP n'est pas installé.


je me souviens d'un logiciel qui permet de se connecter en snmp à des equipements distants (à l'epoque c'etait des firewall - dans mon ancien boulot - ) mais je ne me souviens plus du nom.

le nom du logiciel se termine par "ware" et utilise les COMMUNITY snmp pour se connecter....

cdt

mokaman · Answer

oui c vrai.

dès que je trouverai je vous en informerai.

Cdt.

Nico le Vosgien · Answer

C'est peut être l'occasion de reflechir à un acces de secours : une ligne rtc et un petit modem sur la console.

En cas de coups durs (et il y en a tjs !), attendre qu'un tech arrive sur site peut parfois être tres tres long à vivre :)

mokacisco · Answer

j'y ai pensé, mais ils ne veulent aucun cout supplémentaire... comme d'hab.

à suivre.

mokaman · Answer

EUREKA!!!

j'ai trouvé l'application qui est SOLARWINDS (en version complete): un ensemble d'utilitaire de gestion de reseau par SNMP.

l'exe fait comme meme 177 MO....

1- Alors en utilisant la COMMUNITY adequate (qui permet la lecture et ecriture) j'ai pu recuperer la config du routeur inaccessible par SSH.

2- puis j'ai rempalcé: transport input ssh par transport input telnet.

3- apres il suffit de le prendre à distance en telnet sur le port 23.

4- puis regenerer la clé de cryptage avec la commande:  crypto key generate rsa general-keys modulus 1024

5- et enfin remettre les transport input ssh  sur les VTY et puis sauvegarder la conf.


voilà j'espere que ca va aider quelques uns.

Cdt.

PS: possible d'utiliser l'application: RADWARE je crois.

Acceder à un equip. CISCO si le SSH est KO

12 réponses

Discussions similaires