Wie Knoten connecten nach Verlust von fastd connection (und public v6 ips)

Habe folgendes gemacht:

  • ssh root@2a03:2260:xxx
    SSH Verbindung zur öffentlichen IP
  • uci set fastd.mesh_vpn.method=„null+salsa2012+umac salsa2012+umac salsa2012+gmac“; uci commit fastd; reboot

Danach war keine Verbindung zum Gateway mehr drin (Fehler von mir). Also wollte ich wieder zurückstellen…

  • ssh root@2a03:2260:xxx
    ssh: connect to host 2a03:2260:xxx port 22: Network is unreachable

Logisch, externe Route nicht da (blöder Frank)

  • ssh root@fda0:cab1:xxx
    SSH Verbindung zur internen IP

Und tarra, ich bekomme folgendes:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:QpflUSlrSWTr+wxxx.
Please contact your system administrator.
Add correct host key in /home/xxx/.ssh/known_hosts to get rid of this message.
Offending RSA key in /home/xxx/.ssh/known_hosts:1
RSA host key for fda0:cab1:xxx has changed and you have requested strict checking.
Host key verification failed.

(Die xxx sind von mir nachträglich eingebaut, klaro…)
Konnte dann mittels 2. Knoten und per Mesh wieder umstellen, aber kann mich jemand erhellen? Danke!!!

Die Meldung kommt von Deinem ssh-client, dass er für die Adresse fda0:cab1:xxx bereits die ID von einem anderen SSH-Server gespeichert hat.
Die ID des SSH-Daemon ändert sich nicht, nur weil Du am Fastd etwas änderst.

Ist das xxx in Langform Eure next-node-Adresse ( z.B. fda0:cab1:e1e5:5b91::1)?

Die ist auf allen nodes gleich und wenn Du mit dieser Adresse dann wieder auf eine node gehst dann kommt die Meldung, weil gleiche Adresse, aber anderer SSH-Daemon.

nein, die xxx war in die öffentliche IP des einen Knotens…

Spannend, gerade hat er sein WLAN für 5 Sekunden ausgeschaltet, jetzt komme ich selbst nach Reboot nicht mehr aus dem Telekomnetz auf die Statusseite der öffentlichen IP…
Das geht aber bei anderen Knoten…

Bei Login via SSH wird die IP zusammen mit dem Key gespeichert.

Löst du dich auf dem Gerät mit einer anderen Ziel IP ein, kommt diese Warnung.

Du kannst die Verschlüsselung nicht einfach Client seitig ändern. Das musst du dann auch zeitgleich auf dem GW tun.

1 Like

@Frank versuche die link local zu nehmen , also
ssh -lroot fe80:foo:foo:bar%wlan0
das %Interface ist dann wichtig ! und zu dem Fehler oben, wenn du sicher bist mit dem richtigen Knoten zu sprechen und und nur nen uralt key hinterlegt ist (beimir oft der Fall, oder bei den Nextnode permament der Fall) dann kannst du entsprechenden Schlüssel ja löschen , in deinem Fall Offending RSA key in /home/xxx/.ssh/known_hosts:1
also Zeile 1 von /home/xxx/.ssh/known_hosts
danach fragt er dich wieder nach dem Fingerprint, und ob das so richtig ist.

weist du denn wo dein Fehler lag? (abgesehen davon das eure Server diese Verschlüsselungen / Anmeldungen auch akzeptieren müssten)
… in UCI werden Listen anders angegeben (add_list)… meistens ist es einfach direkt die /etc/config/fastd zu editieren (in diesem Fall) … Listen und uci sind pain_in_the_ass

und damit ist der Titel beantwortet und „irreführend“ … und wird daher geändert :wink:

1 Like