ssh auf ipv4 erzwingen

mickym

Ich habe gelesen, aber irgendwie klappt bei mir das Erzwingen der ipv4 Verbindung serverseitig nicht.

Egal was ich serverseitig in die ssh config oder auch in einer eigenen Datei eingebe.
Laut Beschreibung sollte der Eintrag

Host *
   AddressFamily inet

es ermöglichen dass eine ssh nur über ipv4 aufgebaut wird. Das klappt aber nicht. Ich kann zwar auf der Client-Seite den Verbindugsaufbau mit ipv4 erzwingen, in dem ich:

ssh -4 pi@server

eingebe. Wenn ich das -4 aber weglasse werden jedesmal die IPv6 Adresse in die Datei der known hosts eingetragen

ssh pi@mwipv6gw
Warning: Permanently added the ECDSA host key for IP address '2001:9e8:...

Das wollte ich aber eigentlich unterbinden, da ja jeden Tag eine neue IPv6 Präfix zugewiesen wird.

Kann mir jemand erklären, warum das mit der AddressFamily nicht funktioniert und was ich machen muss?-

Ich habs mal unter Offtopic rein gestellt, weil es mit dem iobroker ja nicht direkt was zu tun hat, aber gibt ja einige Linux Fachleute hier an Board.

Witzig ist - sobald ich die ssh über einen public Key und nicht über passwort aufmache, dann wird eine ipv4 aufgemacht:

pi@MWIPv6GW:/etc/ssh/ssh_config.d $ sudo systemctl status ssh
● ssh.service - OpenBSD Secure Shell server
     Loaded: loaded (/lib/systemd/system/ssh.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2023-04-11 17:59:14 CEST; 20min ago
       Docs: man:sshd(8)
             man:sshd_config(5)
    Process: 6692 ExecStartPre=/usr/sbin/sshd -t (code=exited, status=0/SUCCESS)
   Main PID: 6693 (sshd)
      Tasks: 1 (limit: 2057)
        CPU: 1min 44.438s
     CGroup: /system.slice/ssh.service
             └─6693 sshd: /usr/sbin/sshd -D [listener] 0 of 10-100 startups

Apr 11 18:19:06 MWIPv6GW sshd[11444]: pam_unix(sshd:session): session opened for user pi(uid=1000) by (uid=0)
Apr 11 18:19:06 MWIPv6GW sshd[11444]: pam_unix(sshd:session): session closed for user pi
Apr 11 18:19:07 MWIPv6GW sshd[11453]: Accepted publickey for pi from 192.168.178.28 port 48856 ssh2: RSA SHA256:mC/RbIu>
Apr 11 18:19:07 MWIPv6GW sshd[11453]: pam_unix(sshd:session): session opened for user pi(uid=1000) by (uid=0)
Apr 11 18:19:07 MWIPv6GW sshd[11453]: pam_unix(sshd:session): session closed for user pi
Apr 11 18:19:17 MWIPv6GW sshd[11465]: Accepted publickey for pi from 192.168.178.28 port 46548 ssh2: RSA SHA256:EYBFxlK>
Apr 11 18:19:17 MWIPv6GW sshd[11465]: pam_unix(sshd:session): session opened for user pi(uid=1000) by (uid=0)
Apr 11 18:19:18 MWIPv6GW sshd[11465]: pam_unix(sshd:session): session closed for user pi
Apr 11 18:19:30 MWIPv6GW sshd[11476]: Accepted password for pi from 2001:9e8.......... port 51059 s>
Apr 11 18:19:30 MWIPv6GW sshd[11476]: pam_unix(sshd:session): session opened for user pi(uid=1000) by (uid=0)

Wildbill

@mickym Normalerweise nimmt man netzintern nicht die öffentliche IPv6 sondern die link local. Irgendwas mit fe80…
Die würde ich im DHCP-Server zum jeweiligen Gerät hinterlegen und es sollte passen. So mache ich es zumindest. Analog zu den IPv4-Adressen. Die kennt der DHCP-server ja auch und sucht die passend zum Gerätenamen raus.

Gruss, Jürgen

EDIT: Die ändert sich dann auch nicht mehr, solange Du nicht neu installierst.

EDIT2: Zum Ursprungsproblem: Dein DHCP-Server scheint da IPv6 zu bevorzugen. Eventuell kannst Du da direkt was einstellen.

mickym

@wildbill Nun - das Problem ist aber - dass ich gar keinen Einfluss habe, welche IP Adresse der ssh Client unter Windows benutzt wenn ich nicht die -4 eingebe.

Mein DHCP Server ist die Fritzbox und da kann ich nur DHCP v6 komplett abschalten, was ich nicht will.

dann habe ich ja auch mein ipv6 mit eigenem Präfix konfiguriert - also die fd00:.... Adressen - aber dieser blöde ssh client nimmt immer die 2001 er Präfixes.

Wie gesagt ich habe keinen Einfluss welche IP-Adresse des servers der ssh Client verwendet - auch nicht welche IPv6 Adresse.

Ich hätte es halt gut gefunden, wenn man das serverseitig erzwingen kann. Die DHCP anweisen immer die gleiche IPv6 zu verwenden ist eigentlich mit dem eigenen Präfix nicht erforderlich - das bleibt ja auch gleich.

MAN müsste irgendwas am Server einstellen - welche IPv6 zurückgemeldet wird. IPv4 AddressFamily funktioniert irgendwie nicht.

Bad owner or permissions on C:\\Users\\micky/.ssh/config

Ich hatte halt gedacht, man kann so hatte ich den Text verstanden serverseitig die ssh über ipv4 erzwingen:

https://manpages.debian.org/unstable/manpages-de/sshd_config.5.de.html

EDIT: Das Problem ist, dass ich von IPv6 zu wenig verstehe!!!! Vielleicht muss man am DNS was einstellen.

Ich habe nämlich gerade festgestellt, die vom Server rückgemeldete ipv6 Adresse hängt vom Prefix beim Aufruf ab.

Wildbill

@mickym Bei Windows als SSH-Client kann ich Dir leider absolut nicht helfen, ist nicht meine Baustelle. Ebensowenig Fritzbox als Router. Sorry.

Gruss, Jürgen

mickym

@wildbill sagte in ssh auf ipv4 erzwingen:

@mickym Bei Windows als SSH-Client kann ich Dir leider absolut nicht helfen, ist nicht meine Baustelle. Ebensowenig Fritzbox als Router. Sorry.

Gruss, Jürgen

Na kein Problem - ich hab zumindest rausgefunden, dass die vom Server rückgemeldete Ipv6 Adresse vom Präfix beim Aufruf der Verbindung abhängt. Ich muss nur DNS dazu bringen, dass dies nicht die öffentlichen Adressen rückmeldet.