我一直对这个问题感到困惑…我有一个子网10.128.0.1上的exs主机和10.128.20.1子网上的guest。 我有另一个10.128.0.1子网10.124.18.1上的虚拟机…
路由器是简单的多宿主包含所有三个子网的主要局域网10.128.0.1和多宿主10.128.18.1和10.128.20.1 …
我可以ssh给10.128.18.1客人的任何客人,但对于10.128.20.1客人,我只能ssh只有一次,然后必须重新启动客人? 我看到数据包通过tracedump到达客户虚拟机…但由于某种原因,连接刚刚超时,或者正在等待某些事情。 我没有在sshd_configclosuresuseDNS ,因为本地DNS服务器仍然没有configuration…认为这是影响它。
不知何故,我认为这是我的sshdconfiguration问题,但不能磨练它…
这是我的sshd_config :
Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key HostKey /etc/ssh/ssh_host_ecdsa_key UsePrivilegeSeparation yes KeyRegenerationInterval 3600 ServerKeyBits 768 SyslogFacility AUTH LogLevel DEBUG LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes IgnoreRhosts yes RhostsRSAAuthentication no HostbasedAuthentication no PermitEmptyPasswords no ChallengeResponseAuthentication no X11Forwarding yes X11DisplayOffset 10 PrintMotd no PrintLastLog yes TCPKeepAlive yes AcceptEnv LANG LC_* Subsystem sftp /usr/lib/openssh/sftp-server UsePAM yes AllowUsers testuser UseDNS no ClientAliveInterval 15 ClientAliveCountMax 5
希望能有一些见解。
问题解决后,回答我自己的问题。 这是为了有相似的问题的其他人的利益。
问题变成了被创造的不对称的路线。 对于TCP,会话涉及发送SYN,ACKS和其他帧来build立连接。 如果存在非对称路由,则从TCP级别仍然可以,但是如果路由器具有启用了SPI的防火墙,并且看到ack来自不同的路由,则将终止该数据包即正在执行其工作。 理想情况下,你想要避免不对称的路由,但在实际的世界不可能,例如你有两个路由器或软件网关(如VPN网关)在同一子网或静态路由configuration不正确,这将发生。
如果路由器支持,启用不对称的路由,这个问题将消失。 也尝试禁用SPI(不build议,但是)在您的路由器。 如果你的NAT有很好的保护,就这样做。
对于我的情况,我打开了防火墙中的非对称路由。 最后,我会遇到麻烦拍摄重叠的路线,如果有的话…
然而,一个陈词滥调的陈述,不对称的路线是后面的debugging痛苦,因为你是完全无能为力,直到你开始繁琐的消除过程,尤其是如果你像我一样设置新的设置。