Невозможно завершить SSH-подключение после успешного обмена ключами с Ubuntu из некоторых сетей

Question 1

В трассировке пакетов мы видим, что пакеты максимального размера обмениваются в обоих направлениях на ранней стадии потока. Это не вызвало никаких проблем, поэтому нет ничего, что указывало бы на проблему MTU.

В дальнейшем во время соединения мы видим, что пакет от клиента к серверу с относительными порядковыми номерами 2702:3162 никогда не получает ACK от сервера.

Моя первая мысль — что эта потеря пакетов вызвана неисправным промежуточным устройством (например, NAT, брандмауэром или чем-то подобным).

Я слышал разговоры о NAT-боксах, которые не могут обрабатывать изменение TOS во время TCP-соединения. Проблема в вашем случае возникает после того, как клиент указывает, что TOS был изменен. Однако, поскольку tcpdump не показывает TOS, я не могу точно сказать, является ли это точным моментом, когда возникает проблема.

Для теста вы можете попробовать использовать -o ProxyCommand='nc %h %p'так, чтобы клиент ssh не управлял TCP-соединением напрямую. Вы также можете попробовать опцию IPQoS. Если проблема заключается в изменении TOS, то указание -o IPQoS=cs0или -o IPQoS=0должно сработать, но любая другая настройка не сработает. Это связано с тем, что ssh использует 0 в качестве QoS во время аутентификации, а затем переключается на выбранный QoS после аутентификации. При выборе QoS равным 0 не будет никаких изменений значения QoS, которые могли бы запутать промежуточные устройства.

Answer

В трассировке пакетов мы видим, что пакеты максимального размера обмениваются в обоих направлениях на ранней стадии потока. Это не вызвало никаких проблем, поэтому нет ничего, что указывало бы на проблему MTU.

В дальнейшем во время соединения мы видим, что пакет от клиента к серверу с относительными порядковыми номерами 2702:3162 никогда не получает ACK от сервера.

Моя первая мысль — что эта потеря пакетов вызвана неисправным промежуточным устройством (например, NAT, брандмауэром или чем-то подобным).

Я слышал разговоры о NAT-боксах, которые не могут обрабатывать изменение TOS во время TCP-соединения. Проблема в вашем случае возникает после того, как клиент указывает, что TOS был изменен. Однако, поскольку tcpdump не показывает TOS, я не могу точно сказать, является ли это точным моментом, когда возникает проблема.

Для теста вы можете попробовать использовать -o ProxyCommand='nc %h %p'так, чтобы клиент ssh не управлял TCP-соединением напрямую. Вы также можете попробовать опцию IPQoS. Если проблема заключается в изменении TOS, то указание -o IPQoS=cs0или -o IPQoS=0должно сработать, но любая другая настройка не сработает. Это связано с тем, что ssh использует 0 в качестве QoS во время аутентификации, а затем переключается на выбранный QoS после аутентификации. При выборе QoS равным 0 не будет никаких изменений значения QoS, которые могли бы запутать промежуточные устройства.

Question 2

На случай, если кто-то еще столкнется с этим, у меня была похожая проблема с маршрутизатором/модемом TP-Link Archer VR2600 (с прошивкой 1.4.0 0.8.0 v0050.0 Build 160518 Rel.50944n).

Запуск с -o IPQoS=0, как предложил @kasperd, сработал, предполагая какую-то проблему QoS с моим маршрутизатором. Я включил самое близкое, что смог найти в настройках маршрутизатора (Передовой→Управление пропускной способностьюустановив максимальную пропускную способность чуть ниже доступной на моей линии), предполагая, что маршрутизатор в этом случае может начать обращать внимание на соответствующие флаги.

Это, кажется, сработало, и теперь мои соединения проходят. Переключение этой опции надежно контролирует, смогу ли я пройти.

Answer

На случай, если кто-то еще столкнется с этим, у меня была похожая проблема с маршрутизатором/модемом TP-Link Archer VR2600 (с прошивкой 1.4.0 0.8.0 v0050.0 Build 160518 Rel.50944n).

Запуск с -o IPQoS=0, как предложил @kasperd, сработал, предполагая какую-то проблему QoS с моим маршрутизатором. Я включил самое близкое, что смог найти в настройках маршрутизатора (Передовой→Управление пропускной способностьюустановив максимальную пропускную способность чуть ниже доступной на моей линии), предполагая, что маршрутизатор в этом случае может начать обращать внимание на соответствующие флаги.

Это, кажется, сработало, и теперь мои соединения проходят. Переключение этой опции надежно контролирует, смогу ли я пройти.

Question 3

У вас есть пользовательский ssh-конфиг (~/.ssh/config)?

Если нет, создайте его и попробуйте добавить в него следующие строки:

ServerAliveInterval 120 #ping the server every 120s
TCPKeepAlive no #do not set SO_KEEPALIVE on socket

Answer

У вас есть пользовательский ssh-конфиг (~/.ssh/config)?

Если нет, создайте его и попробуйте добавить в него следующие строки:

ServerAliveInterval 120 #ping the server every 120s
TCPKeepAlive no #do not set SO_KEEPALIVE on socket

Question 4

К сожалению, у меня недостаточно репутации, чтобы проголосовать или прокомментировать ответ Сэма Мейсона выше, но я бы просто хотел публично поставить +1 тому, что он сказал. У меня тоже есть VR2600, и у меня тоже был такой же опыт:

Соединение (ssh, sftp и т. д.) устанавливается, но затем просто зависает.
tshark показывает TCP Spurious Retransmits
настройка -o IPQoS=0 (сама по себе) со стороны клиента ничего не дала
включениенастройка Advanced->Bandwidth Control на маршрутизаторе (ранее отключенная) с максимально возможными пределами (= фактически неограниченными) по-видимому исправляет маршрутизатор таким образом, что он обращает внимание на флаг IPQoS
tshark больше не показывает ложные повторные передачи TCP, а соединение больше не зависает (клиенты ssh, sftp и т. д. теперь работают с сервером за маршрутизатором VR2600).

Кажется, это указывает на существенную ошибку в маршрутизаторе VR2600. К сожалению (на момент написания статьи) у меня установлена последняя прошивка (1.4.0 0.8.0 v0050.0 Build 160518 Rel.50944n, как у Сэма), и этот маршрутизатор, похоже, несовместим с DD-WRT и не тестировался с ней.

ОДНАКО, в дополнение к тому, что обсуждалось выше, я также скажу:

Выполнив шаги с 1 по 5, я теперь могу успешно подключиться даже без указания "-o IPQoS=0"

Другими словами:

Простого включения опции Advanced->Bandwidth Control в настройках маршрутизатора (даже с максимально высоким верхним пределом) кажется достаточно, чтобы заставить этот маршрутизатор NAT вести себя так, как ожидается. Если отключен контроль пропускной способности, возникает проблема, описанная в OP (и довольно подробно @malasa).

Неясно, является ли лекарством простое включение этой опции или вам нужно подключиться хотя бы один раз с опцией -o. В любом случае, я могу подтвердить, что после включения этой опции, если я затемзапрещатьчто опция Advanced->Bandwidth Control, то мои ssh/sftp/etc сломаны, как и раньше. Если ядавать возможностьчто опция Advanced->Bandwidth Control, все снова работает как и ожидалось. И (включив эту опцию) все также работает нормально после перезагрузки маршрутизатора.

Так что, с моей точки зрения, это довольно хорошее решение/исправление, не требующее никаких изменений или обслуживания на стороне клиента (в ответ на беспокойство @leonardoborges)

Answer

К сожалению, у меня недостаточно репутации, чтобы проголосовать или прокомментировать ответ Сэма Мейсона выше, но я бы просто хотел публично поставить +1 тому, что он сказал. У меня тоже есть VR2600, и у меня тоже был такой же опыт:

Соединение (ssh, sftp и т. д.) устанавливается, но затем просто зависает.
tshark показывает TCP Spurious Retransmits
настройка -o IPQoS=0 (сама по себе) со стороны клиента ничего не дала
включениенастройка Advanced->Bandwidth Control на маршрутизаторе (ранее отключенная) с максимально возможными пределами (= фактически неограниченными) по-видимому исправляет маршрутизатор таким образом, что он обращает внимание на флаг IPQoS
tshark больше не показывает ложные повторные передачи TCP, а соединение больше не зависает (клиенты ssh, sftp и т. д. теперь работают с сервером за маршрутизатором VR2600).

Кажется, это указывает на существенную ошибку в маршрутизаторе VR2600. К сожалению (на момент написания статьи) у меня установлена последняя прошивка (1.4.0 0.8.0 v0050.0 Build 160518 Rel.50944n, как у Сэма), и этот маршрутизатор, похоже, несовместим с DD-WRT и не тестировался с ней.

ОДНАКО, в дополнение к тому, что обсуждалось выше, я также скажу:

Выполнив шаги с 1 по 5, я теперь могу успешно подключиться даже без указания "-o IPQoS=0"

Другими словами:

Простого включения опции Advanced->Bandwidth Control в настройках маршрутизатора (даже с максимально высоким верхним пределом) кажется достаточно, чтобы заставить этот маршрутизатор NAT вести себя так, как ожидается. Если отключен контроль пропускной способности, возникает проблема, описанная в OP (и довольно подробно @malasa).

Неясно, является ли лекарством простое включение этой опции или вам нужно подключиться хотя бы один раз с опцией -o. В любом случае, я могу подтвердить, что после включения этой опции, если я затемзапрещатьчто опция Advanced->Bandwidth Control, то мои ssh/sftp/etc сломаны, как и раньше. Если ядавать возможностьчто опция Advanced->Bandwidth Control, все снова работает как и ожидалось. И (включив эту опцию) все также работает нормально после перезагрузки маршрутизатора.

Так что, с моей точки зрения, это довольно хорошее решение/исправление, не требующее никаких изменений или обслуживания на стороне клиента (в ответ на беспокойство @leonardoborges)

Невозможно завершить SSH-подключение после успешного обмена ключами с Ubuntu из некоторых сетей

решение1

решение2

решение3

решение4

Связанный контент