Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 18153 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No supported authentication methods available when trying to connect over SSH

maya
Hi,

I am running Astaro Security Gateway v8.306. Enabled SSH, allowed network = any (I know it is not recommended, I just need to get it working with the basic settings first), password authentication only, set the loginuser password, checked the log: the SSH server is listening on port 22. 

On the client PC I can telnet to the port 22 on the ASG host (using the external IP host address). 

But when I try to log in using Putty or WinSCP I am getting the same error all the time:
Disconnected: No supported authentication methods available (server sent: publickey)

Also I do not see any login attempts in the SSH server log.

I've read a lot of threads and cannot find any solution. What am I doing wrong?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Maya, and welcome to the User BB!

    When one enables SSH does Astaro create some sort of automatic filter rules for the allowed networks? 

    Yes, WebAdmin does a lot of stuff automatically.

    1) Disable the DNAT rule I configured and try to access the ASG by the external IP address and port 22
     Checked the firewall log and seeing this:
     
    /var/log/packetfilter.log:2012:12:04-17:59:11 ASG host name ulogd[5871]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="60021" initf="eth3.150" srcmac="x" dstmac="x" srcip="86.46.44.6" dstip="87.198.***.***" proto="6" length="52" tos="0x18" prec="0x00" ttl="115" srcport="56239" dstport="22" tcpflags="SYN"

    The bolded part means the NAT rule was still active.  My "Rule #2" is

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    So that means that your DNAT is disrupting communication to the "External (Address)."  That your second DNAT worked is normal, but shouldn't be necessary.

    You'll be a lot happier if you grab puttygen.exe from http://www.astarosupport.org/Downloads/, and create RSA public and private keys.  Then, configure 'Shell Access' to 'allow root login: root access but only with ssh key' and add your new public key to 'Authorized keys for root.'  Finally, configure putty and WinSCP to login with public key authentication.  In putty, the 'Private key file for authentication' is found on 'Connection > SSH > Auth'.

    How's that working for you?

    Cheers - Bob
    PS I like your VPN approach, and usually combine it with limiting shell access to my home and offices and Astaro/Sophos Support IPs.
Reply
  • 0
    Hi, Maya, and welcome to the User BB!

    When one enables SSH does Astaro create some sort of automatic filter rules for the allowed networks? 

    Yes, WebAdmin does a lot of stuff automatically.

    1) Disable the DNAT rule I configured and try to access the ASG by the external IP address and port 22
     Checked the firewall log and seeing this:
     
    /var/log/packetfilter.log:2012:12:04-17:59:11 ASG host name ulogd[5871]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="60021" initf="eth3.150" srcmac="x" dstmac="x" srcip="86.46.44.6" dstip="87.198.***.***" proto="6" length="52" tos="0x18" prec="0x00" ttl="115" srcport="56239" dstport="22" tcpflags="SYN"

    The bolded part means the NAT rule was still active.  My "Rule #2" is

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    So that means that your DNAT is disrupting communication to the "External (Address)."  That your second DNAT worked is normal, but shouldn't be necessary.

    You'll be a lot happier if you grab puttygen.exe from http://www.astarosupport.org/Downloads/, and create RSA public and private keys.  Then, configure 'Shell Access' to 'allow root login: root access but only with ssh key' and add your new public key to 'Authorized keys for root.'  Finally, configure putty and WinSCP to login with public key authentication.  In putty, the 'Private key file for authentication' is found on 'Connection > SSH > Auth'.

    How's that working for you?

    Cheers - Bob
    PS I like your VPN approach, and usually combine it with limiting shell access to my home and offices and Astaro/Sophos Support IPs.
Children
  • 0 in reply to BAlfson

    So that means that your DNAT is disrupting communication to the "External (Address)."  


    Sorry, I was distracted here. I think I still need to figure out why without the special DNAT which you are saying is not needed I cannot get through.

    The whole certificate thing is working all right. That was the first thing I did. Generated the keys and set them up on ASG. But then I started getting that error and changed the authentication to password only because I thought that there was a problem with the certificate. And this is when I posted my first message.

    With the DNAT both password and certificates are working perfectly all right. There are a lot of things I do not understand still. It is a learning curve.

    If nothing in the information I provided gives a hint about why it is not working without a manually configured rule, I need to figure out that myself at some stage. Thanks to everyone for your help