ssh_exchange_identification: Connection closed by remote hos

[olaf123]

Hallo!

Bei dem Versuch, mich per ssh zum esxi (5.5) zu verbinden, kommt

ssh root@192.168.3.105
ssh_exchange_identification: Connection closed by remote host

Da ich ausschließlich Linux nutze und der "vmware host client" über den Browser ohne kostenpflichtige Lizenz keine Steuerung mehr ermöglicht (?), habe/hatte ich nur noch die Konsole als Lösung.

Ich habe den Zugang per ssh bisher nur ein paar mal genutzt. Soweit ich mich erinnern kann, habe ich seit dem keine Änderungen am esxi vorgenommen.

Wo könnte der Fehler liegen?

Gruß,
Olaf

[irix]

1. SSH ist per Default nicht gestattet Es kann fuer dauerhaft oder aber begrenzte Zeit erlaubt werden
2. Der EHC funktioniert ab 6.0u2 auch mit dem kostenfreien vSphere Hypervisor


Was den SSH Fehler angehet so hab ich den hier und da auf unseren Linux Servern auch schon mal gesehen. Volles /tmp oder korrupte SSH Keys waren da die Ursache.

Gruss
Joerg

[olaf123]

ssh ist aktiviert.
Bei deinem Punkt 2. muss ich morgen (ausgeschlafen) erst mal google bemühen, um die Begriffe zuordnen zu können. Ich hatte bisher alles so gedeutet, dass ich ohne Windows und ohne Dingsbums-Lizenz nur noch per ssh weitermachen kann.

Bzgl ssh/tmp/keys, du meinst auf dem Server, nicht auf den Clients, oder?

Gruß,
Olaf

[olaf123]

Per iLO konnte ich gerade feststellen, dass sowohl die "esxi Shell" als auch "ssh" deaktiviert sind.
Wenn ich diese dort aktiviere, das Menü verlasse und nach kurzer Zeit (ca. 10 Sekunden) wieder reingehe, sind beide wieder deaktiviert.

Ich stehe jetzt total auf dem Schlauch:
Zwei vm's laufen gerade. Wenn ich diese nun _direkt_ per ssh oder gui herunterfahre, wie bekomme ich sie danach wieder gestartet, wenn ich das Problem mit dem ssh zum esxi nicht gelöst bekomme? Auch wenn es vielleicht wirklich /tmp oder die ssh-keys sind, muss ich da ja erst mal drankommen.

Oder denke ich gerade total falsch?

[kastlr]

Hallo,

zumindest bei Verwendung des klassischen vSphere Clients konnte ich feststellen, das er bei Änderungen an des ssh Einstellung immer Probleme bekam.

Es ist z. B. nicht möglich, gleichzeitig das Verhalten von ssh zu ändern (z. B. start and stop with host) und im selben Atemzug den ssh Dienst zu starten.
Diesem Problem konnte man aus dem Weg gehen, indem man immer nur eine Änderung durchführt und dann speichert.

Vielleicht löst das ja dein Problem.

Gruß,
Ralf

[olaf123]

Hallo Ralf!

Ich bringe immer wieder die Begriffe durcheinander und bin mir daher nicht sicher, ob ich alles richtig verstehe.

Ich habe hier nur den Zugriff per Browser, "vmware Host Client" nennt sich das Teil.
Dieser Browser-Client zeigt mir quasi nur noch Zustände des esxi und der vm's an, seit die Testzeit von xy Tagen abgelaufen war. Dort kann ich gar nichts mehr starten/stoppen usw.

Das war zwar etwas ärgerlich, aber für die paar Zugriffe würde mir wohl auch der Zugang per ssh reichen. Dachte ich zumindest.

Das einzige, was ich jetzt noch habe, ist das, was man auf dem (theoretischen) Bildschirm des Servers sieht. In meinem Fall schließe ich keinen Bildschirm an, sondern lasse mir das per HP-iLO (= "integrated Remote Console") anzeigen, aber das sei nur der Vollständigkeit halber erwähnt.

Jedenfalls kann ich dort nur ein paar Dinge ändern, aus meiner Sicht nur die grundsätzliche Konfiguration/Installation des esxi.
Dazu zählen unter anderem unter dem Punkt "Troubleshooting options" auch die Punkte "Enable ESXi Shell" und "Enable SSH". Diese kann ich jeweils nur mit Return anwählen. Ich habe keinerlei Einfluss darauf, was genau dann geschieht, es gibt also keine weiteren Optionen, um eine oder mehrere Aufgaben durchführen zu lassen.

Gruß,
Olaf

[~thc]

Du sprichst gerade von der DCUI, die du über iLO ansteuerst - bei meinem ESXi ist der Zustand des SSH-Dienstes dort korrekt und stabil. Die DCUI ist für deinen Zweck (VMs hochfahren) nicht zu gebrauchen.

Du kannst auf die vSphere Perl SDK ausweichen - nicht sehr bequem, aber funktional.

[irix]

Moin Olaf,

Erklaerung:
vSphere Client = Windows Only Tool um sich zum ESXi Host und oder vCenter zu verbinden. Ob ESXi der kostenlose ist spielt keine Rolle.
Allerdings ist der vSphere Client technologisch "eingefroren" auf dem Stand von vSphere 5.1 und alle neueren Features sind nicht mehr abgebildet worden. Aus diesem Grund kommt immer die Warnung beim editieren von VM welche einen hoehren vHW Stand haben als der vSphere Client verarbeiten kann.
Es hat eine kurze Phase gegeben wo die Berabeitung nicht moeglich war. Das hat VMware aber dann wieder geaendert und es verbleibt bei der Warnung.

WebClient = Das ist die WebGUI eines vCenters welches nur in der lizenzierten Variante zur Verfuegung steht. Ist HTML/Flash und jeder muss sich seine Meinung bilden

Embedded Host Client (EHC) = Das war 1.5 Jahre ein "Fling" welches erlaubt einen Einzel ESXi ueber den Browser zuverwalten. Konnte bis Dato nur einen lizenzierten ESXi verwaltungen. Mit vSphere 6.0u2 hat VMware den EHC uebernommen und supportet diesesn auch. Dazu kam das er nun auch den kostenfreien ESXi Hypervisor managen.

Wenn du ueber eine Bildschirm/KVM dich am ESXi direkt anmeldest ist der Name der Geld/Schwarz-Grauen GUI dann DCUI. Wer sich die SSH freischaltet hat eine Console und ich bin der Meinung das man durchaus VMs stoppen/starten kann mit vernueftigem Aufwand. Mittels vim-cmd vmsvc/power.on <VMID>

Die DCUI kann man auch "sehen" wenn man sich per SSH anmelden und dann in einem Shellfenster welches Gross genug ist "dcui" auf der Shell mal startet.

Aber keine Frage.. Spass ist was anderes und wenn es darum geht die VM zu editieren dann kann ich mir was besseres vorstellen als per vim eine Konfigdatei zu editieren.

Ich glaube wenn du den SSH mal dazu bringst neustarten dann sollte die Anmeldung wieder gehen. Evtl. auch mal -v fuer verbose/Debug dem Client mitgeben.

Obs bei 5.5 auch schon so war das man den SSH nur Zeitweise oeffnen konnte weis ich garnicht aber dann waere die Fehlermeldung eine andere.

Hat dein ESXi noch einen weiteren VMkernel Ports fuer IP Storage oder so? Weil da kann man auch per SSH mal anklopfen.

Gruss
Joerg

[kastlr]

Hallo Olaf,

dass du nur Linux einsetzt hatte ich überlesen, mea culpa.

Wenn du HP iLO nutzt, kannst du ja mal folgendes ausprobieren.

Den folgenden VMware Artikel kennst du sicherlich schon
Using ESXi Shell in ESXi 5.x and 6.0

Du kannst in der iLO Session durch drücken von <ALT>+<F1> von der "DCUI" auf die "ESXi Shell" wechseln, sofern die ESXi Shell sich denn vorher aktivieren läßt.
Damit lässt sich zumindest überprüfen, ob die Maßnahmen wirklich erfolgreich umgesetzt werden konnten oder nicht..

Zum Rest hat ja Joerg schon was gesagt.

Gruß und viel Erfolg,
Ralf

[olaf123]

Du sprichst gerade von der DCUI, die du über iLO ansteuerst - bei meinem ESXi ist der Zustand des SSH-Dienstes dort korrekt und stabil. Die DCUI ist für deinen Zweck (VMs hochfahren) nicht zu gebrauchen.

Ich weiß zwar nicht, was eine DCUI ist, aber Du meinst auf jeden Fall das, was ich auch meine
Ich habe das jedoch nicht aufgerufen, um die vm's zu stoppen, sondern in der Hoffnung, von dort den ssh-Dienst wieder starten zu können. Funktioniert aber leider nicht.
Den ssh-Dienst hätte ich gerne wieder am Laufen, weil er für mich die einzige mir bekannte Möglichkeit ist, irgendwas am esxi zu starten/stoppen usw.

Du kannst auf die vSphere Perl SDK ausweichen - nicht sehr bequem, aber funktional.

Da ist er wieder - Der Moment, in dem ich mich frage, ob ich da jemals durchblicke, und ob es nicht besser wäre, ich setze den ganzen Server nochmal neu auf, ohne vmware, einfach nur mein Betriebssystem, und daneben einen zweiten Rechner für die benötigten Zusatzfunktionen der jetzigen zweiten vm

Mit anderen Worten:
Wenn ich mich gleich wieder beruhigt habe mache ich mir erst mal eine Stichwortliste mit diesen ganzen kryptischen Begriffen fern meiner Muttersprache und werde auf google nach einer Erklärung des Begriffes "vSphere Perl SDK" schauen...

Aber eigentlich wäre ich schon zufrieden, wenn einfach nur ssh wieder funktionieren würde. Mehr brauche ich nicht.

[olaf123]

Ihr seid mir zuvorgekommen, während ich diese Zeilen (mit Unterbrechungen) schrieb.
irix ist mir sogar zuvorgekommen mit dem Schreiben einer Liste. Vielen Dank dafür, ich hatte schon den ganzen Abend dafür anvisiert...

Den Fling habe ich seinerzeit auch installiert, das ist der von mir als "WebClient" angesehene Teil, der sich im Browser "vmware Host Client" nennt und der seit geraumer Zeit nicht mehr funktioniert, d.h. egal, was man klickt, es passiert nichts mehr.
Wenn ich das seinerzeit richtig verstanden habe, funktioniert das deswegen nicht mehr, weil die Testphase meiner ... (jetzt wirds heikel, das fehlt noch in der Liste ...).. VMware vSphere? ... VMware Hypervisor? .... abgelaufen ist(?)

Verstehe ich das richtig, irix, dass ich eigentlich nur (irgendwie) auf den esxi / vSphere 6.0u2 updaten müsste, und zack, hätte ich auch von Linux aus die Möglichkeit, den esxi / vSphere zu managen, per Browser, ohne weiteres Gefrickel?

Das wäre theoretisch - wenn alles klappt - gar nicht mal so wild, denn der Grund, warum ich das alles hier gerade mache/schreibe, ist, dass ich
1. meine vm's kopieren (=sichern per ssh, scp) möchte
um
2. kurzfristig die Installation meines Servers nochmal neu aufzusetzen, da die jetzige Konstellation hardwareseitig "nicht ganz durchdacht" war.

Ich würde daher gerne:
1. ssh aktivieren
2. vm's runterfahren
3. esxi runterfahren
4. hdd raus (auf der ist der esxi installiert _und_ alles andere gespeichert. Schön blöd.)
5. _Zwei_ hdd's rein, RAID 1
6. Einen USB-Stick in den internen Port des HP-Servers
7. esxi / vSphere 6.0u2 auf den usb-Stick installieren
8. vm's von der bisherigen, ausgebauten hdd (bzw. einer Sicherung/Kopie) auf das neue RAID kopieren, anmelden usw.

Zusammen mit Backups auf ein NAS würde ich dann ruhiger schlafen als jetzt.

Ralf:
leider lassen sich weder ssh noch die esxi shell starten.
Wenn ich das bestehende System reparieren möchte, kann ich mir nur noch vorstellen, den Server z.B. über einen meiner Live-Sticks (Ubuntu u.a.) zu starten, den /tmp und die ssh-keys zu löschen (letzteres unbekannt) und neu zu booten.

Mit deinen Infos und denen aus dem von dir genannten Link konnte ich vorhin mal kurz per <ALT>+<F1> in eine Konsole, aber er nahm Benutzername + Passwort nicht an, und beim zweiten Versuch hängte er sich auf. Seit dem schreibt die Konsole immer wieder diverse Zeilen im Viertelsekundentakt, z.B.

"/bin/initterm.sh ... Line 12: ..can't fork"
und
"getty ... setsid: cannot allocate memory"

alles kaum zu lesen.

Interessanterweise wird mir in der DCUI nun die esxi shell als "Enabled" angezeigt.
Bringt nur nichts, da ja dort drin nun die Dauerschleife läuft.

[irix]

Den Fling habe ich seinerzeit auch installiert, das ist der von mir als "WebClient" angesehene Teil, der sich im Browser "vmware Host Client" nennt und der seit geraumer Zeit nicht mehr funktioniert, d.h. egal, was man klickt, es passiert nichts mehr.
Wenn ich das seinerzeit richtig verstanden habe, funktioniert das deswegen nicht mehr, weil die Testphase meiner ... (jetzt wirds heikel, das fehlt noch in der Liste ...).. VMware vSphere? ... VMware Hypervisor? .... abgelaufen ist(?)

So schaut das aus. Du hast VMware vSphere ESXi installiert gehabt und hast die 60 Tage Trial genossen in der alle APIs zur Verfuegung stehen. MIt dem Einspielen des "Free" Lizenzkeys wird daraus dann der vSphere Hypervisor (so nennt VMware die kostenfreie Variante). Ich kann nicht sagen ob nach Ablauf der Tage automatisch umgewandelt wird oder ob der "Free" Lizenzkey eingespielt werden muss. Ich habe sogut wie nichts mir der kostenfreien Variante zutun und da wo Kunden damit rumspielen Stand der Key mit dem Download zur Verfuegung.

Wichtig ist nur zuwissen das es Sofwaretechnisch keinen Unterschied gibt und das *.zip/iso ist immer das gleiche. Einzig der Lizenzkey regelt dann was einem zur Verfuegung steht. Man kann auch im lfd. Betrieb die Keys wechseln ohne das man neuinstallieren muss.

Verstehe ich das richtig, irix, dass ich eigentlich nur (irgendwie) auf den esxi / vSphere 6.0u2 updaten müsste, und zack, hätte ich auch von Linux aus die Möglichkeit, den esxi / vSphere zu managen, per Browser, ohne weiteres Gefrickel?

Richtig!
Sofern du sicherstellen kannst das die phys. HW von 6.0.u2 support wird kannst du per Inplace Upgrade dorthin upgraden. Du kannst aber auch neuinstallieren.
Beim Upgrade bitte VORHER den EHC deinstallieren.

Gruss
Joerg

[olaf123]

Vielen Dank schonmal, jetzt hab ich zumindest beim Verständnis etwas Licht in Sicht.

HP Microserver Gen8, steht irgendwo, ob der von der 6.x unterstützt wird?
Gibt es irgendetwas zu beachten für das Kopieren der vm's? (Snapshots o.ä.) Denn da könnte ich ja im Moment nichts machen.

//

Da die v.g. esxi Shell zwar in einer Dauerschleife ist, aber zumindest nun als "Enabled" angezeigt wird, habe ich jetzt nochmal versucht, mich zu verbinden. Nicht von der DCUI, sondern von meinem Rechner per Konsole. Vorher habe ich auf meinem Rechner die known_hosts gelöscht bzw. umbenannt.
Ergebnis (etwas entschärft):

Code: Alles auswählen

olaf@Ubuntu:~$ ssh -v root@blablubb-ip
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to blablubb-ip .. port 22.
debug1: Connection established.
debug1: identity file /home/olaf/.ssh/id_rsa type -1
debug1: identity file /home/olaf/.ssh/id_rsa-cert type -1
debug1: identity file /home/olaf/.ssh/id_dsa type -1
debug1: identity file /home/olaf/.ssh/id_dsa-cert type -1
debug1: identity file /home/olaf/.ssh/id_ecdsa type -1
debug1: identity file /home/olaf/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/olaf/.ssh/id_ed25519 type -1
debug1: identity file /home/olaf/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2.3
debug1: Remote protocol version 2.0, remote software version OpenSSH_5.6
debug1: match: OpenSSH_5.6 pat OpenSSH_5* compat 0x0c000000
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-sha1 none
debug1: kex: client->server aes128-ctr hmac-sha1 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<7680<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
debug1: SSH2_MSG_KEX_DH_GEX_INIT sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_REPLY
debug1: Server host key: RSA 46: ... usw ... :b8
The authenticity of host 'blablubb-ip' can't be established.
RSA key fingerprint is 46:..... usw ...2e:b8.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'blablubb-ip' (RSA) to the list of known hosts.
debug1: ssh_rsa_verify: signature correct
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: Roaming not allowed by server
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: Next authentication method: publickey
debug1: Trying private key: /home/olaf/.ssh/id_rsa
debug1: Trying private key: /home/olaf/.ssh/id_dsa
debug1: Trying private key: /home/olaf/.ssh/id_ecdsa
debug1: Trying private key: /home/olaf/.ssh/id_ed25519
debug1: Next authentication method: keyboard-interactive
debug1: Authentications that can continue: publickey,keyboard-interactive
debug1: No more authentication methods to try.
Permission denied (publickey,keyboard-interactive).
olaf@Ubuntu:~$


[olaf123]

Stand der Dinge:

Es gibt eine Reihe Beiträge im web von Leuten mit dem gleichen Problem, also esxi nicht mehr per ssh erreichbar, ssh nicht zu starten usw.
Eine Lösung habe ich noch nicht gefunden, aber Herunterfahren + Hochfahren war jetzt zumindest eine temporäre Lösung. Der esxi lies sich zwar über dessen DCUI auch neu starten, aber das brachte nichts, der Fehler blieb. Daher Shutdown + Neustart:

- vm's über deren gui und ssh herunterfahren
- Per iLO (alternativ Power-Schalter...) den Server herunterfahren.
- Per iLO (Netzschalter...) den Server wieder hochfahren.
= ssh funktioniert wieder
- Link-Problem des fling reparieren (sofern fling installiert)
- vm's per Konsole neu starten
= Läuft.

Lt. diverser Berichte im Web, auch schon bezogen auf frühere Versionen des esx/esxi (z.B. 3.5) wird das Problem aber immer wieder auftauchen, daher hoffe ich, dass es dafür doch irgendwo eine Lösung gibt.

[irix]

Also .... seit 8 Jahren ESX/ESXi mit einer 3 stelligen Anzahl an Hosts und iich kann nicht sagen den Fehler aktiv schonmal gesehen zuhabe. Gibt sogar ESXi Hosts hier mir 2 Jahren Uptime.

Gruss
Joerg

[olaf123]

Vieleicht habe ich ja Glück, und es taucht nicht mehr auf.
Ich hatte einige der Fehlermeldungen auf google eingegeben und fand dazu verschiedene Beiträge. u.a. auch in einem (englischsprachigen) vmware-Forum. Vermutungen gingen von hoher Server-Last über Bug bis hin zu Hardwaredefekt. Was ich wo gefunden bzw. gelesen habe, weiß ich nicht mehr, da es nirgends eine Lösung in den Beiträgen gab, hab ich mir das nicht gemerkt.
Fakt ist, den Fehler gibt es vielleicht selten, aber es gibt ihn.

Aber wie gesagt, vielleicht hing ja nur _einmal_ was.