FlexMcMurphy's questions

我想从一台主机（运行 Dropbear 的 OpenWrt）SSH 到同一 LAN 上运行 open-ssh 服务器和客户端的另一台主机。

我将另一台主机的私有open-ssh密钥转换为dropbear格式，并保存到OpenWrt主机上的~/.ssh/ncp_key_dropbear。

现在我可以像这样从 OpenWrt SSH 到另一个主机：

# ssh -i ncp_key_dropbear [email protected] -p 22

我还在 OpenWrt 主机上创建了一个 ~/.ssh/config 文件，如下所示：

Host ncp
        User root
        Port 22
        IdentityFile ~/.ssh/ncp_key_dropbear
        HostName 192.168.1.124

但是当我现在尝试使用此命令进行 ssh 时：

# ssh ncp

我得到这个错误...

root@OpenWrt:~/.ssh# ssh ncp

ssh: Connection to root@ncp:22 exited: Connect failed: Error resolving 'ncp' port '22'. Name does not resolve

实际上，即使我将端口更改为 1022，即使远程主机上的 sshd 也在侦听该端口，我也会遇到同样的错误。

我如上所述在另一台主机上设置了一个 ~/.ssh/config 文件，除了我在该主机上使用了一个 open-ssh 客户端，并且可以像这样从它 ssh 到 OpenWrt：

# ssh openwrt

那么为什么我的配置文件不能在 OpenWrt 上运行呢？Dropbear 对 ~/.ssh/config 文件一无所知吗？这是 2009 年的一篇文章，似乎暗示但情况确实发生了变化？

干杯，

柔性

我想运行这个网址：https ://192.168.1.254并在地址栏中获取一个具有正确内容和证书的网站。我正在获取该网站，但在地址栏中出现无效证书错误，因为该证书取自不同的服务器块：默认服务器块000-default.conf。

有人可以向我解释这种行为吗？

我的客户端浏览器是 Google Chrome 版本 87.0.4280.88 (Official Build) (64-bit)

我的 Nginx 服务器是：

root@OpenWrt:/etc/nginx/conf.d# nginx -V
nginx version: nginx/1.19.4 (x86_64-pc-linux-gnu)
built with OpenSSL 1.1.1h  22 Sep 2020
TLS SNI support enabled

我认为这个问题与 SNI 显然不允许将 Literal IPv4 和 IPv6 地址作为 "HostName" 的方式有关。但真的是这样吗？

我有一个默认服务器块000-default.conf，如下所示：

server {
    server_name _;
    listen 80 default_server;
    listen 443 ssl default_server;

    ## To also support IPv6, uncomment this block
    # listen [::]:80 default_server;
    # listen [::]:443 ssl default_server;

    ssl_certificate '/etc/nginx/conf.d/_lan.crt';
    ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
    return 404; # or whatever
}

另一个名为 luci-http.conf 的服务器是这样的：

server {
        listen 80;
        listen [::]:80;
        server_name openwrt.lan 192.168.1.254;
        # access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
        include conf.d/*.locations;
}

当我将http://192.168.1.254放在地址栏中时，它会为我提供正确的网页。

我也有这个 https 服务器： luci-https.conf

server {
        listen 443 ssl;
        listen [::]:443 ssl;

        server_name openwrt.lan 192.168.1.254;
        #include '/var/lib/nginx/lan_ssl.listen.default';
        ssl_certificate '/etc/nginx/conf.d/_lan.crt';
        ssl_certificate_key '/etc/nginx/conf.d/_lan.key';
        ssl_session_cache 'shared:SSL:32k';
        ssl_session_timeout '64m';
        # access_log /proc/self/fd/1 openwrt; # use logd (init forwards stdout).
        include conf.d/*.locations;
}

当我将https://192.168.1.254放在地址栏中时，它会为我提供正确的网页和_lan.crt中的证书。如您所见，我在此和默认服务器块中有相同的证书/密钥对。

但是，当我从luci-https.conf中删除该 IP 地址作为 server_name并将其添加为 server_name 时：mysite.lan.conf我没有看到相同的行为。

server {
        listen 443 ssl;
        listen [::]:443 ssl;
        #listen 192.168.1.254 ssl;
        #include '/var/lib/nginx/lan_ssl.listen';

        server_name mysite.lan www.mysite.lan fun.mysite.lan 192.168.1.254;

        root /www/mysite;
        index index.html index.htm index.nginx-debian.html;

        ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
        ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';
        ssl_session_cache 'shared:SSL:32k';
        ssl_session_timeout '64m';

        location / {
                try_files $uri $uri/ =404;
        }

        access_log /var/log/nginx/mysite.lan.access.log;
        error_log /var/log/nginx/mysite.lan.error.log;
}

现在，当我将https://192.168.1.254放在地址栏中时，它会为我提供正确的网页，但再次是_lan.crt中的证书，而不是mysite.lan.conf中的mysite.lan.crt。

当我放..

ssl_certificate '/etc/nginx/conf.d/mysite.lan.crt';
ssl_certificate_key '/etc/nginx/conf.d/mysite.lan.key';

在默认服务器块000-default.conf中，然后当我将https://192.168.1.254放在浏览器地址栏中时，我得到了该证书，无论 192.168.1.254 是否被指定为luci-https.conf或mysite.lan中的 server_name .conf。

因此，SNI 似乎将匹配作为 IP 地址的“主机名”，但它从默认服务器块获取证书。这是为什么？