こんにちわ！

追加で申し訳ないのですが、もしかしたら何らかの問題で、Secondary機のRSAキーが破損してるかもしれません。同僚に確認してみた所、過去 似た事例があり、RSAキーの再生成で復旧したそうです。

仮にSecondary機に以前 SSHで接続できていた場合は、RSAキーの再生成を試してみてください。

crypto key generate rsa 

以下URLも参考になると思います。

ASA への SSH アクセスを有効にする
https://supportforums.cisco.com/ja/document/47076

無事接続できることを祈ってます！

回答ありがとうございます。返信が遅くなり申し訳ありません。

利用しているバージョンは、9.1（2）です。

まだ、実機で再確認できておりませんが、Standby機にActive機とは別に、

再度、RSAキーを作成するコンフィグを投入することは可能なのでしょうか。

active機のコンフィグと同期するため、コマンドは有効になるのでしょうか。はじかれるということはありませんか。

ASAに詳しくないため、初歩的な質問で申し訳ありません。

こんばんわ！

私の ASA9.1(5)19の冗長構成の環境での出力ですが、以下手順を参考にしてみて下さい。なお、AnyConnectの証明書などで、RSAキーを利用している場合は、RSAキーの削除はしないほうがいいです。FWやNAT用でASAを利用している場合は、以下対応をして問題ないとおもいます。

1. Primary(Active)でRSAキーを削除
ASA/pri/act/admin(config)# crypto key zeroize rsa
WARNING: All RSA keys will be removed.
WARNING: All device digital certificates issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes

2. Primary(Active)でRSAキーが消えている事を確認
ASA/pri/act/admin(config)# sh cry key mypub rsa
ASA/pri/act/admin(config)#    <----- 何も出力無し

3. Secondary(Standby)でRSAキーが消えている事を確認
ASA/sec/stby/admin(config)# sh cry key mypub rsa
ASA/sec/stby/admin(config)#    <----- 何も出力無し

4. Primary(Active)でRSAキーを再生成
ASA/pri/act/admin(config)# crypto key generate rsa general-keys modulus 1024 noconfirm
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...

5. Primary(Active)でRSAキーが生成されている事を確認
ASA/pri/act/admin(config)#  sh cry key mypub rsa
Key pair was generated at: 23:26:55 JST Oct 28 2014
Key name: <Default-RSA-Key>
 Usage: General Purpose Key
 Modulus Size (bits): 1024
 Key Data:
  30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00bc660b
  d3ff0c13 2a5d60ad 98cc50c2 d4beb3ae 0fa57231 1b36993e 326a71d9 f7cff196
  6effc71f 530fc749 514410d6 02177641 cc3d40c5 85cbfece b13bfe02 3cd32a5d
  de7a2104 70f9a351 e620c7d2 5f6756df 08c7e013 8bf14ab9 c99de524 0d258819
  cf404a26 284569bb 3fe53df1 81d585d8 63a4ce85 3bb452b9 63b8c9fd f1020301
  0001

6. Secondary(Standby)でRSAキーが同期されている事を確認
ASA/sec/stby/admin(config)#  sh cry key mypub rsa
Key pair was generated at: 23:26:55 JST Oct 28 2014
Key name: <Default-RSA-Key>
 Usage: General Purpose Key
 Modulus Size (bits): 1024
 Key Data:
  30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00bc660b
  d3ff0c13 2a5d60ad 98cc50c2 d4beb3ae 0fa57231 1b36993e 326a71d9 f7cff196
  6effc71f 530fc749 514410d6 02177641 cc3d40c5 85cbfece b13bfe02 3cd32a5d
  de7a2104 70f9a351 e620c7d2 5f6756df 08c7e013 8bf14ab9 c99de524 0d258819
  cf404a26 284569bb 3fe53df1 81d585d8 63a4ce85 3bb452b9 63b8c9fd f1020301
  0001

7. まず任意端末からActiveの管理IPにSSHアクセスし、ASA側でログインしている事を確認
ASA/pri/act/admin(config)# sh ssh session
SID Client IP       Version Mode Encryption Hmac     State            Username
1   xx.xx.12.28     2.0     IN   aes256-cbc sha1     SessionStarted   cisco
                            OUT  aes256-cbc sha1     SessionStarted   cisco

8. 任意端末からStandbyの管理IPにSSHアクセスし、ASA側でログインしている事を確認
ASA/sec/stby/admin(config)# sh ssh session
SID Client IP       Version Mode Encryption Hmac     State            Username
0   xx.xx.12.28     2.0     IN   aes256-cbc sha1     SessionStarted   cisco
                            OUT  aes256-cbc sha1     SessionStarted   cisco

なお、何故かSSHv2だけ、うまくネットワーク機器に接続できない問題もあるようなので、その場合はSSHv1のSSHクライアントからSecondary宛のアクセスも試してみてみると、良いかもしれません。例えばTeratermもSSHv1対応です。（インターネットなどから管理する場合は、セキュリティの高いSSHv2のほうが良いのですが・・）

上記が参考になれば！

こんにちは

詳細な説明ありがとうございます。

ただ、教えていただいた方法で試したところ、RSAキーの再生成ではSSHアクセスすることはできませんでした。ですので、項番８、のStandbyにSSHアクセスし、ログインしていることを確認することも当然できませんでした。

SSHv1でもログインできませんでした。

RSAキーは生成されております。GUIではStandby機にログインできることは確認できて

おります。他に何か原因がありましたらご教授していただけますでしょうか。

宜しくお願い致します。

こんばんわ！

早速の確認有難う御座います。そしてダメでしたか・・・力及ばずですみません。

私の環境や、別の環境でも冗長構成での各機器のSSH接続は問題ないです。また、今回 Active/Standbyを切り替えても、Secondary機だけダメとの事で、ASA設定の問題も考え辛いように思います。

あとは思いつくところとしては、ネットワーク構成も含めて検討する必要があるかもしれません。例えば、ASAの各ポートはCatalystなどのスイッチで終端頂いていると思うのですが、ポートにアクセスリストなどは無いでしょうか。他、管理PCからSecondary機への通信経路の、別のFirewallやロードバランサなど。

もし、管理系のPCからのSSHが不可の場合、ASAに直結しているスイッチからのSSH接続や、telnet 22は如何でしょうか？

他、以下ももし可能でしたらチェックしてみてください。

- Teratermから Secondaryにアクセスできないのは、キー交換時のエラーか？もしくはタイムアウトか？
  接続できない理由はどのように出力されてますでしょうか？
 
- Secondary機に SSHパケットが到達しているか？
    →SecondaryにConsole接続しdebug ssh 255 を有効化すれば、SSH処理が動いている場合は、SSH接続があった場合、何らかの出力があるはずです

debug sshが取得いただける場合は、その出力と、sh run sshの設定を拝見させて頂けますでしょうか。

正常にSSH接続が出来る場合の出力例は以下の「Case1: SSHデバッグ、コンソール出力」が参考になると思います。
[ASA: debug-traceを活用したトラブルシューティング]
https://supportforums.cisco.com/ja/document/12271691

上記が解決の一助になれば嬉しいのですが、もしかしたら根の深い難しい問題で、ASAの設定や周囲構成を含めたトラブルシューティングが必要かもなので、ご利用のASAの販売元のCisco代理店さんなどに問い合わせも、検討頂くといいかもしれません。