Cisco non può connettersi al dispositivo Juniper tramite SSH - Lunghezza modulo non valida

9

Sto cercando di connettermi da un Cisco 886VA a un Juniper EX2200 tramite SSH. La connessione non riesce con i seguenti messaggi su Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Esiste un modo per farlo funzionare modificando alcuni parametri sul dispositivo Juniper o Cisco?

Versione IOS: 15.2(4)M5

Versione JunOS: 12.3R3.4

cisco  juniper  ssh 
Sebastian Wiesinger
fonte
Ci sono altre soluzioni ? L'uso dell'impostazione 4096 ha interrotto uno strumento per l'accesso e richiederà lo sviluppo poiché è considerato un'impostazione non standard. Grazie Graham
Graham,

Risposte:

9

Questo è sicuramente un problema con la dimensione della chiave DH.

Prova questo:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
fonte
L'impostazione della dimensione minima del dh su 4096 ha funzionato. Il 2048 non era abbastanza. Grazie!
Sebastian Wiesinger,
@Sebastian Ora mi chiedo da dove 2056viene? Sembra una strana dimensione della chiave, ma nondimeno, la più sicura se richiede 4096dimensioni della chiave.
Ryan Foley,
Nessuna idea, è una scatola di ginepro standard con SSH abilitato.
Sebastian Wiesinger,
8

Il file / etc / ssh / primes di Junos aveva un bug di off 8. Cioè, i moduli in quel file pubblicizzato come 2048 bit, erano in realtà lunghi 2056 bit.

Il client Cisco SSH è molto severo in questo senso e quindi si rifiuta di procedere. Come soluzione, elimina il file / etc / ssh / primes dal tuo dispositivo Junos. Ciò farà sì che Junos utilizzi i moduli Group14.

Grazie

Arte
fonte
2
+1 buone informazioni, potresti aggiungere il junos bugid?
Mike Pennington,
0

è necessario generare una nuova chiave rsa su Cisco e specificare un modulo più grande per la chiave

pyatka
fonte
Questo è il parametro Diffie-Hellman, non il modulo dalla chiave RSA. Abbiamo creato una chiave RSA a 2048 bit su Cisco.
Sebastian Wiesinger,
potrebbe essere, dovresti provare a generare una chiave con modulo di dimensioni 4096. Questo ha funzionato per me, ho lo stesso errore (% SSH-3-INV_MOD), ma non con Juniper. cisco.com/en/US/docs/ios-xml/ios/security/a1/…
pyatka
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.