Cisco nie może połączyć się z urządzeniem Juniper przez SSH - nieprawidłowa długość modułu

9

Próbuję połączyć się z Cisco 886VA do Juniper EX2200 za pośrednictwem SSH. Połączenie nie powiedzie się z następującymi komunikatami w Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Czy jest jakiś sposób, aby to działało, zmieniając jakiś parametr na urządzeniu Juniper lub Cisco?

Wersja IOS: 15.2(4)M5

Wersja JunOS: 12.3R3.4

cisco juniper ssh Sebastian Wiesinger
źródło
Czy są jakieś inne rozwiązania? Użycie ustawienia 4096 zepsuło narzędzie do logowania i będzie wymagało opracowania, ponieważ jest to uważane za ustawienie niestandardowe. Thank You Graham
Graham

Odpowiedzi:

9

Jest to zdecydowanie problem z rozmiarem klucza DH.

Spróbuj tego:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
źródło
Ustawiono minimalny rozmiar dh na 4096. 2048 to za mało. Dzięki!
Sebastian Wiesinger
@Sebastian Teraz zastanawiam się, skąd 2056pochodzi? Wydaje się to dziwnym rozmiarem klucza, ale mimo wszystko najbezpieczniejszym, jeśli wymaga 4096klucza.
Ryan Foley
Nie mam pojęcia, jest to standardowe pudełko jałowca z włączonym SSH.
Sebastian Wiesinger
8

Plik / etc / ssh / primes Junosa miał wyłączony błąd 8. Oznacza to, że moduły w tym pliku reklamowane jako 2048 bitów miały długość 2056 bitów.

Klient Cisco SSH jest pod tym względem bardzo surowy i dlatego odmawia kontynuacji. Aby obejść ten problem, usuń plik / etc / ssh / primes z urządzenia Junos. Spowoduje to, że Junos użyje modułów Group14.

Dzięki

Sztuka
źródło
2
+1 dobre informacje, czy możesz dodać błąd junos?
Mike Pennington
0

musisz wygenerować nowy klucz RSA w systemie Cisco i określić większy moduł dla klucza

pyatka
źródło
Jest to parametr Diffiego-Hellmana, a nie moduł klucza RSA. Stworzyliśmy 2048-bitowy klucz RSA na Cisco.
Sebastian Wiesinger
być może powinieneś spróbować wygenerować klucz z modułem wielkości 4096. To zadziałało dla mnie, mam ten sam błąd (% SSH-3-INV_MOD), ale nie z jałowcem. cisco.com/en/US/docs/ios-xml/ios/security/a1/…
pyatka