Cisco kann keine Verbindung zum Juniper-Gerät über SSH herstellen - Ungültige Modullänge

9

Ich versuche, über SSH eine Verbindung von einem Cisco 886VA zu einem Juniper EX2200 herzustellen. Die Verbindung schlägt mit den folgenden Meldungen auf dem Cisco fehl:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Gibt es eine Möglichkeit, dies durch Ändern einiger Parameter auf dem Juniper- oder Cisco-Gerät zu erreichen?

IOS-Version: 15.2(4)M5

JunOS-Version: 12.3R3.4

Sebastian Wiesinger
quelle
Gibt es noch andere Lösungen? Die Verwendung der Einstellung 4096 hat ein Tool zum Anmelden beschädigt und muss weiterentwickelt werden, da dies als nicht standardmäßige Einstellung angesehen wird. Vielen Dank, dass Sie Graham
Graham

Antworten:

9

Dies ist definitiv ein Problem mit Ihrer DH-Schlüsselgröße.

Versuche dies:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
quelle
Das Einstellen der dh min-Größe auf 4096 hat funktioniert. 2048 war nicht genug. Vielen Dank!
Sebastian Wiesinger
@Sebastian Jetzt frage ich mich, woher 2056kommt? Das scheint eine seltsame Schlüsselgröße zu sein, aber dennoch die sicherste, wenn 4096Schlüsselgrößen erforderlich sind.
Ryan Foley
Keine Ahnung, es ist eine Standard-Wacholderbox mit aktiviertem SSH.
Sebastian Wiesinger
8

Junos 'Datei / etc / ssh / primes hatte einen Fehler von 8. Das heißt, die Module in dieser Datei, für die 2048 Bit angekündigt wurden, waren tatsächlich 2056 Bit lang.

Der Cisco SSH-Client ist in dieser Hinsicht sehr streng und weigert sich daher, fortzufahren. Löschen Sie zur Umgehung dieses Problems die Datei / etc / ssh / primes von Ihrem Junos-Gerät. Dies führt dazu, dass Junos Module der Gruppe 14 verwendet.

Vielen Dank

Kunst
quelle
2
+1 gute Info, Könntest du den Junos Bugid hinzufügen?
Mike Pennington
0

Sie müssen einen neuen RSA-Schlüssel in Cisco generieren und einen größeren Modul für den Schlüssel angeben

Pyatka
quelle
Dies ist der Diffie-Hellman-Parameter, nicht der Modul aus dem RSA-Schlüssel. Wir haben einen 2048-Bit-RSA-Schlüssel auf dem Cisco erstellt.
Sebastian Wiesinger
Möglicherweise sollten Sie versuchen, einen Schlüssel mit der Modulgröße 4096 zu generieren. Dies funktioniert bei mir, ich habe den gleichen Fehler (% SSH-3-INV_MOD), aber nicht mit Wacholder. cisco.com/de/US/docs/ios-xml/ios/security/a1/…
pyatka