A Cisco não pode se conectar ao dispositivo Juniper via SSH - Comprimento de módulo inválido

9

Estou tentando conectar-se de um Cisco 886VA a um Juniper EX2200 via SSH. A conexão falha com as seguintes mensagens no Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Existe alguma maneira de fazer isso funcionar alterando algum parâmetro no dispositivo Juniper ou Cisco?

Versão do IOS: 15.2(4)M5

Versão do JunOS: 12.3R3.4

cisco juniper ssh Sebastian Wiesinger
fonte
Existem outras soluções ? O uso da configuração 4096 interrompeu uma ferramenta para efetuar login e exigirá desenvolvimento, pois isso é considerado uma configuração não padrão. Obrigado Graham
Graham

Respostas:

9

Esse é definitivamente um problema com o tamanho da chave DH.

Tente o seguinte:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
fonte
Definir o tamanho dh min para 4096 funcionou. 2048 não foi suficiente. Obrigado!
Sebastian Wiesinger
@ Sebastian Agora, eu me pergunto de onde 2056vem? Parece um tamanho de chave estranho, mas, no entanto, o mais seguro se exigir 4096tamanhos de chave.
Ryan Foley
Não faço ideia, é uma caixa de zimbro padrão com SSH ativado.
Sebastian Wiesinger
8

O arquivo / etc / ssh / primes do Junos teve um erro de 8 por cento. Ou seja, os módulos nesse arquivo anunciados em 2048 bits tinham, na verdade, 2056 bits.

O cliente Cisco SSH é muito rigoroso nesse sentido e, portanto, se recusa a prosseguir. Como solução alternativa, exclua o arquivo / etc / ssh / primes do seu dispositivo Junos. Isso fará com que a Junos use os módulos do Group14.

obrigado

Arte
fonte
2
+1 boa informação. Você poderia adicionar o bugid junos?
5118 Mike Pennington
0

você precisa gerar uma nova chave rsa no cisco e especificar um módulo maior para a chave

pyatka
fonte
Este é o parâmetro Diffie-Hellman, não o módulo da chave RSA. Criamos uma chave RSA de 2048 bits na Cisco.
Sebastian Wiesinger
Pode ser, você deve tentar gerar a chave com o tamanho do módulo 4096. Isso funcionou para mim, tenho o mesmo erro (% SSH-3-INV_MOD), mas não com zimbro. cisco.com/en/US/docs/ios-xml/ios/security/a1/...
pyatka