A Cisco não pode se conectar ao dispositivo Juniper via SSH - Comprimento de módulo inválido


9

Estou tentando conectar-se de um Cisco 886VA a um Juniper EX2200 via SSH. A conexão falha com as seguintes mensagens no Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Existe alguma maneira de fazer isso funcionar alterando algum parâmetro no dispositivo Juniper ou Cisco?

Versão do IOS: 15.2(4)M5

Versão do JunOS: 12.3R3.4


Existem outras soluções ? O uso da configuração 4096 interrompeu uma ferramenta para efetuar login e exigirá desenvolvimento, pois isso é considerado uma configuração não padrão. Obrigado Graham
Graham

Respostas:


9

Esse é definitivamente um problema com o tamanho da chave DH.

Tente o seguinte:

cisco886va(config)#ip ssh dh min size 4096

Definir o tamanho dh min para 4096 funcionou. 2048 não foi suficiente. Obrigado!
Sebastian Wiesinger

@ Sebastian Agora, eu me pergunto de onde 2056vem? Parece um tamanho de chave estranho, mas, no entanto, o mais seguro se exigir 4096tamanhos de chave.
Ryan Foley

Não faço ideia, é uma caixa de zimbro padrão com SSH ativado.
Sebastian Wiesinger

8

O arquivo / etc / ssh / primes do Junos teve um erro de 8 por cento. Ou seja, os módulos nesse arquivo anunciados em 2048 bits tinham, na verdade, 2056 bits.

O cliente Cisco SSH é muito rigoroso nesse sentido e, portanto, se recusa a prosseguir. Como solução alternativa, exclua o arquivo / etc / ssh / primes do seu dispositivo Junos. Isso fará com que a Junos use os módulos do Group14.

obrigado


2
+1 boa informação. Você poderia adicionar o bugid junos?
5118 Mike Pennington

0

você precisa gerar uma nova chave rsa no cisco e especificar um módulo maior para a chave


Este é o parâmetro Diffie-Hellman, não o módulo da chave RSA. Criamos uma chave RSA de 2048 bits na Cisco.
Sebastian Wiesinger

Pode ser, você deve tentar gerar a chave com o tamanho do módulo 4096. Isso funcionou para mim, tenho o mesmo erro (% SSH-3-INV_MOD), mas não com zimbro. cisco.com/en/US/docs/ios-xml/ios/security/a1/...
pyatka
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.