Cisco ne peut pas se connecter au périphérique Juniper via SSH - Longueur de module non valide

9

J'essaie de me connecter d'un Cisco 886VA à un Juniper EX2200 via SSH. La connexion échoue avec les messages suivants sur Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Existe-t-il un moyen de faire en sorte que cela fonctionne en modifiant certains paramètres sur le périphérique Juniper ou Cisco?

Version IOS: 15.2(4)M5

Version JunOS: 12.3R3.4

cisco juniper ssh Sebastian Wiesinger
la source
Y a-t-il d'autres solutions ? L'utilisation du paramètre 4096 a cassé un outil pour se connecter et nécessitera un développement car cela est considéré comme un paramètre non standard. Merci Graham
Graham

Réponses:

9

C'est certainement un problème avec la taille de votre clé DH.

Essaye ça:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
la source
La définition de la taille dh min sur 4096 a fonctionné. 2048 n'était pas suffisant. Merci!
Sebastian Wiesinger
@Sebastian Maintenant, je me demande d'où 2056vient? Cela semble être une taille de clé étrange, mais néanmoins, la plus sécurisée si elle nécessite 4096des tailles de clé.
Ryan Foley
Aucune idée, c'est une boîte de genévrier standard avec SSH activé.
Sebastian Wiesinger
8

Le fichier / etc / ssh / primes de Junos contenait un bug de désactivation par 8. C'est-à-dire que les modules de ce fichier annoncé à 2048bits avaient en fait 2056 bits de long.

Le client Cisco SSH est très strict à cet égard et refuse donc de continuer. Pour contourner le problème, supprimez le fichier / etc / ssh / primes de votre appareil Junos. Cela obligera Junos à utiliser les modules Group14.

Merci

Art
la source
2
+1 bonne info, pourriez-vous ajouter le bug junos?
Mike Pennington
0

vous devez générer une nouvelle clé rsa sur cisco et spécifier un module plus grand pour la clé

pyatka
la source
Il s'agit du paramètre Diffie-Hellman, pas du module de la clé RSA. Nous avons créé une clé RSA 2048 bits sur Cisco.
Sebastian Wiesinger
peut-être, vous devriez essayer de générer une clé avec un module de taille 4096. cela fonctionne pour moi, j'ai la même erreur (% SSH-3-INV_MOD), mais pas avec le genévrier. cisco.com/en/US/docs/ios-xml/ios/security/a1/…
pyatka