Cisco Juniper cihazına SSH üzerinden bağlanamıyor - Geçersiz modül uzunluğu

9

Bir Cisco 886VA'dan SSH üzerinden Juniper EX2200'e bağlanmaya çalışıyorum. Cisco'da aşağıdaki mesajlarla bağlantı başarısız oluyor:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Juniper veya Cisco cihazındaki bazı parametreleri değiştirerek bu işlemi yapmanın bir yolu var mı?

İOS Sürümü: 15.2(4)M5

JunOS Sürümü: 12.3R3.4

cisco  juniper  ssh 
Sebastian Wiesinger
kaynak
Başka çözüm var mı? 4096 ayarını kullanmak, oturum açmak için bir aracı bozmuştur ve standart olmayan bir ayar olarak kabul edildiğinden geliştirilmesi gerekir. Graham
Graham'a

Yanıtlar:

9

Bu kesinlikle DH anahtar boyutunuzla ilgili bir sorundur.

Bunu dene:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
kaynak
DH min boyutunu 4096 olarak ayarlamak işe yaradı. 2048 yeterli değildi. Teşekkürler!
Sebastian Wiesinger
@Sebastian Şimdi nereden 2056geldiğini merak ediyorum ? Bu tuhaf bir anahtar boyutuna benziyor, ancak 4096anahtar boyutları gerektiriyorsa en az güvenli .
Ryan Foley
Hiçbir fikrim yok, SSH etkin standart bir ardıç kutusu.
Sebastian Wiesinger
8

Junos'un / etc / ssh / primes dosyasında 8 hata vardı. Yani, 2048 bit olarak ilan edilen bu dosyadaki modüller aslında 2056 bit uzunluğundaydı.

Cisco SSH istemcisi bu konuda çok katıdır ve bu nedenle ilerlemeyi reddeder. Geçici çözüm olarak, / etc / ssh / primes dosyasını Junos cihazınızdan silin. Bu Junos'un Group14 modüllerini kullanmasına neden olur.

Teşekkürler

Sanat
kaynak
2
+1 iyi bilgi, Junos bugid'i ekleyebilir misiniz?
Mike Pennington
0

cisco'da yeni rsa anahtarı oluşturmanız ve anahtar için daha büyük bir modül belirtmeniz gerekir

pyatka
kaynak
Bu, RSA anahtarındaki modül değil, Diffie-Hellman parametresidir. Cisco'da 2048 bit RSA anahtarı oluşturduk.
Sebastian Wiesinger
belki, modül boyutu 4096 ile anahtar üretmeye çalışmalısınız. bu benim için çalıştı, aynı hata (% SSH-3-INV_MOD), ama ardıç ile değil. cisco.com/tr/TR/docs/ios-xml/ios/security/a1/…
pyatka
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.