Cisco Juniper cihazına SSH üzerinden bağlanamıyor - Geçersiz modül uzunluğu


9

Bir Cisco 886VA'dan SSH üzerinden Juniper EX2200'e bağlanmaya çalışıyorum. Cisco'da aşağıdaki mesajlarla bağlantı başarısız oluyor:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Juniper veya Cisco cihazındaki bazı parametreleri değiştirerek bu işlemi yapmanın bir yolu var mı?

İOS Sürümü: 15.2(4)M5

JunOS Sürümü: 12.3R3.4


Başka çözüm var mı? 4096 ayarını kullanmak, oturum açmak için bir aracı bozmuştur ve standart olmayan bir ayar olarak kabul edildiğinden geliştirilmesi gerekir. Graham
Graham'a

Yanıtlar:


9

Bu kesinlikle DH anahtar boyutunuzla ilgili bir sorundur.

Bunu dene:

cisco886va(config)#ip ssh dh min size 4096

DH min boyutunu 4096 olarak ayarlamak işe yaradı. 2048 yeterli değildi. Teşekkürler!
Sebastian Wiesinger

@Sebastian Şimdi nereden 2056geldiğini merak ediyorum ? Bu tuhaf bir anahtar boyutuna benziyor, ancak 4096anahtar boyutları gerektiriyorsa en az güvenli .
Ryan Foley

Hiçbir fikrim yok, SSH etkin standart bir ardıç kutusu.
Sebastian Wiesinger

8

Junos'un / etc / ssh / primes dosyasında 8 hata vardı. Yani, 2048 bit olarak ilan edilen bu dosyadaki modüller aslında 2056 bit uzunluğundaydı.

Cisco SSH istemcisi bu konuda çok katıdır ve bu nedenle ilerlemeyi reddeder. Geçici çözüm olarak, / etc / ssh / primes dosyasını Junos cihazınızdan silin. Bu Junos'un Group14 modüllerini kullanmasına neden olur.

Teşekkürler


2
+1 iyi bilgi, Junos bugid'i ekleyebilir misiniz?
Mike Pennington

0

cisco'da yeni rsa anahtarı oluşturmanız ve anahtar için daha büyük bir modül belirtmeniz gerekir


Bu, RSA anahtarındaki modül değil, Diffie-Hellman parametresidir. Cisco'da 2048 bit RSA anahtarı oluşturduk.
Sebastian Wiesinger

belki, modül boyutu 4096 ile anahtar üretmeye çalışmalısınız. bu benim için çalıştı, aynı hata (% SSH-3-INV_MOD), ama ardıç ile değil. cisco.com/tr/TR/docs/ios-xml/ios/security/a1/…
pyatka
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.