Cisco no puede conectarse al dispositivo Juniper a través de SSH: longitud de módulo no válida

9

Estoy tratando de conectarme desde un Cisco 886VA a un Juniper EX2200 a través de SSH. La conexión falla con los siguientes mensajes en Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

¿Hay alguna manera de hacer que esto funcione cambiando algún parámetro en el dispositivo Juniper o Cisco?

Versión de iOS: 15.2(4)M5

Versión de JunOS: 12.3R3.4

cisco juniper ssh Sebastian Wiesinger
fuente
¿Hay alguna otra solución? El uso de la configuración 4096 ha roto una herramienta para iniciar sesión y requerirá desarrollo, ya que se considera una configuración no estándar. Gracias Graham
Graham

Respuestas:

9

Este es definitivamente un problema con el tamaño de su clave DH.

Prueba esto:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
fuente
Establecer el tamaño mínimo de dh en 4096 funcionó. 2048 no fue suficiente. ¡Gracias!
Sebastian Wiesinger
@Sebastian Ahora me pregunto de dónde 2056viene? Parece un tamaño de clave extraño, pero no obstante, el más seguro si requiere 4096tamaños de clave.
Ryan Foley
No tengo idea, es una caja de enebro estándar con SSH habilitado.
Sebastian Wiesinger
8

El archivo / etc / ssh / primes de Junos tenía un error de apagado por 8. Es decir, los módulos en ese archivo que se anuncian como 2048 bits, en realidad tenían 2056 bits de longitud.

El cliente SSH de Cisco es muy estricto a este respecto y, por lo tanto, se niega a continuar. Como solución, elimine el archivo / etc / ssh / primes de su dispositivo Junos. Esto hará que Junos use módulos Group14.

Gracias

Arte
fuente
2
+1 buena información, ¿podría agregar el junos bugid?
Mike Pennington
0

necesita generar una nueva clave rsa en cisco y especificar un módulo más grande para la clave

Pyatka
fuente
Este es el parámetro Diffie-Hellman, no el módulo de la clave RSA. Creamos una clave RSA de 2048 bits en Cisco.
Sebastian Wiesinger
puede ser, debería intentar generar la clave con un tamaño de módulo 4096. Esto funcionó para mí, tengo el mismo error (% SSH-3-INV_MOD), pero no con enebro. cisco.com/en/US/docs/ios-xml/ios/security/a1/…
pyatka