Cisco tidak dapat terhubung ke perangkat Juniper melalui SSH - Panjang modulus tidak valid

9

Saya mencoba untuk terhubung dari Cisco 886VA ke Juniper EX2200 melalui SSH. Koneksi gagal dengan pesan-pesan berikut di Cisco:

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

Apakah ada cara untuk membuat ini berfungsi dengan mengubah beberapa parameter pada perangkat Juniper atau Cisco?

Versi IOS: 15.2(4)M5

Versi JunOS: 12.3R3.4

Sebastian Wiesinger
sumber
Apakah ada solusi lain? Menggunakan pengaturan 4096 telah merusak alat untuk masuk dan akan membutuhkan pengembangan karena ini dianggap sebagai pengaturan non standar. Terima kasih, Graham
Graham

Jawaban:

9

Ini jelas merupakan masalah dengan ukuran kunci DH Anda.

Coba ini:

cisco886va(config)#ip ssh dh min size 4096
Ryan Foley
sumber
Pengaturan ukuran min dh ke 4096 bekerja. 2048 tidak cukup. Terima kasih!
Sebastian Wiesinger
@Sebastian Sekarang saya bertanya-tanya dari mana 2056datangnya? Itu tampak seperti ukuran kunci yang aneh, tetapi tidak kurang, paling aman jika membutuhkan 4096ukuran kunci.
Ryan Foley
Tidak tahu, itu adalah kotak juniper standar dengan SSH diaktifkan.
Sebastian Wiesinger
8

File / etc / ssh / primes Junos mengalami bug 8 bug. Artinya, moduli dalam file yang diiklankan menjadi 2048bits, sebenarnya panjang 2056 bit.

Klien SSH Cisco sangat ketat dalam hal ini, dan karenanya menolak untuk melanjutkan. Sebagai solusi, hapus / etc / ssh / primes file dari perangkat Junos Anda. Ini akan menyebabkan Junos menggunakan modul14 Group14.

Terima kasih

Seni
sumber
2
+1 info bagus, Bisakah Anda menambahkan junos bugid?
Mike Pennington
0

Anda perlu membuat kunci rsa baru pada cisco dan menentukan modulus yang lebih besar untuk kunci tersebut

pyatka
sumber
Ini adalah parameter Diffie-Hellman, bukan modulus dari kunci RSA. Kami memang membuat kunci RSA 2048 bit di Cisco.
Sebastian Wiesinger
mungkin, Anda harus mencoba menghasilkan kunci dengan ukuran modulus 4096. ini berfungsi untuk saya, saya memiliki kesalahan yang sama (% SSH-3-INV_MOD), tetapi tidak dengan juniper. cisco.com/en/US/docs/ios-xml/ios/security/a1/…
pyatka