シスコがSSH経由でジュニパーデバイスに接続できない-無効なモジュラス長

9

SSH経由でCisco 886VAからJuniper EX2200に接続しようとしています。Ciscoで次のメッセージが表示されて接続が失敗します。

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

JuniperまたはCiscoデバイスのいずれかのパラメーターを変更してこれを機能させる方法はありますか?

iOSバージョン: 15.2(4)M5

JunOSバージョン: 12.3R3.4

cisco  juniper  ssh 
セバスチャン・ヴィーシンガー
ソース
他の解決策はありますか?4096設定を使用すると、ログインするためのツールが壊れ、これは非標準設定と見なされるため、開発が必要になります。グラハムありがとう
グラハム

回答:

9

これは、DHキーサイズの問題です。

これを試して:

cisco886va(config)#ip ssh dh min size 4096
ライアン・フォーリー
ソース
dh min sizeを4096に設定するとうまくいきました。2048年では十分ではありませんでした。ありがとう!
Sebastian Wiesinger 2014年
@セバスチャン今どこ2056から来たのかな?これは奇妙なキーサイズのようですが、それでも、キーサイズが必要な場合は最も安全です4096
Ryan Foley
わかりません。SSHが有効になっている標準のジュニパーボックスです。
Sebastian Wiesinger 2014年
8

Junosの/ etc / ssh / primesファイルには、8オフのバグがありました。つまり、2048ビットであるとアドバタイズされたそのファイルのモジュライは、実際には2056ビット長でした。

Cisco SSHクライアントはこの点で非常に厳格であるため、続行を拒否します。回避策として、Junosデバイスから/ etc / ssh / primesファイルを削除します。これにより、JunosはGroup14モジュライを使用します。

ありがとう

アート
ソース
2
+1良い情報、junosバグIDを追加できますか?
マイクペニントン2014
0

シスコで新しいRSAキーを生成し、キーにより大きい係数を指定する必要があります

ピャトカ
ソース
これはDiffie-Hellmanパラメータであり、RSAキーからの係数ではありません。シスコでは2048ビットのRSAキーを作成しました。
Sebastian Wiesinger 2014年
場合によっては、係数サイズ4096のキーを生成する必要があります。これは私にとってはうまくいきますが、ジュニパーでは同じエラー(%SSH-3-INV_MOD)は発生しません。cisco.com/en/US/docs/ios-xml/ios/security/a1/...
pyatka
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.