思科无法通过SSH连接到Juniper设备-无效的模数长度

9

我正在尝试通过SSH从Cisco 886VA连接到Juniper EX2200。连接失败，并且在Cisco上显示以下消息：

*Jan 17 09:51:20.823: SSH2 CLIENT 0: Server has chosen 2056 -bit dh keys
*Jan 17 09:51:20.823: %SSH-3-INV_MOD: Invalid modulus length

有什么方法可以通过更改Juniper或Cisco设备上的某些参数来使其工作？

iOS版本： 15.2(4)M5

JunOS版本： 12.3R3.4

cisco juniper ssh

— 塞巴斯蒂安·维辛格
source

还有其他解决方案吗？使用4096设置破坏了登录工具，并且需要进行开发，因为这被视为非标准设置。谢谢格雷厄姆

— 格雷厄姆

9

这绝对是您的DH密钥大小的问题。

尝试这个：

cisco886va(config)#ip ssh dh min size 4096

— 瑞安·弗利（Ryan Foley）
source

将dh min大小设置为4096即可工作。2048还不够。谢谢！

— 塞巴斯蒂安·维辛格

@Sebastian现在我想知道2056从哪里来？这似乎是一个奇怪的密钥大小，但是，即使它需要4096密钥大小，也是最安全的。

— Ryan Foley 2014年

不知道，这是启用了SSH的标准杜松盒。

— 塞巴斯蒂安·维辛格

8

Junos的/ etc / ssh / primes文件有一个off by 8 bug。也就是说，该文件中的模数被广告为2048位，实际上是2056位长。

Cisco SSH客户端在这方面非常严格，因此拒绝继续。解决方法是，从Junos设备中删除/ etc / ssh / primes文件。这将导致Junos使用Group14模数。

谢谢

— 艺术
source

2

+1好信息，您可以添加Junos Bugid吗？

— Mike Pennington 2014年

0

您需要在cisco上生成新的rsa密钥并为该密钥指定更大的模数

— 皮卡
source

这是Diffie-Hellman参数，而不是RSA密钥的模数。我们确实在思科上创建了2048位RSA密钥。

— 塞巴斯蒂安·维辛格

可能是，您应该尝试生成模数大小为4096的密钥。这对我有用，我有同样的错误（％SSH-3-INV_MOD），但杜松子不行。cisco.com/en/US/docs/ios-xml/ios/security/a1/...

— pyatka