Cisco SSH-key-exchange fehlschlägt, von Ubuntu 14.04 (Client-DH-key range mismatch)

Aus irgendeinem Grund, ich SSH nicht auf einen Cisco CSR1000v router von Ubuntu 14.04 Maschine.

Unserem Cisco firmware ist;

Cisco IOS XE Software, Version 03.12.00.S - Standard Support Release
Cisco IOS Software, CSR1000V Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(2)S, RELEASE SOFTWARE (fc2)

Server-Fehler angezeigt wird, ist;

%SSH-3-DH_RANGE_FAIL: Client DH key range mismatch with maximum configured DH key on server

Client-Fehler angezeigt wird, ist;

$ ssh -v [email protected]
OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to 172.16.3.253 [172.16.3.253] port 22.
debug1: Connection established.
debug1: identity file /home/admin/.ssh/id_rsa type 1
debug1: identity file /home/admin/.ssh/id_rsa-cert type -1
debug1: identity file /home/admin/.ssh/id_dsa type -1
debug1: identity file /home/admin/.ssh/id_dsa-cert type -1
debug1: identity file /home/admin/.ssh/id_ecdsa type -1
debug1: identity file /home/admin/.ssh/id_ecdsa-cert type -1
debug1: identity file /home/admin/.ssh/id_ed25519 type -1
debug1: identity file /home/admin/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.6.1p1 Ubuntu-2ubuntu2
debug1: Remote protocol version 2.0, remote software version Cisco-1.25
debug1: no match: Cisco-1.25
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: server->client aes128-ctr hmac-sha1 none
debug1: kex: client->server aes128-ctr hmac-sha1 none
debug1: SSH2_MSG_KEX_DH_GEX_REQUEST(1024<7680<8192) sent
debug1: expecting SSH2_MSG_KEX_DH_GEX_GROUP
Connection closed by 172.16.3.253

Deine Frage ist offtopic hier, aber es wäre ontopic auf unix.stackexchange.com .
Dieses Thema ist fast ein Jahr alt, und scheint ein bisschen pedantisch zu sein, wochenlang durch die Archive.....
sleepycal, ich Stimme zu - aber es könnte als ein Wegweiser für die Google-Mitarbeiter der Zukunft. Mein Herz blutet, wenn ich vote for close, in Fällen ähnlich, dass ich einfach tun müssen, alle möglichen Ausgleich für die op.

InformationsquelleAutor sleepycal | 2014-08-16

9

Fand einen workaround, der trick ist, verwenden Sie eine andere KEX algo als solcher;
```
$ ssh -v [email protected] -o KexAlgorithms=diffie-hellman-group14-sha1
```
Gibt es einen bestätigten bug-report bei Cisco unter (siehe CSCuo76464), und
diskutiert wurde hier.

Gibt es auch einen bug-report für die openssh-client.

Vielen Dank jlgaddis herauszufinden.

InformationsquelleAutor sleepycal
2

Oder aktualisieren des cisco ios. Ich hatte dieses Problem und ios-upgrade funktioniert der trick

Den bug eingereicht gegen die Cisco ssh-client ist CSCuo76464

https://tools.cisco.com/bugsearch/bug/CSCuo76464

InformationsquelleAutor Rocknrolleddie
1

(config)#ip ssh-dh min Größe 4096

Vielleicht ein oder zwei Sätze der Erklärung könnte in Ordnung sein.
The newer clients request keys longer than that (7680), and configuring the length of e.g. 4096 on the router will result in an inability to connect at all - neither with the default SSH configuration, nor with the weaker ciphers von der CSCuo76464 melden. Ich glaube nicht, dass dies solch eine heiße Idee.

InformationsquelleAutor gibo

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.