Alte Cisco Geräte und SSH Warnung „no matching key exchange method found“ und „no matching cipher found“

von

Auf älteren Cisco Geräten trifft man oft noch auf SSH mit dem Schlüsselaustauschverfahren „diffie-hellman-group1-sha1“ und Chiffren wie „aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc“, dies führt auf aktuellen Linux Distributionen zu folgenden Fehlermeldungen

no matching key exchange method found

ssh 10.1.2.3
Unable to negotiate with 10.1.2.3 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

no matching cipher found

$ ssh 10.1.2.3
Unable to negotiate with 10.1.2.3 port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc

Um temporär auf das Gerät zu kommen können Parameter beim aufruf von SSH mitgegeben werden:

$ ssh -c aes256-cbc -oKexAlgorithms=+diffie-hellman-group1-sha1 admin@10.1.2.3

Alternativ kann das auch in die SSH config im Userverzeichnis eingetragen werden z.B. so:

~/.ssh/config

Host 10.1.2.3
    KexAlgorithms +diffie-hellman-group1-sha1
    Ciphers +aes256-cbc

Generell empfehlenswert ist es aber auf den Geräten ebenfalls die alten Verfahren zu deaktivieren und auf neuere zu setzen, sie sind nicht ohne Grund per Default deaktiviert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.