FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

Begonnen von ChrisW, 27 November 2016, 10:04:58

Vorheriges Thema - Nächstes Thema

ChrisW

hallo,
ich habe das schön öfters gehabt aber nun verstärkt .. Wenn ich FHEM normal auf habe + Fhem frontend + 2x andfhem vom Handy gibt es immer wieder diese Probleme:
FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems

Im Log tauchen einige dieser einträge auf.
Meist reagiert FHEM dann gar nicht mehr seiten laden ewig und auf einmal geht wieder alles nach 1-2 Minuten.

Jemand eine Idee ?
Raspberry PI3 mit allem möglichen.

dev0

Ist Dein FHEM in dieser Zeit vielleicht ganz blockiert? Zugriff über telnet auf FHEM in diesen Momenten noch möglich?
Apptime und/oder Perfmon könnten helfen.

rudolfkoenig

Du verwendest wohl eine Perl Version < 5.20, in 5.20 ist die Fehlermeldung auf die verstaendlichere Variante "connect attempt" korrigiert. Die eigentliche Ursache kann ich nicht nennen, Net::SSLeay::accept hat 0 zurueckgeliefert, was auch immer das heisst. Soweit ich sehe (bzw. diese Diskussion lese) , ist die SSL-Initialisierung in FHEM/TcpServerUtils.pm nonblocking, evtl. nicht perfekt.
Man muesste da herumexperimentieren, um die Ursache zu finden, konkrete Vorschlaege habe ich aber keine.

Lars_

Moin zusammen,
nach einem Spannungsbedingten (zusätzlicher jeelink ...) Problem mit dem Filesystem vom raspi und der folgenden Neuinstallation ist das bei mir auch zu beobachten.
Zusätzlich kommt noch die Meldung :
FHEMWEB SSL/HTTPS error:  SSL accept attempt failed with unknown error error:1407609C:SSL routines:SSL23_GET_CLIENT_HELLO:http request

Der SSL-Zugriff klappt, ich komme remote über ssl auf meinen raspi...

Ist das ggf. Abhängig von dem Perl-Modul das man installiert?
Wenn ich mich richtig erinnere, bin ich bei der Installation gefragt worden, ob ich Module für ssl V2, V3 oder beides installieren möchte (ich habe "both" gewählt.

In Verbindung mit der folgenden Meldung würde das evtl. für ein Problem mit den eigenen Zertifikaten in Verbindung mit ssl-v3 sprechen :
FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

Gruß
Lars
Fhem auf rpi 3   fhem auf rpi b+
1 x CULHM/jeelink v3c   1 x CULHM
7 x HM-CC-RT-DN   3 x HM-CC-RT-DN
5 x HM-Sec-RHS

rudolfkoenig

@Lars_: Ich vermute, dass dein Problem was Anderes ist: Wenn man im Internet nach deiner Fehlermeldung sucht, kommt als Erstes dieses Thema: https://forum.fhem.de/index.php/topic,56089 wo per SSLversion Attribut auch eine Loesung presentiert wird.

cerberus

Hallo, ich komme hier auch nicht weiter.

  FHEMWEB SSL/HTTPS error: SSL connect accept failed because of handshake problems error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

Ich habe das attr sslVersion z.b.     auf SSLv23:!SSLv3:!SSLv2 gesetzt, aber das hat nichts gebracht.

Hat jemand einen Tipp?

Gruß
Cerberus
Banana PI mit Bananian + Fhem 5.5, 2x SCC SlowRF/Homematic + RS485 LAN Gateway HMW-LGW-O-DR-GS-EU + RPI2 I2C to 1-Wire Host Adapter for Raspberry Pi

SnakeZZ

Hallo Zusammen,

ich habe ebenfalls das problem, dass mein logfile von
FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
Meldungen geflutet wird.
Jedes Mal, wenn ich einen Raum in der Liste anklicke passiert das. Sowohl von Firefox 50.0.2 wie auch von iOS Safari (neueste Version).

Ich habe inzwischen das Attribut sslVersion auf
!TLSv1:!TLSv1_1:TLSv1_2:!SSLv23:!SSLv3:!SSLv2
gesetzt. Das hat aber leider auch keine Veränderung gebracht.

Kann man da noch was machen?

Beste Grüsse,

SnakeZZ

ChrisW

wie wechselt man den die SSL version ? Also ich hab auch immer mehr von diesen Problemen :(
aber nun noch:
2016.12.25 19:04:47 1: FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
2016.12.25 19:05:48 1: FHEMWEB SSL/HTTPS error: Die Verbindung wurde vom Kommunikationspartner zurückgesetzt SSL accept attempt failed

Das könnte vielleicht davon kommen das ich neue Zertifikate erstellt habe und die ext Geräte andfhem Handy usw. noch nicht das neue geladen haben.

Trotzdem bleibt das handshake Problem
Raspberry PI3 mit allem möglichen.

XXL-Wing

Hallo,

ich habe auch seit neuestem ähnliche Probleme mit dem Seiteneffekt dass FHEM dann eine Zeit lang keinerlei HTTP(S) traffic schafft.
Es erholt sich wieder aber mit unterschiedlicher Dauer....
Logauszug (beispielhaft)


2016.12.28 21:51:58 1: PERL WARNING: Loading device description failed with error: 500 Can't connect to 169.254.47.187:52235 at ./FHEM/98_DLNARenderer.pm line 234.
2016.12.28 21:54:07 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 21:54:07 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 21:54:08 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 21:56:18 2: HUEbridge: http request failed: read from http://192.168.0.8:80 timed out
2016.12.28 21:56:18 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 21:56:18 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 21:58:25 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 21:58:25 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 21:58:25 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 21:58:26 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 22:00:36 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems
2016.12.28 22:00:36 2: HUEbridge: http request failed: http://192.168.0.8/api/gNfQdcQ8ZUg9ltSq0eKBE/lights/2/state: empty answer received
2016.12.28 22:02:43 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: read from http://192.168.0.8:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 22:02:43 2: HUEbridge: http request failed: write to http://192.168.0.8:80 timed out
2016.12.28 22:04:52 1: FHEMWEB SSL/HTTPS error:  SSL connect accept failed because of handshake problems


Was kann man da tun?
Aktuell ist meine FHEM Installation durch diese immer wieder auftretenden Probleme fast unbenutzbar :(

thx
Mike

dev0

Zitat von: XXL-Wing am 28 Dezember 2016, 22:06:26
2016.12.28 21:54:07 3: [Umgebungslicht] got no weather info from yahoo. Error code: connect to http://query.yahooapis.com:80 timed out
2016.12.28 21:56:18 2: HUEbridge: http request failed: read from http://192.168.0.8:80 timed out

Kann es nicht sein, dass das durch interne Netzwerkprobleme bei Dir verursacht wird? Sieht für mich zumindest auf den ersten Blick so aus.

rudolfkoenig

@XXL-Wing: In deinem Log sind zwei unabhaengige Probleme zu sehen:
- Problem bei ausgehenden Verbindungen wie in DLNARenderer/HueBridge/yahoo, was nicht mit SSL zusammenhaengt
- Problem beim eingehenden Verbindungen, die per FHEMWEB gemeldet werden.

Deswegen scheint mir die Vermutung von dev0 plausibel.

ChrisW

ja lag wohl am wechsel der Zertifikate ..
Hab nun HTTPS aus :(
Kann man irgendwie Seperat was machen das EXTERN https genutzt wird und intern Lokal die http: adresse?
Raspberry PI3 mit allem möglichen.

XXL-Wing

Hallo,

@dev0, Rudolf:
Das dachte ich zuerst auch, allerdings kann ich während die Probleme im fhem aktiv sind (manchmal über mehrere Minuten hinweg) auf die Maschine problemlos per ssh einloggen und auch per wget die von fhem gemeldeten URLs direkt erreichen.
Ausser einem switch ist nichts zwischen dem fhem server und der hue Bridge.

LG Mike

XXL-Wing

Hallo,

so nach einer längeren Nacht und einigen Ausschluss-Tests konnte ich das Thema eingrenzen. Es lag am DLNArenderer Modul. Seit ich die Geräte und das Device selbst gelöscht habe sind die Probleme weg. Läuft alles wieder wie geschmiert.

Zusatzinfo: in der Zeit wo die HTTP Probleme auftraten, ging auch sonst gar nix im fhem. Homematic Meldungen (z.B. ausgelöster Bewegungsmelder) wurden scheinbar nicht verarbeitet, wurden aber nachdem jeweils der Hänger weg war "nachgereicht", d.h. auch die dadurch ausgelösten Schaltungen (z.B: Licht) kamen nachdem der jeweilige Hänger vorbei war.

Falls ich noch was analysieren/liefern soll in dem Zusammenhang bitte melden. Ich bin zwar Informatiker und mit Linux sehr vertraut, perl hatte ich aber bisher nicht auf dem "Speiseplan".

lG
Mike

dev0

Zitat von: ChrisW am 29 Dezember 2016, 20:33:18
Kann man irgendwie Seperat was machen das EXTERN https genutzt wird und intern Lokal die http: adresse?
Entweder zwei getrennte FHEMWEB Instanzen benutzen oder für extern einen reverse proxy dazwischen klemmen, der das SSL/TLS offloading und ggf noch die Authentifizierung macht. Bei letzterem hätte ich ein besseres Bauchgefühl, da Apache und Co. wohl schon mehr auf Sicherheitslücken abgeklopft worden sind als FHEM.

Zitat von: XXL-Wing am 30 Dezember 2016, 10:37:05
Es lag am DLNArenderer Modul.
...
Falls ich noch was analysieren/liefern soll in dem Zusammenhang bitte melden.
Am Besten mit dem Autor/Maintainer des Moduls Kontakt aufnehmen, wenn Du das Problem reproduzieren kannst.