HTTPS und SSL Konfiguration lassen Schnittstellen sporadisch ausfallen

Begonnen von Burny4600, 27 Juni 2017, 16:27:59

Vorheriges Thema - Nächstes Thema

Burny4600

Ich habe FHEM auf HTTPS und SSL umgestellt.

Jetzt habe ich das Problem das die FHEM2FHEM Schnittstellen sich zu spät bei einem Neustart von FHEM anmelden und einen LOG Eintrag produzieren bevor die Schnittstelle Online ist.
2017.06.27 16:13:45 0: Featurelevel: 5.8
2017.06.27 16:13:45 0: Server started with 196 defined entities (fhem.pl:14348/2017-05-22 perl:5.020002 os:linux user:fhem pid:18911)
2017.06.27 16:13:46 3: Can't connect to 192.168.17.181:7072:
2017.06.27 16:13:46 3: FHEM2FHEM device opened (F2F_Rasp01_2)

Gelegentlich kommt es mit der HTTPS und SSL Konfiguration das sich Schnittstellen kurz abmelden und wieder Online gehen.
Ohne HTTPS und SSL Konfiguration passiert das nicht.
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

rudolfkoenig

ZitatJetzt habe ich das Problem das die FHEM2FHEM Schnittstellen sich zu spät bei einem Neustart von FHEM anmelden und einen LOG Eintrag produzieren bevor die Schnittstelle Online ist.
Das habe ich jetzt mehrfach durchgelesen, aber leider immer noch nicht verstanden.

ZitatGelegentlich kommt es mit der HTTPS und SSL Konfiguration das sich Schnittstellen kurz abmelden und wieder Online gehen.
Ohne HTTPS und SSL Konfiguration passiert das nicht.
Das ist leider schwer zu debuggen (bzw ich kenne keine einfache Methode), und die Ursache liegt ziemlich sicher in tieferen Schichten. Ich gehe davon aus, dass mit HTTPS mehr Daten uebertragen werden, und deswegen das Problem eher auffaellt.

Burny4600

Ist doch ganz einfach.
Beim Neustart von FHEM dauert es länger bis die Initialisierung der Schnittstellte abgeschlossen ist.
FHEM erwartet den Abschluss der Initialisierung aber schon früher als die Schnittstelle selbst mit der SSL Verbindung fertig ist.
Darum dieser LOG Eintrag.
2017.06.27 16:13:46 3: Can't connect to 192.168.17.181:7072:
2017.06.27 16:13:46 3: FHEM2FHEM device opened (F2F_Rasp01_2)

Kurze Zeit später besteht die Verbindung und funktioniert.
Das ist bei allen Pi's die eine FHEM2FHEM Verbindung per SSL aufbauen identisch.
Sporadisch brechen zudem die FHEM2FHEM Verbindung mit SSL gelegentlich kurz ab was FHEM wiederum mit einer Fehlermeldung im festhält.
Wie schon erwähnt gibt es ohne SSL keine Verbindungsprobleme.
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

rudolfkoenig

ZitatIst doch ganz einfach.
Scheinbar nicht. FHEM2FHEM prueft nach einem Verbindungsabbruch einmal die Minute, ob eine erneute Verbindung moeglich ist. Wieso hier die 1-2 Sekunden Unterschied, zwischen Port-Oeffnen, und SSL Attribut setzen ein Problem ist, ist mir unklar.

ZitatWie schon erwähnt gibt es ohne SSL keine Verbindungsprobleme.
Das habe ich gelesen, und auch 'ne Antwort geschrieben.

Burny4600

Ich bin momentan am Überlegen ob ich die SSL Verbindungen wieder heraus nehme und eventuell eine andere Möglichkeit zum Absichern nutze.
Nur da müsste ich einige Netzwerkkomponenten gegen VLAN taugliche austauschen was ich mir aber gerne sparen möchte.
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

CoolTux

Du könntest auf dem FHEM Server, sofern Linux, eine iptable Firewall Konfiguration starten. Alles wird blockiert nur was benötigt wird wird eingeschränkt durch gelassen. Mache ich auch so. Zum FHEM Server kommen nur zugelassene Verbindungen gefiltert nach Port Source IP und Source MAC und so weiter.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Burny4600

Gibt es für diese iptable Firewall Konfiguration eine Anleitung?
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

CoolTux

Zitat von: Burny4600 am 28 Juni 2017, 20:01:59
Gibt es für diese iptable Firewall Konfiguration eine Anleitung?

Jepp. Haufenweise im Internet. Einfach mal nach iptables Script bash googeln.
Und natürlich die manpage. man iptables
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Burny4600

Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT

CoolTux

Wenn Du ein Grund- konzept/Skript hast können wir beide es uns gerne anschauen wenn Du Fragen hast. Schreib mich einfach an.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

CoolTux

Hier und hier ist ein relativ guter Einstieg zu finden.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

Burny4600

Danke für die Tipps.
Ich werde mir nach dem Urlaub Zeit nehmen,
Im Bedarfsfall melde ich mich bei dir.
Mfg Chris

Raspberry Pi 2/2+/3/3+/4 / Betriebssystem: Bullseye Lite
Schnittstellen: RFXtrx433E, SIGNALduino, MQTT, nanoCUL, HM-MOD-UART, 1-Wire, LAN, ser2net, FHEM2FEHEM
Devices: S.USV, APC-USV, Fronius Datalogger Web 2, FS20, IT, Resol VBUS & DL2, TEK603, WMR200, YouLess, Homematic, MQTT