telnet SSL/HTTPS error: SSL accept attempt failed

Burny4600 · 29 April 2019, 11:52:32

Seit kurzem habe im LOG eine Menge telnet SSL/HTTPS error: SSL accept attempt failed Meldungen bei allen telnet Verbindungen.
Ein Zugriff via WEB ist seit dem kaum mehr möglich.
Hat sich etwas an den telent Konfigurationen für SSL etwas geändert?

rudolfkoenig · 29 April 2019, 12:57:52

Ich habe die FHEM sslVersion Voreinstellung entfernt (entspricht attr global sslVersion TLSv12:!SSLv3), damit die Voreinstellung der Perl-Bibliothek greift.
Diese Voreinstellung kriegt man mit "perldoc IO::SOCKET::SSL" raus, da steht bei mir unter SSL_version: SSLv23:!SSLv2

Burny4600 · 29 April 2019, 13:39:24

Ist nur das Attribut attr global sslVersion TLSv12:!SSLv3 zu entfernen, oder auch bei den anderen Verbindungen wie Telenet usw?

ZitatDiese Voreinstellung kriegt man mit "perldoc IO::SOCKET::SSL" raus, da steht bei mir unter SSL_version: SSLv23:!SSLv2

Da kann ich dir nicht ganz folgen was du damit gemeinst hast.

Was ist mit dem Attribut HTTPS?

rudolfkoenig · 29 April 2019, 14:00:06

ZitatIst nur das Attribut attr global sslVersion TLSv12:!SSLv3 zu entfernen, oder auch bei den anderen Verbindungen wie Telenet usw?

Ich versuchs anders:
- bisher hat FHEM implizit "attr global sslVersion TLSv12:!SSLv3" gesetzt, _falls_ der Benutzer nichts gesetzt hat.
- das implizite Setzen habe ich entfernt, damit bleibt es der Perl-Bibliothek IO::SOCKET::SSL ueberlassen, das ist je nach installierte Version anders. In meinem Fall ist das SSLv23:!SSLv2, rauszukriegen duch Eingabe von "perldoc IO::SOCKET::SSL" in der Linux Kommandozeile und durchlesen der relevanten Teile.

Burny4600 · 29 April 2019, 14:09:31

Sorry, aber ich habe es noch immer nicht verstanden.
Was muss unter FHEM betreffend SSL laut dieser Änderung raus bzw. ist für SSL noch übrig zu definieren.

Wie installiere ich perdoc nach.
Das ist mit den Perl Installationen bei mir nicht dabei.

Was ist mit dem Verzeichnis certs und Inhalt unter FHEM?

CoolTux · 29 April 2019, 14:15:44

Setze einfach attr global sslVersion TLSv12:!SSLv3 dann sollte es denke ich verschwunden sein.

Burny4600 · 29 April 2019, 14:28:09

Diese Attribut ist bei mir gesetzt sowie auch die anderen Parameter für SSL.

List global

Code Auswählen

Internals:
   DEF        no definition
   FD         3
   NAME       global
   NR         1
   STATE      no definition
   TYPE       Global
   currentlogfile /media/hdd/fhem/log04/fhem-2019-04-17.log
   logfile    /media/hdd/fhem/log04/fhem-%Y-%m-%W.log
   READINGS:
     2019-04-14 14:58:57   state           ATTR AB_RSAD devStateIcon REGEN:weather_rain_heavy@cyan TROCKEN:weather_sun@yellow
Attributes:
   altitude   311
   archivedir /media/hdd/Backup/ccs-ht-rasp04/opt/fhem/restoreDir
   autoload_undefined_devices 1
   autosave   0
   backup_before_update 1
   backupdir  /media/hdd/Backup/ccs-ht-rasp04/opt/fhem/restoreDir
   configfile fhem.cfg
   dnsHostsFile /etc/hosts
   dupTimeout 0.5
   holiday2we OOE
   keyFileName /opt/fhem/FHEM/FhemUtils/uniqueID
   language   DE
   latitude   48.15124159
   logdir     /media/hdd/fhem/log04
   logfile    /media/hdd/fhem/log04/fhem-%Y-%m-%W.log
   longitude  14.00299087
   modpath    .
   motd       1
   mseclog    1
   restartDelay 2
   restoreDirs 1
   room       _System
   sendStatistics onUpdate
   sslVersion TLSv12:!SSLv3
   stacktrace 0
   statefile  /media/hdd/fhem/log04/fhem.save
   updateInBackground 1
   userattr   alarmDevice:Actor,Sensor alarmSettings cmdIcon devStateIcon devStateIcon:textField-long devStateStyle fp_SolarThermie icon sortby webCmd webCmdLabel:textField-long widgetOverride
   verbose    3
   version    fhem.pl:19259/2019-04-25

list WEB

Code Auswählen

Internals:
   CONNECTS   328
   CSRFTOKEN  csrf_330188422825908
   DEF        8083 global
   FD         6
   FUUID      5c4c0781-f33f-332f-9373-278805b0f683b777
   NAME       WEB
   NR         13
   NTFY_ORDER 50-WEB
   PORT       8083
   SSL        1
   STATE      Initialized
   TYPE       FHEMWEB
   READINGS:
     2019-04-29 00:00:04   state           Initialized
Attributes:
   HTTPS      1
   JavaScripts codemirror/fhem_codemirror.js pgm2/clock.js
   editConfig 1
   fwcompress 0
   hiddenroom AlarmRoom
   mainInputLength 80
   menuEntries Neustart,cmd=save+shutdown+restart,Update,cmd=update,Updatecheck,cmd=update+check,MyUtils_neu_laden,cmd=reload+99_myUtils.pm
   room       _System
   roomIcons  AB-Bewaesserung:sani_irrigation@cyan AB-Biotop:sani_sprinkling@cyan AB-Fitnessraum:scene_fitness AB-Garage-Ost:fts_garage AB-Garage-West:fts_garage AB-Muehlbach:time_graph@cyan AB-Pool:scene_pool@cyan AB-Sauna:scene_sauna AB-Suedgarten:scene_garden AB-Vorgarten:scene_garden AB-Wetterstation:weather_cloudy_light Alarmanlage:secur_alarm@red Alarme:message_attention@red Anwesenheit:user_available Aquarium:Icon_Fisch Beleuchtung:light_ceiling_light@yellow Belueftungen:vent_ventilation_level_0 Brandmeldeanlage:secur_smoke_detector@orange EG:control_building_s_eg EG-Bad:control_building_s_eg EG-Keller:control_building_s_eg EG-Kueche:control_building_s_eg EG-Schlafzimmer:control_building_s_eg EG-Stiegenhaus:control_building_s_eg EG-Terrasse:scene_terrace EG-Vorraum:control_building_s_eg EG-WC:control_building_s_eg EG-Wirtschaftsraum:control_building_s_eg EG-Wohnzimmer:control_building_s_eg Energiemanagement:measure_power_meter Heizung:icoHEIZUNG Kalender:time_calendar Keller:control_building_s_kg Kuehlung:temp_frost@cyan Multimedia:scene_cinema Notbeleuchtung:light_mirror Notruf.System:message_attention@red OG1:control_building_s_og OG1-Bad:control_building_s_og OG1-Balkon:awning OG1-Kinderzimmer:control_building_s_og OG1-Kueche:control_building_s_og OG1-Schlafzimmer:control_building_s_og OG1-Stiegenhaus:control_building_s_og OG1-Vorraum:control_building_s_og OG1-WC:control_building_s_og OG1-Wohnzimmer:control_building_s_og OG2:control_building_s_dg OG2-Buero1:control_building_s_dg OG2-Buero2:control_building_s_dg OG2-Dachboden:control_building_s_dg OG2-EDV-Raum:control_building_s_dg OG2-Kuehlung:control_building_s_dg PV-Anlagen:measure_photovoltaic_inst Rolllaeden:fts_shutter_updown SolarThermie:sani_solar Stiegenhaus:control_building_s_all Technik:hue_room_garage Trend:time_graph Verbrauch-Gas:measure_power_meter Verbrauch-Strom:measure_power Verbrauch-Wasser:measure_power_meter Zutrittssystem:fts_door_open _Energiemessungen:measure_power_meter _Sensor-Batteriezustaende:measure_battery_100 _Sensor-Geraetestoerung:message_attention@red _Signalstaerke-Geraete:it_wireless_dcf77 _USV:measure_battery_100
   sslVersion TLSv12:!SSLv3
   stylesheetPrefix dark
   userattr   { addToAttrList("alarmDevice:Actor,Sensor") } { addToAttrList("alarmSettings") }

list telnet

Code Auswählen

Internals:
   CFGFN      /media/hdd/fhem/mycfg/FHEM2FHEM/f2f_rasp04.cfg
   CONNECTS   22
   DEF        7184 global
   FD         12
   FUUID      5c4c0782-f33f-8a9d-3fa7-c8d92d14bcd793db
   NAME       F2F_184
   NR         249
   PORT       7184
   SSL        1
   STATE      Initialized
   TYPE       telnet
   READINGS:
     2019-04-29 00:00:07   state           Initialized
Attributes:
   SSL        1
   alias      ccs-ht-rasp01
   room       _System
   sslVersion TLSv12:!SSLv3

Trotzdem bekomme ich eine Menge dieser LOG Einträge die es vorher nicht gab.

CoolTux · 29 April 2019, 14:30:35

Dann anders rum, nimm es weg und lass die perl ssl entscheiden

Zitat
Perl-Bibliothek IO::SOCKET::SSL ueberlassen, das ist je nach installierte Version anders

Burny4600 · 29 April 2019, 15:22:42

Ich habe jetzt unter FHEM sämtliche Attribute mit sslVersion TLSv12:!SSLv3 entfernt, aber weiterhin das Attribut SSL 1 belassen.
Nach einem Neustart des PIs sieht es im LOG von FHEM nicht anders.

Das LOG wird mit diesen Einträgen

Code Auswählen

2019.04.29 15:05:38.279 1: telnet SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.17.187)
2019.04.29 15:05:46.563 1: telnet SSL/HTTPS error: Broken pipe SSL accept attempt failed (peer: 192.168.17.1)
2019.04.29 15:05:46.596 1: FHEMWEB SSL/HTTPS error: Broken pipe SSL accept attempt failed (peer: 192.168.17.46)
2019.04.29 15:05:47.113 1: telnet SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.17.182)
2019.04.29 15:05:55.355 1: telnet SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.17.185)
2019.04.29 15:06:03.645 1: telnet SSL/HTTPS error:  SSL accept attempt failed (peer: 192.168.17.189)

rudolfkoenig · 29 April 2019, 15:41:42

Ist es Abscht, dass drei unterschiedliche Rechner versuchen per telnet/SSL auf FHEM zuzugreifen?Wenn nicht, dann ist die Ursache nicht in der sslVersion in FHEM zu suchen.

Burny4600 · 29 April 2019, 16:52:54

Grundsätzlich habe ich für jeden einzelnen Raspberry mit einer eigenen telnet Verbindung eingerichtet, weil ich es für besser hielt wenn verschiedene Logindaten genutz werden.
Ich hatte damit auch lange Zeit kein Problem.
Sollte für unterschiedliche Geräte die gleiche telnet Verbindung mit dem gleichem Port unter FHEM verwendet werden?

Ergänzung: 2019.04.29 17:44
Ich habe jetzt alles auf nur eine telnet Verbindung mit dem 7072 reduziert.
Test mit einem aktivem sslVersion TLSv12:!SSLv3 Eintrag in den Verbindung telnet und WEB. => Die Meldungen im Log sind die gleichen.
Test ohne sslVersion TLSv12:!SSLv3 in den FHEM Verbindungen. => Wiederum die gleichen Meldungen im Log.
Nach jeder Änderung habe ich zur Sicherheit alle Raspberrys neu gestartet.

Ich vermute etwas ganz anderes was vielleicht zu den telnet Problem führt.
Die Zertifikate wurden mit einem DNS Namen angelegt und nicht mit einer IP Adresse.

Code Auswählen

Interner Name ccs-ht-rasp02
commonName ccs-ht-rasp02
emailAdresse ccs-ht-rasp02.ccs-media.local

Die telnet Verbindung (FHEM2FHEM) arbeitet aber mit einer IP Adresse und kann vermutlich damit nicht mehr umgehen.
Seit ca. 2 Jahren läuft aber FHEM auf den 10 Raspberrys mit diesen Zertifikaten und den FHEM2FHEM Verbindungen mit unterschiedlichen Ports.
Nur warum erst jetzt Problem auftauchen wiederspricht der Annahme.

rudolfkoenig · 29 April 2019, 20:04:56

ZitatSollte für unterschiedliche Geräte die gleiche telnet Verbindung mit dem gleichem Port unter FHEM verwendet werden?

Das kann jeder fuer sich entscheiden, noetig sind unterschiedliche telnet Definitionen nur dann, wenn man unterschiedliche Passwoerter vergeben will.

ZitatDie Zertifikate wurden mit einem DNS Namen angelegt und nicht mit einer IP Adresse.

Das ist richtig, allerdings kann Hostname gegen Zetifikat nur auf der Client-Seite verglichen werden, dh. das Problem kann auch nur da gemeldet werden.
Weiterhin fuehrt FHEM (falls es die Rolle des Clients hat) solche Vergleiche nicht durch.

Burny4600 · 30 April 2019, 18:17:37

Das mit den unterschiedlichen telnet Ports hatte ich ursprünglich schon vorbereitet damit unterschiedliche Userzugriffe möglich sind.
Jedenfalls hat es nicht wirklich etwas gebracht die FHEM2FHEM Verbindungen wieder einheitlich auf den standart Port 7072 zu definieren.
Garade der Raspberry der die meisten FHEM2FHEM Verbindungen hat, hat auch die meisten Probleme mit diesen Fehlermeldungen.
Eine andere Lösung habe ich nocht nicht gefunden wie ich von den anderen Raspberrys die Daten bekomme bzw. die anderen Raspberrys die benötigten Daten bekommen.
Es ist jedenfalls sichergestellt das keine Schleifenverbindungen zwischen den FHEM2FHEM Verbindungen bestehen.

Eines was ich bei FHEM festgestellt habe, ist das alles auf der LAN Schnittstelle mitgelauscht werden kann.
Eine Überlegung wäre vielleicht ein Modul das den Datenverkehr schon beschränk bevor die FHEM Daten im LAN abhörbar sind, und so die Zugriffe regelt.
Vielleicht würde dann die SSL Verbindung unter FHEM nicht so belastet sein und keine Fehler hervorrufen.
Ich weiß dies sehr viel Arbeit mit sich bringen würde. Es ist nur so ein Gedankengang von mir.