Seit kurzem habe im LOG eine Menge telnet SSL/HTTPS error: SSL accept attempt failed Meldungen bei allen telnet Verbindungen.
Ein Zugriff via WEB ist seit dem kaum mehr möglich.
Hat sich etwas an den telent Konfigurationen für SSL etwas geändert?
Ich habe die FHEM sslVersion Voreinstellung entfernt (entspricht attr global sslVersion TLSv12:!SSLv3), damit die Voreinstellung der Perl-Bibliothek greift.
Diese Voreinstellung kriegt man mit "perldoc IO::SOCKET::SSL" raus, da steht bei mir unter SSL_version: SSLv23:!SSLv2
Ist nur das Attribut
attr global sslVersion TLSv12:!SSLv3 zu entfernen, oder auch bei den anderen Verbindungen wie Telenet usw?
ZitatDiese Voreinstellung kriegt man mit "perldoc IO::SOCKET::SSL" raus, da steht bei mir unter SSL_version: SSLv23:!SSLv2
Da kann ich dir nicht ganz folgen was du damit gemeinst hast.
Was ist mit dem Attribut HTTPS?
ZitatIst nur das Attribut attr global sslVersion TLSv12:!SSLv3 zu entfernen, oder auch bei den anderen Verbindungen wie Telenet usw?
Ich versuchs anders:
- bisher hat FHEM implizit "attr global sslVersion TLSv12:!SSLv3" gesetzt, _falls_ der Benutzer nichts gesetzt hat.
- das implizite Setzen habe ich entfernt, damit bleibt es der Perl-Bibliothek IO::SOCKET::SSL ueberlassen, das ist je nach installierte Version anders. In meinem Fall ist das SSLv23:!SSLv2, rauszukriegen duch Eingabe von "perldoc IO::SOCKET::SSL" in der Linux Kommandozeile und durchlesen der relevanten Teile.
Sorry, aber ich habe es noch immer nicht verstanden.
Was muss unter FHEM betreffend SSL laut dieser Änderung raus bzw. ist für SSL noch übrig zu definieren.
Wie installiere ich perdoc nach.
Das ist mit den Perl Installationen bei mir nicht dabei.
Was ist mit dem Verzeichnis certs und Inhalt unter FHEM?
Setze einfach attr global sslVersion TLSv12:!SSLv3 dann sollte es denke ich verschwunden sein.
Diese Attribut ist bei mir gesetzt sowie auch die anderen Parameter für SSL.
List global
Internals:
DEF no definition
FD 3
NAME global
NR 1
STATE no definition
TYPE Global
currentlogfile /media/hdd/fhem/log04/fhem-2019-04-17.log
logfile /media/hdd/fhem/log04/fhem-%Y-%m-%W.log
READINGS:
2019-04-14 14:58:57 state ATTR AB_RSAD devStateIcon REGEN:weather_rain_heavy@cyan TROCKEN:weather_sun@yellow
Attributes:
altitude 311
archivedir /media/hdd/Backup/ccs-ht-rasp04/opt/fhem/restoreDir
autoload_undefined_devices 1
autosave 0
backup_before_update 1
backupdir /media/hdd/Backup/ccs-ht-rasp04/opt/fhem/restoreDir
configfile fhem.cfg
dnsHostsFile /etc/hosts
dupTimeout 0.5
holiday2we OOE
keyFileName /opt/fhem/FHEM/FhemUtils/uniqueID
language DE
latitude 48.15124159
logdir /media/hdd/fhem/log04
logfile /media/hdd/fhem/log04/fhem-%Y-%m-%W.log
longitude 14.00299087
modpath .
motd 1
mseclog 1
restartDelay 2
restoreDirs 1
room _System
sendStatistics onUpdate
sslVersion TLSv12:!SSLv3
stacktrace 0
statefile /media/hdd/fhem/log04/fhem.save
updateInBackground 1
userattr alarmDevice:Actor,Sensor alarmSettings cmdIcon devStateIcon devStateIcon:textField-long devStateStyle fp_SolarThermie icon sortby webCmd webCmdLabel:textField-long widgetOverride
verbose 3
version fhem.pl:19259/2019-04-25
list WEB
Internals:
CONNECTS 328
CSRFTOKEN csrf_330188422825908
DEF 8083 global
FD 6
FUUID 5c4c0781-f33f-332f-9373-278805b0f683b777
NAME WEB
NR 13
NTFY_ORDER 50-WEB
PORT 8083
SSL 1
STATE Initialized
TYPE FHEMWEB
READINGS:
2019-04-29 00:00:04 state Initialized
Attributes:
HTTPS 1
JavaScripts codemirror/fhem_codemirror.js pgm2/clock.js
editConfig 1
fwcompress 0
hiddenroom AlarmRoom
mainInputLength 80
menuEntries Neustart,cmd=save+shutdown+restart,Update,cmd=update,Updatecheck,cmd=update+check,MyUtils_neu_laden,cmd=reload+99_myUtils.pm
room _System
roomIcons AB-Bewaesserung:sani_irrigation@cyan AB-Biotop:sani_sprinkling@cyan AB-Fitnessraum:scene_fitness AB-Garage-Ost:fts_garage AB-Garage-West:fts_garage AB-Muehlbach:time_graph@cyan AB-Pool:scene_pool@cyan AB-Sauna:scene_sauna AB-Suedgarten:scene_garden AB-Vorgarten:scene_garden AB-Wetterstation:weather_cloudy_light Alarmanlage:secur_alarm@red Alarme:message_attention@red Anwesenheit:user_available Aquarium:Icon_Fisch Beleuchtung:light_ceiling_light@yellow Belueftungen:vent_ventilation_level_0 Brandmeldeanlage:secur_smoke_detector@orange EG:control_building_s_eg EG-Bad:control_building_s_eg EG-Keller:control_building_s_eg EG-Kueche:control_building_s_eg EG-Schlafzimmer:control_building_s_eg EG-Stiegenhaus:control_building_s_eg EG-Terrasse:scene_terrace EG-Vorraum:control_building_s_eg EG-WC:control_building_s_eg EG-Wirtschaftsraum:control_building_s_eg EG-Wohnzimmer:control_building_s_eg Energiemanagement:measure_power_meter Heizung:icoHEIZUNG Kalender:time_calendar Keller:control_building_s_kg Kuehlung:temp_frost@cyan Multimedia:scene_cinema Notbeleuchtung:light_mirror Notruf.System:message_attention@red OG1:control_building_s_og OG1-Bad:control_building_s_og OG1-Balkon:awning OG1-Kinderzimmer:control_building_s_og OG1-Kueche:control_building_s_og OG1-Schlafzimmer:control_building_s_og OG1-Stiegenhaus:control_building_s_og OG1-Vorraum:control_building_s_og OG1-WC:control_building_s_og OG1-Wohnzimmer:control_building_s_og OG2:control_building_s_dg OG2-Buero1:control_building_s_dg OG2-Buero2:control_building_s_dg OG2-Dachboden:control_building_s_dg OG2-EDV-Raum:control_building_s_dg OG2-Kuehlung:control_building_s_dg PV-Anlagen:measure_photovoltaic_inst Rolllaeden:fts_shutter_updown SolarThermie:sani_solar Stiegenhaus:control_building_s_all Technik:hue_room_garage Trend:time_graph Verbrauch-Gas:measure_power_meter Verbrauch-Strom:measure_power Verbrauch-Wasser:measure_power_meter Zutrittssystem:fts_door_open _Energiemessungen:measure_power_meter _Sensor-Batteriezustaende:measure_battery_100 _Sensor-Geraetestoerung:message_attention@red _Signalstaerke-Geraete:it_wireless_dcf77 _USV:measure_battery_100
sslVersion TLSv12:!SSLv3
stylesheetPrefix dark
userattr { addToAttrList("alarmDevice:Actor,Sensor") } { addToAttrList("alarmSettings") }
list telnet
Internals:
CFGFN /media/hdd/fhem/mycfg/FHEM2FHEM/f2f_rasp04.cfg
CONNECTS 22
DEF 7184 global
FD 12
FUUID 5c4c0782-f33f-8a9d-3fa7-c8d92d14bcd793db
NAME F2F_184
NR 249
PORT 7184
SSL 1
STATE Initialized
TYPE telnet
READINGS:
2019-04-29 00:00:07 state Initialized
Attributes:
SSL 1
alias ccs-ht-rasp01
room _System
sslVersion TLSv12:!SSLv3
Trotzdem bekomme ich eine Menge dieser LOG Einträge die es vorher nicht gab.
Dann anders rum, nimm es weg und lass die perl ssl entscheiden
Zitat
Perl-Bibliothek IO::SOCKET::SSL ueberlassen, das ist je nach installierte Version anders
Ich habe jetzt unter FHEM sämtliche Attribute mit sslVersion TLSv12:!SSLv3 entfernt, aber weiterhin das Attribut SSL 1 belassen.
Nach einem Neustart des PIs sieht es im LOG von FHEM nicht anders.
Das LOG wird mit diesen Einträgen
2019.04.29 15:05:38.279 1: telnet SSL/HTTPS error: SSL accept attempt failed (peer: 192.168.17.187)
2019.04.29 15:05:46.563 1: telnet SSL/HTTPS error: Broken pipe SSL accept attempt failed (peer: 192.168.17.1)
2019.04.29 15:05:46.596 1: FHEMWEB SSL/HTTPS error: Broken pipe SSL accept attempt failed (peer: 192.168.17.46)
2019.04.29 15:05:47.113 1: telnet SSL/HTTPS error: SSL accept attempt failed (peer: 192.168.17.182)
2019.04.29 15:05:55.355 1: telnet SSL/HTTPS error: SSL accept attempt failed (peer: 192.168.17.185)
2019.04.29 15:06:03.645 1: telnet SSL/HTTPS error: SSL accept attempt failed (peer: 192.168.17.189)
Ist es Abscht, dass drei unterschiedliche Rechner versuchen per telnet/SSL auf FHEM zuzugreifen?Wenn nicht, dann ist die Ursache nicht in der sslVersion in FHEM zu suchen.
Grundsätzlich habe ich für jeden einzelnen Raspberry mit einer eigenen telnet Verbindung eingerichtet, weil ich es für besser hielt wenn verschiedene Logindaten genutz werden.
Ich hatte damit auch lange Zeit kein Problem.
Sollte für unterschiedliche Geräte die gleiche telnet Verbindung mit dem gleichem Port unter FHEM verwendet werden?
Ergänzung: 2019.04.29 17:44
Ich habe jetzt alles auf nur eine telnet Verbindung mit dem 7072 reduziert.
Test mit einem aktivem sslVersion TLSv12:!SSLv3 Eintrag in den Verbindung telnet und WEB. => Die Meldungen im Log sind die gleichen.
Test ohne sslVersion TLSv12:!SSLv3 in den FHEM Verbindungen. => Wiederum die gleichen Meldungen im Log.
Nach jeder Änderung habe ich zur Sicherheit alle Raspberrys neu gestartet.
Ich vermute etwas ganz anderes was vielleicht zu den telnet Problem führt.
Die Zertifikate wurden mit einem DNS Namen angelegt und nicht mit einer IP Adresse.
Interner Name ccs-ht-rasp02
commonName ccs-ht-rasp02
emailAdresse ccs-ht-rasp02.ccs-media.local
Die telnet Verbindung (FHEM2FHEM) arbeitet aber mit einer IP Adresse und kann vermutlich damit nicht mehr umgehen.
Seit ca. 2 Jahren läuft aber FHEM auf den 10 Raspberrys mit diesen Zertifikaten und den FHEM2FHEM Verbindungen mit unterschiedlichen Ports.
Nur warum erst jetzt Problem auftauchen wiederspricht der Annahme.
ZitatSollte für unterschiedliche Geräte die gleiche telnet Verbindung mit dem gleichem Port unter FHEM verwendet werden?
Das kann jeder fuer sich entscheiden, noetig sind unterschiedliche telnet Definitionen nur dann, wenn man unterschiedliche Passwoerter vergeben will.
ZitatDie Zertifikate wurden mit einem DNS Namen angelegt und nicht mit einer IP Adresse.
Das ist richtig, allerdings kann Hostname gegen Zetifikat nur auf der Client-Seite verglichen werden, dh. das Problem kann auch nur da gemeldet werden.
Weiterhin fuehrt FHEM (falls es die Rolle des Clients hat) solche Vergleiche nicht durch.
Das mit den unterschiedlichen telnet Ports hatte ich ursprünglich schon vorbereitet damit unterschiedliche Userzugriffe möglich sind.
Jedenfalls hat es nicht wirklich etwas gebracht die FHEM2FHEM Verbindungen wieder einheitlich auf den standart Port 7072 zu definieren.
Garade der Raspberry der die meisten FHEM2FHEM Verbindungen hat, hat auch die meisten Probleme mit diesen Fehlermeldungen.
Eine andere Lösung habe ich nocht nicht gefunden wie ich von den anderen Raspberrys die Daten bekomme bzw. die anderen Raspberrys die benötigten Daten bekommen.
Es ist jedenfalls sichergestellt das keine Schleifenverbindungen zwischen den FHEM2FHEM Verbindungen bestehen.
Eines was ich bei FHEM festgestellt habe, ist das alles auf der LAN Schnittstelle mitgelauscht werden kann.
Eine Überlegung wäre vielleicht ein Modul das den Datenverkehr schon beschränk bevor die FHEM Daten im LAN abhörbar sind, und so die Zugriffe regelt.
Vielleicht würde dann die SSL Verbindung unter FHEM nicht so belastet sein und keine Fehler hervorrufen.
Ich weiß dies sehr viel Arbeit mit sich bringen würde. Es ist nur so ein Gedankengang von mir.