MQTT2_Server mit SSL

dk3572 · 10 März 2019, 08:57:49

Hallo,

bei mir läuft fhem auf einem IntelNuc mit Ubuntu 18.04. Server.

Ich habe zum Betrieb eines CC2531 Zigbee2mqtt und das MQTT2_Server Modul installiert.
Sobald ich im MQTT2_Server ssl 1 und sslVersion SSLv23:!SSLv3:!SSLv2 oder TLSv12:!SSLv3 setze, erhalte ich im Sekundentakt diese Meldung und der Stick bleibt offline:

Code Auswählen

MQTT2_SERVER SSL/HTTPS error:  SSL accept attempt failed error:1408F10B:SSL routines:ssl3_get_record:wrong version number (peer: 127.0.0.1)

In global ist die sslVersion SSLv23:!SSLv3:!SSLv2 gesetzt.

List vom MQTT2_Server

Code Auswählen

Internals:
   CONNECTS   4
   DEF        1883 global
   FD         35
   FUUID      5c73d5cb-f33f-cd72-6d7a-f6fbc785ee052a66
   NAME       MQTT2_Server
   NR         306
   PORT       1883
   STATE      Initialized
   TYPE       MQTT2_SERVER
   READINGS:
     2019-03-09 19:35:26   RETAIN          {"zigbee2mqtt/bridge/config":"{\u0022log_level\u0022:\u0022info\u0022,\u0022permit_join\u0022:false}","zigbee2mqtt/bridge/state":"online"}
     2019-03-09 19:35:26   nrclients       1
     2019-03-09 19:14:48   state           Initialized
   clients:
     MQTT2_Server_127.0.0.1_35920 1
   retain:
     zigbee2mqtt/bridge/config:
       ts         1552155288.95741
       val        {"log_level":"info","permit_join":false}
     zigbee2mqtt/bridge/state:
       ts         1552156526.36384
       val        online
Attributes:
   autocreate 1
   disable    0
   icon       mqtt
   room       MQTT2,System

Und falls das relevant ist, bei einem Neustart von Fhem erhalte ich diese Meldung:

Code Auswählen

FHEMWEB SSL/HTTPS error:  SSL accept attempt failed error:1408F09C:SSL routines:ssl3_get_record:http request (peer: 192.xxx.xxx.xx)

(IP vom Ubuntu Server auf dem Fhem läuft)

Kann mir hierbei jemand weiterhelfen?

Danke un VG
Dieter

rudolfkoenig · 10 März 2019, 11:55:02

Nachdem man die Schnittstelle mit "attr SSL 1" auf SSL (korrekterweise TLS) umstellt, kann sie keine unverschluesselten Anfragen beantworten.
Da die Fehlermeldungen der verwendeten openssl Bibliothek nicht einfach zu deuten sind (und das ist eine grobe Verharmlosung), kann man nicht immer direkt auf die Ursache des Problems schliessen. Ich vermute hier, dass jemand versucht weiterhin unverschluesselt zuzugreifen.

GIbt es einen Grund (abgesehen von "es steht so im Blog XXX") fuer die Verstellung der sslVersion?

dk3572 · 10 März 2019, 13:18:01

Zitat von: rudolfkoenig am 10 März 2019, 11:55:02
Nachdem man die Schnittstelle mit "attr SSL 1" auf SSL (korrekterweise TLS) umstellt, kann sie keine unverschluesselten Anfragen beantworten.
Da die Fehlermeldungen der verwendeten openssl Bibliothek nicht einfach zu deuten sind (und das ist eine grobe Verharmlosung), kann man nicht immer direkt auf die Ursache des Problems schliessen. Ich vermute hier, dass jemand versucht weiterhin unverschluesselt zuzugreifen.

GIbt es einen Grund (abgesehen von "es steht so im Blog XXX") fuer die Verstellung der sslVersion?

Danke für die Antwort. Allerdings bringt diese mich nicht weiter.
Wie soll ich weiter vorgehen? Wie kann ich den unverschlüsselten Zugriff lokalisieren? Wo kann ich was einstellen, damit der Zugriff verschlüsselt stattfindet?

Was heißt "Verstellung der sslVersion"? Die Einstellung in global? Oder die 2 Versuche im MQTT2_Server?

Nochmal danke und schönen Sonntag.
Dieter

rudolfkoenig · 10 März 2019, 13:26:36

ZitatWo kann ich was einstellen, damit der Zugriff verschlüsselt stattfindet?

Auf jedem Client, der mit diesem Server redet, z.Bsp. zigbee2mqtt.
Keine Ahnung wie, ich kenne das Produkt nicht.

ZitatWas heißt "Verstellung der sslVersion"? Die Einstellung in global?

Ja, genau diese meine ich.
Die Voreinstellung ist TLSv12:!SSLv3, FHEM versucht jeweils den aktuell sinnvollen und fuer die meisten praktikablen Wert zu verwenden.
Wenn man es explizit setzt, dann wird diese Voreinstellung ignoriert.

dk3572 · 10 März 2019, 13:47:07

Zitat von: rudolfkoenig am 10 März 2019, 13:26:36
Auf jedem Client, der mit diesem Server redet, z.Bsp. zigbee2mqtt.
Keine Ahnung wie, ich kenne das Produkt nicht.

Ich bin leider kein Experte und komme hier nicht weiter.
Die gleiche Frage hatte ich hier https://forum.fhem.de/index.php/topic,91394.msg916785.html#msg916785 gestellt. Leider auch vergeblich.
Es wird immer zur Verwendung von ssl geraten. Leider bekomme ich es alleine nicht hin.
Wo soll ich also noch fragen?

Danke und VG
Dieter

rudolfkoenig · 10 März 2019, 16:03:19

ZitatIch bin leider kein Experte ...

Umso raetselhafter ist fuer mich die Verwendung des sslVersion Attributes.

ZitatDie gleiche Frage hatte ich hier https://forum.fhem.de/index.php/topic,91394.msg916785.html#msg916785 gestellt. Leider auch vergeblich.

Liegt vermutlich daran, dass die Frage im falschen Forum gestellt wurde: das hier ist das FHEM Forum, und das "Problem" betrifft (soweit ich es sehe) zigbee2mqtt.

dk3572 · 10 März 2019, 16:25:08

Zitat von: rudolfkoenig am 10 März 2019, 16:03:19
Liegt vermutlich daran, dass die Frage im falschen Forum gestellt wurde: das hier ist das FHEM Forum, und das "Problem" betrifft (soweit ich es sehe) zigbee2mqtt.

MQTT2_Server und zigbee2mqtt verwende ich doch in fhem. Die Themen werden hier auch behandelt.
Und die Fehlermeldungen erhalte ich auch in fhem.
Warum sollte es also das falsche Forum sein? In der falschen Rubrik könnte ich noch einsehen.

Und bei allem Respekt, aber deine Antworten helfen mir nicht weiter. Wobei ich vermute, du könntest mir helfen.
Vielleicht erbarmt sich ja doch noch jemand oder verweist auf eine passendere Rubrik.

Trotzdem Danke und schönen Sonntag noch.