Problem nach Update von 7.19.14.R auf 7.19.21.R

bytegetter · February 2, 2022, 4:47pm

Hallo zusammen,

Wenn ich das o.g. Update einspiele komme ich nicht mehr auf die Anlage. Die Admin-Oberfläche funktioniert noch, aber die Anlage selbst ist nicht mehr erreichbar.

"Fehler: Gesicherte Verbindung fehlgeschlagen

Beim Verbinden mit 172.16.6.52 trat ein Fehler auf. SSL hat einen Eintrag erhalten, der die maximal erlaubte Länge überschritten hat.

Fehlercode: SSL_ERROR_RX_RECORD_TOO_LONG

Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren."

Die Anlage war mal mit einem LE-Zertifikat auf einer öffentlichen IP, läuft aber schon seit längerem auf einer privaten IP. Auf dem Interface ist ein selbst erstelltes Zertifikat aktiviert.

Ich habe bisher zweimal mit der VM das Update probiert, mit jeweils dem gleichen Ergebnis.

Wie kann ich mich wieder ins Webinterface einloggen?

bytegetter · March 10, 2022, 10:32am

Ich hatte schon die Lösung aus dem Link probiert:

Trotzdem funktioniert das nicht, so dass ich dann immer das zuvor erstellte Backup der VM eingespielt habe.

Hat jemand eine Idee, was ich hier tun kann?

bytegetter · April 8, 2022, 12:57pm

Hat keiner eine Idee, wie ich aus der Nummer rauskomme?

rapha · April 8, 2022, 1:42pm

Hi,
schonmal inkrementelle Updates ausprobiert? Also erst auf 19.15, dann 19.16 usw. bis zur aktuellen Version.

Ein self-signed Zertifikat sollte da keine Probleme machen.

Gruß,
Rapha

bytegetter · April 11, 2022, 6:23pm

Hallo Rapha,

Leider ist im Zertifikat noch die alte IP etc. enthalten, nur nicht mehr gültig.

Wo bekomme ich denn die Zwischenversionen her?

rapha · April 12, 2022, 8:27am

Schau mal ob es mit dem Löschen vom aktuellen Zertifikat funktioniert. Nach “Speichern” im Interface sollte wieder ein neues self-signed Zertifikat angelegt werden.

Die IP und der Hostname muss dann im Interface-UI korrekt angegeben sein.

Gruß,
Rapha

bytegetter · April 13, 2022, 8:58am

Hallo Rapha,

Das habe ich alles schon probiert, leider ihne Erfolg.

Aktueller Stand:

Auf der Anlage selbst sieht es dann so aus:

Da ändert sich auch nichts dran, wenn ich die Zertifikate lösche und die VM reboote. Installiere ich danach das Update komme ich nicht mehr auf die Anlage, weil das Zertifikat völlig verhunzt ist.

Die Vertriebsfirma hat seit einigen Monaten die Aufgabe sich um die Lizenzierung der Anlage zu kümmern, damit ich ggf. den Support darauf ansetzen kann.

Hat noch jemand eine Idee dazu?

noses · April 13, 2022, 9:21am

Dann such Dir einen anderen Partner. Lizenzsierung ist doch keine Monatsaufgabe.

rapha · April 13, 2022, 12:07pm

Was sagt denn der certmanager im Interface-Container?

user@pbx:~$ sudo lxc-attach ifens18
root@ifens18:/# journalctl -u certmanager

Hier sollte deutlich werden ob ein neues Zertifikat erstellt wurde oder Fehler auftreten.

Gruß,
Rpaha

bytegetter · April 13, 2022, 1:55pm

Dort bekomme ich zweimal am Tag folgendes:

Apr 13 02:34:46 ifens18 systemd[1]: certmanager.service: Failed to reset devices.list: Operation not permitted
Apr 13 02:34:46 ifens18 systemd[1]: Starting Manage certificate…
Apr 13 02:34:46 ifens18 certmanager[15827]: Managing certificate [217.70.133.106]
Apr 13 02:34:46 ifens18 certmanager[15827]: Manage lets encrypt certificate
Apr 13 02:34:46 ifens18 certmanager[15827]: Checking letsencrypt certificate via apache for [217.70.133.106]
Apr 13 02:34:47 ifens18 certmanager[15827]: Requested name 217.70.133.106 is an IP address. The Let’s Encrypt certificate authority will not issue certificates for a bare IP address.
Apr 13 02:34:47 ifens18 certmanager[15827]: Falling back to self signed because something is wrong with lets encrypt
Apr 13 02:34:47 ifens18 certmanager[15827]: Manage self signed certificate
Apr 13 02:34:47 ifens18 certmanager[15827]: Checking previously created certificate
Apr 13 02:34:47 ifens18 certmanager[15827]: /etc/ssl/certs/cs-tls-cert.pem: OK
Apr 13 02:34:47 ifens18 certmanager[15827]: Certificate seems to be ok
Apr 13 02:34:47 ifens18 certmanager[15827]: /etc/ssl/certs/cs-tls-cert.pem: OK
Apr 13 02:34:47 ifens18 certmanager[15827]: Certificate seems to be ok
Apr 13 02:34:47 ifens18 certmanager[15827]: Certificate was not changed
Apr 13 02:34:47 ifens18 certmanager[15827]: Done
Apr 13 02:34:47 ifens18 systemd[1]: Started Manage certificate.
Apr 13 13:37:46 ifens18 systemd[1]: certmanager.service: Failed to reset devices.list: Operation not permitted
Apr 13 13:37:46 ifens18 systemd[1]: Starting Manage certificate…
Apr 13 13:37:46 ifens18 certmanager[17376]: Managing certificate [217.70.133.106]
Apr 13 13:37:46 ifens18 certmanager[17376]: Manage lets encrypt certificate
Apr 13 13:37:46 ifens18 certmanager[17376]: Checking letsencrypt certificate via apache for [217.70.133.106]
Apr 13 13:37:47 ifens18 certmanager[17376]: Requested name 217.70.133.106 is an IP address. The Let’s Encrypt certificate authority will not issue certificates for a bare IP address.
Apr 13 13:37:47 ifens18 certmanager[17376]: Falling back to self signed because something is wrong with lets encrypt
Apr 13 13:37:47 ifens18 certmanager[17376]: Manage self signed certificate
Apr 13 13:37:47 ifens18 certmanager[17376]: Checking previously created certificate
Apr 13 13:37:47 ifens18 certmanager[17376]: /etc/ssl/certs/cs-tls-cert.pem: OK
Apr 13 13:37:47 ifens18 certmanager[17376]: Certificate seems to be ok
Apr 13 13:37:47 ifens18 certmanager[17376]: /etc/ssl/certs/cs-tls-cert.pem: OK
Apr 13 13:37:47 ifens18 certmanager[17376]: Certificate seems to be ok
Apr 13 13:37:47 ifens18 certmanager[17376]: Certificate was not changed
Apr 13 13:37:47 ifens18 certmanager[17376]: Done
Apr 13 13:37:47 ifens18 systemd[1]: Started Manage certificate.
lines 3165-3229/3229 (END)

Die IP ist hatte ich mal zum testen benutzt und wurde schon lange auf eine private geändert.

Bekomme ich das irgendwie weg?

rapha · April 13, 2022, 2:47pm

Steht dein Zertifikatmodus am Interface auf “Let’s Encrypt”? → Hier sollte Self Signed ausgewählt sein.

Edit: Trotzdem spannend - Laut Interface-FQDN “pascom.lan” wird versucht ein LE-Zertifikat mit IP zu verwalten. DNS löst hier nicht zufällig auf die genannte IP auf?

bytegetter · April 13, 2022, 7:18pm

Soweit war ich schon, das Zertifikat ist schon lange umgestellt:

pascom.lan löst überhaupt nicht auf:
root@pascom-mobydick-2:/persistent/home/admin# ping pascom.lan
ping: pascom.lan: Name or service not known

MarkusSachs · April 13, 2022, 9:30pm

Was heißt den pascom.lan löst nicht auf hast du denn den DNS Eintrag angelegt auf den DNS Server der in diesem Netz ist?

bytegetter · April 14, 2022, 7:29am

Nein, pascom.lan existiert nicht.

Bei einer anderen Anlage von mir (meine private) steht dort die lokale IP.

Was käme denn da rein? Und wieso versucht er immer noch ein Zertifikat zu generieren, wenn das Zertifikat auf self signed steht?

rapha · April 14, 2022, 7:41am

Das ist die richtige Frage. Was passiert wenn du anstatt “pascom.lan” die IP dort einträgst?

bytegetter · April 14, 2022, 9:37pm

Ach guck mal, dann funktionierts. Da wäre ich nie drauf gekommen.

Danke euch.