Hi,
mir ist durch zufall aufgefallen, dass mein NC Backup seit etwa einem Monat nicht mehr funktioniert.
Außer, dass die NC ihre Updates bekommen hat, ist nichts anders.
Der User hat weiterhin Zugriff und regulär funkioniert alles.
Nur die OPN kann (mal wieder) nicht zugreifen.
Ist das vielleicht bei anderen auch so? In welchem Protokoll wäre es ersichtlich, warum es nicht klappt?
Zeitlich passt es irgendwie zum letzten Update.
Das Backup-Plugin loggt in das Syslog - Findest du also bei den anderen Systemprotokolldaten.
habs bei Github gefunden, scheint ein Bug zu sein mit Zerts ohne offizielle CA
Da muss man die Kette vervollständigen wie in mehreren Tickets erörtert über System: Trust: Authorities.
Grüsse
Franco
Aber wieso ist das so?
Ich habe auf dem NC Server ein SSL Zertifikat, welches von der opnsense CA ausgestellt worden ist und dennoch "erkennt" er es seit dem Update nicht mehr
Abgelaufen vielleicht?
Grüsse
Fraco
nein, noch 2j gültig
Okay, welches "Update"? Und davor ging es?
Grüsse
Franco
PS: die Zeit auf der Sense stimmte auch?
aktuelle Zeit kommt per NTP und funktioniert.
aktuelle version 21.1.5 - mit 21.1.4 ging es noch
Passt auch zu dem Github Eintrag - dort ist jedoch nur von self sign die Rede.
Der Zugriff ohne TLS (https) funktioniert
Der Link wäre allerdings hilfreich nach mehrmaliger Bezugnahme.
Grüsse
Franco
So klappt es vielleicht...
# opnsense-revert -r 21.1.4 curl
# /usr/local/etc/rc.configure_firmware
?
Hier der Link, das andere teste ich gleich :)
https://github.com/opnsense/core/issues/4940
ne, dein Befehl klappt nicht
Hmm, fangen wir doch mal richtig herum an. Auf der Firewall setzt man einen curl Befehl ab zur Nextcloud URL:
# curl -v https://nexstcloud/url
Alles Relevante sollte da schon drin stehen.
Grüsse
Franco
Hi,
passt:
TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
wobei wie gesagt, es handelt sich um ein Zert der OPN CA, welches "vorher" problemlos funktionierte, im Gegensatz zu einem self sign auf dem Server selbst
Bitte den Output nicht beschneiden... bin mir nicht sicher was da "passt" ::)
root@OPNsense:~ # curl -v https://XXXXXXXXX
* Trying XXXXXXXXX:XXXXXXX...
* Connected to YYY.XXXXXX(XXXXXXXX) port XXXXXXX(#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /usr/local/share/certs/ca-root-nss.crt
* CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html
curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
root@OPNsense:~ #
Ja, das hier ist falsch:
* CAfile: /usr/local/share/certs/ca-root-nss.crt
Das Revert von curl *muss* funktionieren (aus irgend einem Grund ging es wohl nicht) oder aber auf 21.1.6 updaten ab heute Nachmittag.
Grüsse
Franco
Dann werde ich mal das Update präferieren :) Danke dir!
Ok, ist nun verfügbar. :)
Update durchgeführt
neugestartet
funktioniert.
Danke :)
Ok, super, dann kann das GitHub Ticket gleich mit zu.
Grüsse
Franco
Selbes Subject, anderes Problem:
OPNSense 21.1.8_1 in HA konfig.
Unsere Nextcloud sitzt in DMZ via NAT. Vom OPNSense Master klappt das Config-Backup nach https://nextcloud.xxx.yyy.zzz nicht (offenbar schon länger), wohingegen das Backup vom OPNSense Slave nach https://nextcloud.xxx.yyy.zzz problemlos klappt.
Dasselbe mit curl -v https://nextcloud.xxx.yyy.zzz
Der Master kriegt keine Verbindung zu https://nextcloud.xxx.yyy.zzz , wohingegen auf OPNSense Slave der Verbindungsaufbau und TLS reibungslos klappt.
Irgendwie geht das für mich nicht auf. Das Zertifikat von nextcloud kann's ja nicht sein. Schon mal danke für nützliche Hinweise
Firewall Regel auf dem Server auf dem Nextcloud läuft oder davor wäre mein Tipp oder du hast ein Problem, dass du keine Route bzw. keine IP Adresse im Netz hast, über das du den Nextcloud Host erreichen kannst. Zum Beispiel nur ne VIP und die hat aktuell die Slave-Firewall.
Danke für die Hinweise.
Keine Fw aktiv auf dem nextcloud host. Auch kann ich vom OPNSense Master den nextcloud host auf die DMZ IP pingen.
War wohl eine Fehlüberlegung von mir. Wenn die Master-Fw die VIP des nextcloud hosts hat, wird die Master wohl kaum über diese VIP auf die DMZ-Adresse des nextcloud hosts verbinden können ;-)
Allerdings frage ich mich, weshalb das vorher funktioniert hat ....
Eintrag des nextcloud host mit seiner DMZ Adresse im Overrides von Unbound hat das Problem gelöst. Backup ist nun im konfigurierten Ordner.
Grüsse, Stefan