Hallo,
ich habe gestern ein Update durchgeführt. Dabei wurde unter anderem folgendes geupdatet:
os-caddy upgraded: 1.6.3_1 -> 1.7.0
Leider kann ich nun keine lokalen https Webseiten mehr aufrufen. Bei einem Aufruf komme ich auf eine weiße Seite. Das Zertifikat wird als gültig angezeigt. Dies habe ich unter Trust angelegt und im Browser abgespeichert.
Im Caddy habe ich das unter Domain hinterlegt und bei http handlers die Einstellung TLS Insecure Skip Verify aktiviert.
opnsense.web.internal {
tls /var/db/caddy/data/caddy/certificates/temp/66d5665a0690b.pem /var/db/caddy/data/caddy/certificates/temp/66d5665a0690b.key
handle {
reverse_proxy 192.168.2.1:8443 {
}
}
}
Das erhalte ich im Log:
"error","ts":"2024-09-13T18:04:16Z","logger":"http.log.error","msg":"EOF","request":{"remote_ip":"192.168.2.212","remote_port":"62693","client_ip":"192.168.2.212","proto":"HTTP/2.0","method":"GET","host":"opnsense.web.internal","uri":"/","headers":{"Accept-Encoding":["gzip, deflate, br"],"Sec-Fetch-Mode":["navigate"],"User-Agent":["Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.6 Safari/605.1.15"],"Accept-Language":["de-DE,de;q=0.9"],"Sec-Fetch-Dest":["document"],"Accept":["text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"],"Sec-Fetch-Site":["none"],"Cookie":["REDACTED"]},"tls":{"resumed":false,"version":772,"cipher_suite":4867,"proto":"h2","server_name":"opnsense.web.internal"}},"duration":0.00072395,"status":502,"err_id":"52sz7a7nh","err_trace":"reverseproxy.statusError (reverseproxy.go:1269)"}
Hat sich bei diesem Update was bestimmtes verändert? Kann man das Update auch wieder rückgängig also ein Downgrade machen?
Hmm sieht so aus als ob tls insecure skip verify nicht gerendert wird. Ich überprüfe das mal.
Ich glaube hier hat sich der Fehlerteufel eingeschlichen. Ich habe die Template etwas überarbeitet:
https://github.com/opnsense/plugins/blob/0068b7295e7ff477b1f1e040211138fc80a585eb/www/caddy/src/opnsense/service/templates/OPNsense/Caddy/Caddyfile#L418
Im if statement heißt sie "handle.HttpTlsesecureSkipVerify", das ist falsch.
Ums schnell zu fixen, mach einfach irgend einen namen in "Tls Server Name", z.B. "abcd". Das wird dann diese Condition triggern und auch das tlsinsecureskipverify wieder auftauchen lassen.
Ich bereite bald einen Patch dafür vor. Danke fürs melden.
Danke für die schnelle Antwort! Das hier hat super funktioniert.
Quote from: Monviech on September 13, 2024, 08:13:40 PM
Ums schnell zu fixen, mach einfach irgend einen namen in "Tls Server Name", z.B. "abcd". Das wird dann diese Condition triggern und auch das tlsinsecureskipverify wieder auftauchen lassen.
Ich bereite bald einen Patch dafür vor. Danke fürs melden.
Kein Problem. Hier ist der PR der es fixen wird:
https://github.com/opnsense/plugins/pull/4237
FYI: Der Caddy fix ist im Hotfix mit drin:
https://forum.opnsense.org/index.php?topic=42787.msg212578#msg212578
Quote from: Monviech on September 14, 2024, 09:35:21 AM
FYI: Der Caddy fix ist im Hotfix mit drin:
https://forum.opnsense.org/index.php?topic=42787.msg212578#msg212578
Danke für diese Info. Das Update hat geklappt