Kein Zugriff auf Web / SSH / Console

[schnettker]

Hi,

wir haben ein Update eingespielt und den (mir jetzt) bekannten Fehler:

ERR_SSL_PROTOCOL_ERROR

bekommen. Die scheinbare Lösung des Problems kann man hier überall finden.

Jetzt haben wir das Problem, dass SSH scheinbar Disabled ist. Zumindest kommen wir nicht auf das Gerät und in der Config  finde ich ein

    <ssh>
      <noauto>1</noauto>
      <interfaces/>
    </ssh>


Nun bleibt eigentlich nur der weg über die Console, aber dort kommt weder das Menü, noch kann ich eine Tastatur eingabe tätigen. Reboote ich das Gerät, dann sehe ich aber

Code Select Expand

>>> Invoking start script 'syslog-ng'
Stopping syslog_ng.
Waiting for PIDS: 75574.
Starting syslog_ng.
>>> Invoking start script 'carp'
>>> Invoking start script 'cron'
Starting Cron: OK
>>> Invoking start script 'beep'
Root file system: /dev/ada0s1a
Wed Mar 31 12:40:38 CEST 2021

*** OPNsense.xxx.local: OPNsense 20.7.8_4 (amd64/OpenSSL) ***

xxx(igb0_vlan2) -> v4: 10.0.0.1/24
xxx(igb1) -> v4: festeip/29
xxx(igb0)      -> v4: 192.168.0.100/24
xxx(igb0_vlan3) -> v4: 10.0.1.1/24
xx (igb3) -> v4: festeip2/29

HTTPS: SHA256 FF AA FF .. .. .. ..


Und kann nichts danach machen.

Opnsense läuft auf einem A10 Board (OPN19004R) und hat keine VGA Schnittstelle

Was könnten wir noch machen? Könnten wir - mit der vorhandenen Config das System wieder schnell zum Laufen bekommen (mit wenig Downtime)

Viele Grüße

[#Stephan]

Hallo

Dein beschriebenes verhalten konnte ich auch schon beobachten. Auch gerade heute ist kein Zugriff möglich.
Ich hatte das bereits vor den letzten beiden Updates.


Ich behelfe mir damit, dass ich den alten Internet Explorer , welcher keine brauchbare SSL Prüfung macht, um mich in die GUI einzuloggen.

[superwinni2]

Wenn man in der Console Nummer 2 auswählt, kommt am ende des vorganges die frage ob man das Webprotokoll wieder auf HTTP umstellen möchte. Hier dann entsprechend antworten.
Dann sollte man wieder auf die Web-GUI drauf kommen.

[lfirewall1243]

Hatte das Thema gestern noch beim Update von 21.1 auf 21.4.

Ein neu starten der Dienste über SSH behebt das Problem

[JeGr]

Kurzer Tipp:

Bei SSL Fehlern in Chrome-artigen Browsern, die KEINE Schaltfläche oder Möglichkeit bieten "trotzdem weiter" zu sagen (IMHO konnte das Edge und Edgium noch), kann man einfach

thisisunsafe

eingeben. Einfach wenn nichts markiert ist. Also einfach tippen wenn der Browser offen ist, nicht in die URL Zeile oder sonstwas. Kann man testen unter bspw.

https://revoked.badssl.com/

für ein zurückgezogenes Zertifikat oder generell einen Fehler testen von

https://badssl.com/

Viele Fehler kann man in Chrome(iums Browsern) übergehen, indem man "thisisunsafe" tippt, allerdings nicht alle. Wenn der Browser den verwendeten Cipher bspw. gar nicht mehr kennt/kann, dann hilft auch kein "Override".
Aber der Tipp kann helfen, wenn mal wieder ACME o.ä. nicht gelaufen ist und das Zertifikat bspw. abgelaufen ist. Und bei HSTS geschützten Seiten ist ein expired Zertifikat dann eben "game over" ;)

[schnettker]

Hallo,

danke für die Tipps, aber leider funktioniert nichts davon.

"ERR_SSL_PROTOCOL_ERROR"

Lässt sich nicht mit alten Browsern und auch nicht mit "thisisunsafe" (trotzdem geiler Tipp) umschiffen.

Auf der Konsole kann ich nichts eingeben und die Tastatur funktioniert nach erfolgtem booten nicht mehr

[franco]

Ich vermute es war das Problem das FreeBSD in OpenSSL 1.1.1k eingefügt hatte. /dev/crytpo ist in der Konfiguration aktiviert (standard is aus) und dann geht der Webserver nicht mehr.

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=254643

Das OpenSSL Paket in 21.1.4 ist mittlerweile entsprechend korrigiert.


Grüsse
Franco