[bug] Nextcloud Backup fails

[lenny]

Hi,
passt:
 TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0


wobei wie gesagt, es handelt sich um ein Zert der OPN CA, welches "vorher" problemlos funktionierte, im Gegensatz zu einem self sign auf dem Server selbst

[franco]

Bitte den Output nicht beschneiden... bin mir nicht sicher was da "passt" 

[lenny]

Code: [Select]

root@OPNsense:~ # curl -v https://XXXXXXXXX
*   Trying XXXXXXXXX:XXXXXXX...
* Connected to YYY.XXXXXX(XXXXXXXX) port XXXXXXX(#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*  CAfile: /usr/local/share/certs/ca-root-nss.crt
*  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8):
* TLSv1.3 (IN), TLS handshake, Certificate (11):
* TLSv1.3 (OUT), TLS alert, unknown CA (560):
* SSL certificate problem: unable to get local issuer certificate
* Closing connection 0
curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: https://curl.se/docs/sslcerts.html

curl failed to verify the legitimacy of the server and therefore could not
establish a secure connection to it. To learn more about this situation and
how to fix it, please visit the web page mentioned above.
root@OPNsense:~ #


[franco]

Ja, das hier ist falsch:

 *  CAfile: /usr/local/share/certs/ca-root-nss.crt

Das Revert von curl *muss* funktionieren (aus irgend einem Grund ging es wohl nicht) oder aber auf 21.1.6 updaten ab heute Nachmittag.


Grüsse
Franco

[lenny]

Dann werde ich mal das Update präferieren Danke dir!

[franco]

Ok, ist nun verfügbar.

[lenny]

Update durchgeführt
neugestartet
funktioniert.
Danke

[franco]

Ok, super, dann kann das GitHub Ticket gleich mit zu.


Grüsse
Franco

[biocit]

Selbes Subject, anderes Problem:

OPNSense 21.1.8_1 in HA konfig.
Unsere Nextcloud sitzt in DMZ via NAT. Vom OPNSense Master klappt das Config-Backup nach https://nextcloud.xxx.yyy.zzz nicht (offenbar schon länger), wohingegen das Backup vom OPNSense Slave nach https://nextcloud.xxx.yyy.zzz problemlos klappt.
Dasselbe mit curl -v  https://nextcloud.xxx.yyy.zzz
Der Master kriegt keine Verbindung zu https://nextcloud.xxx.yyy.zzz , wohingegen auf OPNSense Slave der Verbindungsaufbau und TLS reibungslos klappt.

Irgendwie geht das für mich nicht auf. Das Zertifikat von nextcloud kann's ja nicht sein. Schon mal danke für nützliche Hinweise

[fabian]

Firewall Regel auf dem Server auf dem Nextcloud läuft oder davor wäre mein Tipp oder du hast ein Problem, dass du keine Route bzw. keine IP Adresse im Netz hast, über das du den Nextcloud Host erreichen kannst. Zum Beispiel nur ne VIP und die hat aktuell die Slave-Firewall.

[biocit]

Danke für die Hinweise.
Keine Fw aktiv auf dem nextcloud host. Auch kann ich vom OPNSense Master den nextcloud host auf die DMZ IP pingen.
War wohl eine Fehlüberlegung von mir. Wenn die Master-Fw die VIP des nextcloud hosts hat, wird die Master wohl kaum über diese VIP auf die DMZ-Adresse des nextcloud hosts verbinden können ;-)
Allerdings frage ich mich, weshalb das vorher funktioniert hat ....

Eintrag des nextcloud host mit seiner DMZ Adresse im Overrides von Unbound hat das Problem gelöst. Backup ist nun im konfigurierten Ordner.

Grüsse, Stefan