stunnel: SSL wrong version number

[cybernd]

hi,

ich versuche gerade meinen cvspserver per stunnel abzusichern und muß dabei leider erkennen das ich klärglich scheitere

als client verwende ich stunnel 4.04 für windows + ssl lib 0.9.6g
die konfiguration: stunnel.conf:
---
client=yes

[cvspserver]
accept = 3233
connect = cybernd.at:3233
--

Am Server:
die xinetd.conf:
---
service cvspserver
{
port = 3233
socket_type = stream
protocol = tcp
user = cybernd
server = /usr/local/stunnel/current/sbin/stunnel
server_args = -l /usr/local/bin/cvs -f --allow-root=/home/cybernd/cvs/jXForms pserver
type = UNLISTED
wait = no
}


hierbei zu erwähnen: der ungesicherte cvs server funktioniert mit folgendem eintrag:
service cvspserver
{
port = 3233
socket_type = stream
protocol = tcp
user = cybernd
server = /usr/local/bin/cvs
server_args = -f --allow-root=/home/cybernd/cvs/jXForms pserver
type = UNLISTED
wait = no
}
----

alternativ habe ich versucht, die server_args in der xinetd.conf zu entfernen und anstelle dessen die stunnel.conf per exec und execargs zu konfigurieren

....

der /var/log/serviceLog entnehme ich das eine verbindung vom xinetd aufgebaut wird:
03/4/24@15:20:15: START: cvspserver pid=6646 from=ip

allerdings sind ab diesem zeitpunkt keine logs am server auffindbar, d.h. ich hab nicht den blassesten schimmer was schief geht

hier die fehlermessage im stunnel client unter win2k:
2003.04.24 15:18:03 LOG5[272:1148]: cvspserver connected from 127.0.0.1:3673
2003.04.24 15:18:03 LOG4[272:1148]: Cannot set SSL session id to most recent used
2003.04.24 15:18:03 LOG3[272:1148]: SSL_connect: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number

ich find keinerlei informationen über diese fehlermessage
und hab keinen schimmer wo ich weitersuchen sollte

achja am server wurde ein zertifikat erzeugt - durch modifizieren der /tools/stunnel.cnf vor dem make

die stunnel.conf am server:
# Sample stunnel configuration file
# Copyright by Michal Trojnara 2002

# Comment it out on Win32
#cert = /usr/local/stunnel/current/conf/stunnel/mail.pem
chroot = /usr/local/stunnel/current/var/run/stunnel/
# PID is created inside chroot jail
pid = /stunnel.pid
#setuid = nobody
#setgid = nogroup

# Workaround for Eudora bug
#options = DONT_INSERT_EMPTY_FRAGMENTS

# Authentication stuff
#verify = 2
# don't forget about c_rehash CApath
# it is located inside chroot jail:
#CApath = /certs
# or simply use CAfile instead:
#CAfile = /usr/local/stunnel/current/conf/stunnel/stunnel.pem
cert = /usr/local/stunnel/current/conf/stunnel/stunnel.pem

# Some debugging stuff
#debug = 7
#output = stunnel.log

client = no

[cvspserver]
accept = 3233
#exec = /usr/local/bin/cvs
#execargs = cvs -f --allow-root=/home/cybernd/cvs/jXForms pserver


thx für hinweise irgendeiner art :o)
cybi

[cjhbabel]

hi,
achja am server wurde ein zertifikat erzeugt - durch modifizieren der /tools/stunnel.cnf vor dem make
cybi

Ich hatte auch sehr merkwürdige Fehlermeldungen als ich versuchte Zertifikate zu nutzen. Die div. Anleitungen zur Erstellung von Zertifikaten, auf die bei stunnel.org verwiesen wird scheinen nur zum Teil richtig zu sein. Zum Teil sind die Anleitungen wohl auch für ältere Versionen. Ich würde an deiner Stelle also nochmal prüfen ob die Zertifikate ok sind.

Leider kann ich dir kein HowTo geben, da meine Anleitung die ich geschrieben habe noch /dev/bitbucket gewandert ist als meine 60 GB Maxtor den Geist aufgegeben hat. Merke, speichere NIE Dateien unter "Eigene Dateien" :(.

[cybernd]

hmmm wir haben mittlerweile beschlossen das wir einfach einen reinen pserver verwenden

der tunnel kann ja immer noch später einmal hinzugefügt werden

und zum thema zertifikat:
das zertifikat wurde vom stunnel make selbst erstellt, wodurch ich davon ausgehe das es korrekt sein müsste

tja und die fehlermessage ist ja echt ein hammer ..
erinnert mich an eine nullpointer exception .. die hat ebensoviel aussagekraft :o( leider

ich wart einfach mal die nächste release von stunnel ab - dann wirds nochmal versucht :o)

cybi

[cjhbabel]

und zum thema zertifikat:
das zertifikat wurde vom stunnel make selbst erstellt, wodurch ich davon ausgehe das es korrekt sein müsste

Das hatte ich zuerst auch versucht. Wie gesagt auch mit sehr merkwürdigen Fehlermeldungen. Bei mir läuft der stunnel Server auf debian woody (stunnel auf stable) und als stunnel client ebenfalls die Version 4.04. Die Zertifikate wurden mit einer eigenen CA "unterschrieben".

[majortermi]

Warum benutzt du nicht einfach CVS über SSH?
Einfach CVS im "ext"-Modus verwenden und CVS_RSH auf "ssh" setzen.

[cybernd]

weil ich den cvs benützern keinen shellzugriff einräumen will

cybi

[majortermi]

weil ich den cvs benützern keinen shellzugriff einräumen will

Benutze doch die "rbash" und stelle ihn aus "cvs" keine Executable zur Verfügung...