stunnel: SSL wrong version number
Posted: 2003-04-24 15:34
hi,
ich versuche gerade meinen cvspserver per stunnel abzusichern und muß dabei leider erkennen das ich klärglich scheitere
als client verwende ich stunnel 4.04 für windows + ssl lib 0.9.6g
die konfiguration: stunnel.conf:
---
client=yes
[cvspserver]
accept = 3233
connect = cybernd.at:3233
--
Am Server:
die xinetd.conf:
---
service cvspserver
{
port = 3233
socket_type = stream
protocol = tcp
user = cybernd
server = /usr/local/stunnel/current/sbin/stunnel
server_args = -l /usr/local/bin/cvs -f --allow-root=/home/cybernd/cvs/jXForms pserver
type = UNLISTED
wait = no
}
hierbei zu erwähnen: der ungesicherte cvs server funktioniert mit folgendem eintrag:
service cvspserver
{
port = 3233
socket_type = stream
protocol = tcp
user = cybernd
server = /usr/local/bin/cvs
server_args = -f --allow-root=/home/cybernd/cvs/jXForms pserver
type = UNLISTED
wait = no
}
----
alternativ habe ich versucht, die server_args in der xinetd.conf zu entfernen und anstelle dessen die stunnel.conf per exec und execargs zu konfigurieren
....
der /var/log/serviceLog entnehme ich das eine verbindung vom xinetd aufgebaut wird:
03/4/24@15:20:15: START: cvspserver pid=6646 from=ip
allerdings sind ab diesem zeitpunkt keine logs am server auffindbar, d.h. ich hab nicht den blassesten schimmer was schief geht
hier die fehlermessage im stunnel client unter win2k:
2003.04.24 15:18:03 LOG5[272:1148]: cvspserver connected from 127.0.0.1:3673
2003.04.24 15:18:03 LOG4[272:1148]: Cannot set SSL session id to most recent used
2003.04.24 15:18:03 LOG3[272:1148]: SSL_connect: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
ich find keinerlei informationen über diese fehlermessage
und hab keinen schimmer wo ich weitersuchen sollte
achja am server wurde ein zertifikat erzeugt - durch modifizieren der /tools/stunnel.cnf vor dem make
die stunnel.conf am server:
# Sample stunnel configuration file
# Copyright by Michal Trojnara 2002
# Comment it out on Win32
#cert = /usr/local/stunnel/current/conf/stunnel/mail.pem
chroot = /usr/local/stunnel/current/var/run/stunnel/
# PID is created inside chroot jail
pid = /stunnel.pid
#setuid = nobody
#setgid = nogroup
# Workaround for Eudora bug
#options = DONT_INSERT_EMPTY_FRAGMENTS
# Authentication stuff
#verify = 2
# don't forget about c_rehash CApath
# it is located inside chroot jail:
#CApath = /certs
# or simply use CAfile instead:
#CAfile = /usr/local/stunnel/current/conf/stunnel/stunnel.pem
cert = /usr/local/stunnel/current/conf/stunnel/stunnel.pem
# Some debugging stuff
#debug = 7
#output = stunnel.log
client = no
[cvspserver]
accept = 3233
#exec = /usr/local/bin/cvs
#execargs = cvs -f --allow-root=/home/cybernd/cvs/jXForms pserver
thx für hinweise irgendeiner art :o)
cybi
ich versuche gerade meinen cvspserver per stunnel abzusichern und muß dabei leider erkennen das ich klärglich scheitere
als client verwende ich stunnel 4.04 für windows + ssl lib 0.9.6g
die konfiguration: stunnel.conf:
---
client=yes
[cvspserver]
accept = 3233
connect = cybernd.at:3233
--
Am Server:
die xinetd.conf:
---
service cvspserver
{
port = 3233
socket_type = stream
protocol = tcp
user = cybernd
server = /usr/local/stunnel/current/sbin/stunnel
server_args = -l /usr/local/bin/cvs -f --allow-root=/home/cybernd/cvs/jXForms pserver
type = UNLISTED
wait = no
}
hierbei zu erwähnen: der ungesicherte cvs server funktioniert mit folgendem eintrag:
service cvspserver
{
port = 3233
socket_type = stream
protocol = tcp
user = cybernd
server = /usr/local/bin/cvs
server_args = -f --allow-root=/home/cybernd/cvs/jXForms pserver
type = UNLISTED
wait = no
}
----
alternativ habe ich versucht, die server_args in der xinetd.conf zu entfernen und anstelle dessen die stunnel.conf per exec und execargs zu konfigurieren
....
der /var/log/serviceLog entnehme ich das eine verbindung vom xinetd aufgebaut wird:
03/4/24@15:20:15: START: cvspserver pid=6646 from=ip
allerdings sind ab diesem zeitpunkt keine logs am server auffindbar, d.h. ich hab nicht den blassesten schimmer was schief geht
hier die fehlermessage im stunnel client unter win2k:
2003.04.24 15:18:03 LOG5[272:1148]: cvspserver connected from 127.0.0.1:3673
2003.04.24 15:18:03 LOG4[272:1148]: Cannot set SSL session id to most recent used
2003.04.24 15:18:03 LOG3[272:1148]: SSL_connect: 1408F10B: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number
ich find keinerlei informationen über diese fehlermessage
und hab keinen schimmer wo ich weitersuchen sollte
achja am server wurde ein zertifikat erzeugt - durch modifizieren der /tools/stunnel.cnf vor dem make
die stunnel.conf am server:
# Sample stunnel configuration file
# Copyright by Michal Trojnara 2002
# Comment it out on Win32
#cert = /usr/local/stunnel/current/conf/stunnel/mail.pem
chroot = /usr/local/stunnel/current/var/run/stunnel/
# PID is created inside chroot jail
pid = /stunnel.pid
#setuid = nobody
#setgid = nogroup
# Workaround for Eudora bug
#options = DONT_INSERT_EMPTY_FRAGMENTS
# Authentication stuff
#verify = 2
# don't forget about c_rehash CApath
# it is located inside chroot jail:
#CApath = /certs
# or simply use CAfile instead:
#CAfile = /usr/local/stunnel/current/conf/stunnel/stunnel.pem
cert = /usr/local/stunnel/current/conf/stunnel/stunnel.pem
# Some debugging stuff
#debug = 7
#output = stunnel.log
client = no
[cvspserver]
accept = 3233
#exec = /usr/local/bin/cvs
#execargs = cvs -f --allow-root=/home/cybernd/cvs/jXForms pserver
thx für hinweise irgendeiner art :o)
cybi