Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Alexandertlt  
#1 Оставлено : 1 октября 2020 г. 10:02:10(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Добрый день.
Помогите пожалуйста разобраться, на чьей стороне проблема.
Ранее было настроено подключение как клиент. Через некоторое время соединение работать перестало. В логах видим отличие между удачным и неудачным соединением.
Удачное: s_connect: connecting 195.201.209.105:34430 (IP сервера)
Неудачное: s_connect: connecting 127.0.0.1:34430
Почему stunnel пытается соединиться с локалхостом? Настройки (скорее всего) не меняли.

Полный удачный лог:
2020.08.10 10:23:23 LOG7[main]: Found 1 ready file descriptor(s)
2020.08.10 10:23:23 LOG7[main]: FD=5 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[main]: FD=10 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[main]: FD=11 events=0x2001 revents=0x1
2020.08.10 10:23:23 LOG7[main]: FD=12 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[main]: FD=13 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[main]: FD=14 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[main]: FD=15 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[main]: FD=16 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[main]: Service [rn] accepted (FD=17) from 185.176.221.168:64595
2020.08.10 10:23:23 LOG7[2163]: Service [rn] started
2020.08.10 10:23:23 LOG7[2163]: Setting local socket options (FD=17)
2020.08.10 10:23:23 LOG7[2163]: Option TCP_NODELAY set on local socket
2020.08.10 10:23:23 LOG5[2163]: Service [rn] accepted connection from 185.176.221.168:64595
2020.08.10 10:23:23 LOG6[2163]: s_connect: connecting 195.201.209.105:34430
2020.08.10 10:23:23 LOG7[2163]: s_connect: s_poll_wait 195.201.209.105:34430: waiting 10 seconds
2020.08.10 10:23:23 LOG7[2163]: FD=7 events=0x2001 revents=0x0
2020.08.10 10:23:23 LOG7[2163]: FD=22 events=0x2005 revents=0x0
2020.08.10 10:23:23 LOG5[2163]: s_connect: connected 195.201.209.105:34430
2020.08.10 10:23:23 LOG5[2163]: Service [rn] connected remote server from 176.112.211.170:54362
2020.08.10 10:23:23 LOG7[2163]: Setting remote socket options (FD=22)
2020.08.10 10:23:23 LOG7[2163]: Option TCP_NODELAY set on remote socket
2020.08.10 10:23:23 LOG7[2163]: Remote descriptor (FD=22) initialized
2020.08.10 10:23:23 LOG6[2163]: SNI: sending servername: (dns сервера)
2020.08.10 10:23:23 LOG6[2163]: Peer certificate required
2020.08.10 10:23:23 LOG6[2163]: msspi: TLSv1.2 connected (FF85)
2020.08.10 10:23:25 LOG6[2163]: msspi: verify OK
2020.08.10 10:23:25 LOG6[2163]: TLS socket closed (read hangup)
2020.08.10 10:23:25 LOG6[2163]: TLS closed (SSL_read)
2020.08.10 10:23:25 LOG7[2163]: Sent socket write shutdown
2020.08.10 10:23:25 LOG5[2163]: Connection closed: 47 byte(s) sent to TLS, 505 byte(s) sent to socket
2020.08.10 10:23:25 LOG7[2163]: Remote descriptor (FD=22) closed
2020.08.10 10:23:25 LOG7[2163]: Local descriptor (FD=17) closed
2020.08.10 10:23:25 LOG7[2163]: Service [rn] finished (0 left)

Неудачный лог:
2020.08.13 09:11:42 LOG7[main]: Found 1 ready file descriptor(s)
2020.08.13 09:11:42 LOG7[main]: FD=5 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[main]: FD=10 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[main]: FD=11 events=0x2001 revents=0x1
2020.08.13 09:11:42 LOG7[main]: FD=12 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[main]: FD=13 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[main]: FD=14 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[main]: FD=15 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[main]: FD=16 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[main]: Service [rn] accepted (FD=17) from 185.176.221.168:65417
2020.08.13 09:11:42 LOG7[44]: Service [rn] started
2020.08.13 09:11:42 LOG7[44]: Setting local socket options (FD=17)
2020.08.13 09:11:42 LOG7[44]: Option TCP_NODELAY set on local socket
2020.08.13 09:11:42 LOG5[44]: Service [rn] accepted connection from 185.176.221.168:65417
2020.08.13 09:11:42 LOG6[44]: s_connect: connecting 127.0.0.1:34430
2020.08.13 09:11:42 LOG7[44]: s_connect: s_poll_wait 127.0.0.1:34430: waiting 10 seconds
2020.08.13 09:11:42 LOG7[44]: FD=7 events=0x2001 revents=0x0
2020.08.13 09:11:42 LOG7[44]: FD=19 events=0x2005 revents=0x0
2020.08.13 09:11:42 LOG3[44]: s_connect: connect 127.0.0.1:34430: Connection refused (111)
2020.08.13 09:11:42 LOG3[44]: No more addresses to connect
2020.08.13 09:11:42 LOG5[44]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2020.08.13 09:11:42 LOG7[44]: Local descriptor (FD=17) closed
2020.08.13 09:11:42 LOG7[44]: Service [rn] finished (0 left)

Секция настрое сервиса:
[rn]
client = yes
accept = 34431
connect = (dns сервера):34430
cert = b2fa287dc9462786087205d6e1c29d5e58774275
verify = 2

Отредактировано пользователем 1 октября 2020 г. 10:02:57(UTC)  | Причина: Не указана

Offline Alexandertlt  
#2 Оставлено : 1 октября 2020 г. 10:34:16(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Дополню.
Еще ранее по совету коллег из Крипро Про в hosts была сделана запись:
127.0.0.1 (dns имя сервера)

Это было сделано как способ решения проблемы подключения. К сожаленю я не очень понимаю, почему прописывание локального адреса тогда помогло.

Убрал эту запись.
Правильно, я понимаю что хост просто физически недоступен?
Лог:
2020.10.01 10:24:00 LOG7[main]: Found 1 ready file descriptor(s)
2020.10.01 10:24:00 LOG7[main]: FD=5 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=10 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=11 events=0x2001 revents=0x1
2020.10.01 10:24:00 LOG7[main]: FD=12 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=13 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=14 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=15 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=16 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: Service [rn] accepted (FD=4) from 195.46.192.66:64582
2020.10.01 10:24:00 LOG7[main]: Found 1 ready file descriptor(s)
2020.10.01 10:24:00 LOG7[main]: FD=5 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=10 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=11 events=0x2001 revents=0x1
2020.10.01 10:24:00 LOG7[main]: FD=12 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=13 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=14 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=15 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: FD=16 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[main]: Service [rn] accepted (FD=22) from 195.46.192.66:64583
2020.10.01 10:24:00 LOG7[26]: Service [rn] started
2020.10.01 10:24:00 LOG7[26]: Setting local socket options (FD=22)
2020.10.01 10:24:00 LOG7[26]: Option TCP_NODELAY set on local socket
2020.10.01 10:24:00 LOG5[26]: Service [rn] accepted connection from 195.46.192.66:64583
2020.10.01 10:24:00 LOG6[26]: s_connect: connecting 195.201.209.105:34430
2020.10.01 10:24:00 LOG7[26]: s_connect: s_poll_wait 195.201.209.105:34430: waiting 10 seconds
2020.10.01 10:24:00 LOG7[26]: FD=7 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[26]: FD=23 events=0x2005 revents=0x0
2020.10.01 10:24:00 LOG7[25]: Service [rn] started
2020.10.01 10:24:00 LOG7[25]: Setting local socket options (FD=4)
2020.10.01 10:24:00 LOG7[25]: Option TCP_NODELAY set on local socket
2020.10.01 10:24:00 LOG5[25]: Service [rn] accepted connection from 195.46.192.66:64582
2020.10.01 10:24:00 LOG6[25]: s_connect: connecting 195.201.209.105:34430
2020.10.01 10:24:00 LOG7[25]: s_connect: s_poll_wait 195.201.209.105:34430: waiting 10 seconds
2020.10.01 10:24:00 LOG7[25]: FD=7 events=0x2001 revents=0x0
2020.10.01 10:24:00 LOG7[25]: FD=24 events=0x2005 revents=0x0
2020.10.01 10:24:10 LOG3[26]: s_connect: s_poll_wait 195.201.209.105:34430: TIMEOUTconnect exceeded
2020.10.01 10:24:10 LOG3[26]: No more addresses to connect
2020.10.01 10:24:10 LOG5[26]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2020.10.01 10:24:10 LOG7[26]: Local descriptor (FD=22) closed
2020.10.01 10:24:10 LOG7[26]: Service [rn] finished (1 left)
2020.10.01 10:24:10 LOG3[25]: s_connect: s_poll_wait 195.201.209.105:34430: TIMEOUTconnect exceeded
2020.10.01 10:24:10 LOG3[25]: No more addresses to connect
2020.10.01 10:24:10 LOG5[25]: Connection reset: 0 byte(s) sent to TLS, 0 byte(s) sent to socket
2020.10.01 10:24:10 LOG7[25]: Local descriptor (FD=4) closed
2020.10.01 10:24:10 LOG7[25]: Service [rn] finished (0 left)
Online pd  
#3 Оставлено : 1 октября 2020 г. 11:20:27(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,440
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 410 раз в 305 постах
Автор: Alexandertlt Перейти к цитате
Добрый день.
Помогите пожалуйста разобраться, на чьей стороне проблема.
Ранее было настроено подключение как клиент. Через некоторое время соединение работать перестало. В логах видим отличие между удачным и неудачным соединением.
Удачное: s_connect: connecting 195.201.209.105:34430 (IP сервера)
Неудачное: s_connect: connecting 127.0.0.1:34430
Почему stunnel пытается соединиться с локалхостом?

Исключить проблемы с DNS можно явным прописыванием IP-адреса вместо DNS-имени и добавлением имени хоста в опцию checkHost = DNS-имя, чтобы проверка соответствия имени и сертификата всё же проводилась.
Знания в базе знаний, поддержка в техподдержке
Offline Alexandertlt  
#4 Оставлено : 1 октября 2020 г. 13:48:05(UTC)
Alexandertlt

Статус: Участник

Группы: Участники
Зарегистрирован: 06.12.2019(UTC)
Сообщений: 13
Российская Федерация
Откуда: Tolyatti

Сказал(а) «Спасибо»: 1 раз
Заменил имя на IP.
Вот такая конфигурация:
[rncb]
client = yes
accept = 34431
connect = 195.201.209.105:34430
checkHost = (dns-имя)
cert = b2fa287dc9462786087205d6e1c29d5e58774275
verify = 2

При перезапуске получаю ошибку:
service stunnel-msspi restart
Restarting stunnel-msspi (via systemctl): Job for stunnel-msspi.service failed because the control process exited with error code. See "systemctl status stunnel-msspi.service" and "journalctl -xe" for details.
[FAILED]

Статус сервиса показал:
status stunnel-msspi.service
● stunnel-msspi.service - SYSV: Secure Tunnel
Loaded: loaded (/etc/rc.d/init.d/stunnel-msspi; bad; vendor preset: disabled)
Active: failed (Result: exit-code) since Thu 2020-10-01 13:31:36 MSK; 7s ago
Docs: man:systemd-sysv-generator(8)
Process: 447 ExecStop=/etc/rc.d/init.d/stunnel-msspi stop (code=exited, status=0/SUCCESS)
Process: 469 ExecStart=/etc/rc.d/init.d/stunnel-msspi start (code=exited, status=1/FAILURE)

Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [ ] TLS options: 0x03000004 (+0x00000000, -0x00000000)
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [:] Service [justsign.me] uses "verifyChain" without subject checks
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [:] Rebuild your stunnel against OpenSSL version 1.0.2 or higher
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [:] Use "checkHost" or "checkIP" to restrict trusted certificates
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [!] /etc/stunnel/stunnel.conf:20: "checkHost = dss.uc.rncb.r...here
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [ ] Deallocating section defaults
Oct 01 13:31:36 vm133542.local systemd[1]: stunnel-msspi.service: control process exited, code=exited status=1
Oct 01 13:31:36 vm133542.local systemd[1]: Failed to start SYSV: Secure Tunnel.
Oct 01 13:31:36 vm133542.local systemd[1]: Unit stunnel-msspi.service entered failed state.
Oct 01 13:31:36 vm133542.local systemd[1]: stunnel-msspi.service failed.
Hint: Some lines were ellipsized, use -l to show in full.
Online pd  
#5 Оставлено : 1 октября 2020 г. 16:23:12(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,440
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 410 раз в 305 постах
Автор: Alexandertlt Перейти к цитате
Заменил имя на IP.
Вот такая конфигурация:
[rncb]
client = yes
accept = 34431
connect = 195.201.209.105:34430
checkHost = (dns-имя)
cert = b2fa287dc9462786087205d6e1c29d5e58774275
verify = 2

При перезапуске получаю ошибку:
service stunnel-msspi restart
Restarting stunnel-msspi (via systemctl): Job for stunnel-msspi.service failed because the control process exited with error code. See "systemctl status stunnel-msspi.service" and "journalctl -xe" for details.
[FAILED]

Статус сервиса показал:
status stunnel-msspi.service
● stunnel-msspi.service - SYSV: Secure Tunnel
Loaded: loaded (/etc/rc.d/init.d/stunnel-msspi; bad; vendor preset: disabled)
Active: failed (Result: exit-code) since Thu 2020-10-01 13:31:36 MSK; 7s ago
Docs: man:systemd-sysv-generator(8)
Process: 447 ExecStop=/etc/rc.d/init.d/stunnel-msspi stop (code=exited, status=0/SUCCESS)
Process: 469 ExecStart=/etc/rc.d/init.d/stunnel-msspi start (code=exited, status=1/FAILURE)

Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [ ] TLS options: 0x03000004 (+0x00000000, -0x00000000)
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [:] Service [justsign.me] uses "verifyChain" without subject checks
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [:] Rebuild your stunnel against OpenSSL version 1.0.2 or higher
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [:] Use "checkHost" or "checkIP" to restrict trusted certificates
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [!] /etc/stunnel/stunnel.conf:20: "checkHost = dss.uc.rncb.r...here
Oct 01 13:31:36 vm133542.local stunnel-msspi[469]: [ ] Deallocating section defaults
Oct 01 13:31:36 vm133542.local systemd[1]: stunnel-msspi.service: control process exited, code=exited status=1
Oct 01 13:31:36 vm133542.local systemd[1]: Failed to start SYSV: Secure Tunnel.
Oct 01 13:31:36 vm133542.local systemd[1]: Unit stunnel-msspi.service entered failed state.
Oct 01 13:31:36 vm133542.local systemd[1]: stunnel-msspi.service failed.
Hint: Some lines were ellipsized, use -l to show in full.

При подобных проблемах, попробуйте сначала обновить версию: https://github.com/deemru/stunnel/releases/latest
Знания в базе знаний, поддержка в техподдержке
Offline Eugene174ru  
#6 Оставлено : 23 июня 2021 г. 8:26:22(UTC)
Eugene174ru

Статус: Новичок

Группы: Участники
Зарегистрирован: 11.06.2021(UTC)
Сообщений: 8
Российская Федерация

Добрый день.

Подскажите - можно ли использовать stunnel-msspi для подключения к сайтам через ГОСТ-TLS из браузеров не поддерживающих ГОСТ ?
Самостоятельно не получилось реализовать данную задачу.
Конфиг использовался такой:

[example-proxy]
client = yes
accept = 127.0.0.1:8080
connect = gost.cryptopro.ru:443
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.