înregistrare Logare
Puncte:0
GJE avatar Server

DHCP Kea High Availability prin TLS nu funcționează

drapel km
GJE

Am instalat 2 servere Kea 2.0.1 în mașina virtuală Debian 10 Buster în Virtual Box 6.1.26 r145957 (Qt5.6.2) și, de asemenea, în VMware Workstation Player 16.1.2 build-17966106. Disponibilitatea ridicată fără TLS funcționează bine și am a fost trimis la manualul de referință al administratorului kea pentru configurațiile kea-dhcp4 și kea-ca(agent de control) (https://kea.readthedocs.io/en/kea-2.0.1/arm/intro.html).

Jurnalele HA fără TLS

Când încerc să-l configurez cu TLS, dă următoarea eroare de strângere de mână TLS.

2022-02-07 10:38:22.970 DEBUG [kea-ctrl-agent.http/4703.140102598186880] HTTP_CONNECTION_HANDSHAKE_START porniți handshake TLS cu 192.168.0.20 cu timeout [timeout:-FO0272102:-FO0272102:-FO0272102:-FO0272102: .HTTP/4703.140102598186880] HTTP_CONNECTION_HANDSHAKE_FAILED TLS BUSSSHAKE cu 192.168.0.20 Eșuat cu solicitarea HTTP 2022-02-07 10: 38: 23.972 Debug [KEA-CTRL-AGENT.HTTP/47.03.140101

Pentru a configura conexiunea tls, am creat o autoritate de certificare cu certificat autosemnat și un server DNS bind9.În ceea ce privește crearea certificatelor TLS cu nume alternative de subiect setate la numele dns și adresa IP, am fost referit la /kea-2.0.1/src/lib/asiolink/testutils/ca/doc.txt.

  (Creează un certificat autosemnat de CA)
$sudo openssl genrsa -aes128 -out kea-ca.key 4096
$sudo openssl req -new -x509 -days 3650 -key kea-ca.key -out kea-ca.crt -extensions v3_ca -config server-conf.cnf


  (Certificat de server Kea)
$sudo openssl genrsa -aes128 -out kea-server-aes.key 2048
$sudo openssl pkcs8 -in kea-server-aes.key -out kea-server.key -nocrypt
$sudo rm kea-server-aes.key (cheia privată a serverului trebuie să fie necriptată)
$sudo openssl req -new -key kea-server.key -out kea-server-addr.csr -config server-addr-conf.cnf
$sudo openssl x509 -req -days 3650 -in kea-server-addr.csr -CA kea-ca.crt -CAkey kea-ca.key -set_serial 30 -out kea-server-addr.crt -extfile ext-addr- conf.cnf -sha256

 (Utilizați c_rehash sau openssl rehash pentru a crea hashuri)

$sudo openssl rehash .

Pentru a depana, am încercat următoarele:

  1. Capturarea pachetelor de date cu wireshark (introduceți descrierea imaginii aici)- După trimiterea unui mesaj de bătăi inimii pentru sincronizare cu alt peer, ceva nu merge bine și conexiunea tcp se termină imediat. captură wireshark
  2. Trimiterea unui răsuci POST la agentul de control kea funcționează cu succes. răspuns http
  3. Testarea certificatelor kea cu verifica openssl instrument așa cum este descris în openssl verifica-totul pare a fi ok. verifica openssl
  4. Depanare cu conexiunea tls cu openssl s_client -showcerts.

Deoarece rezultatul erorii nu ajută prea mult, am vrut să întreb dacă cineva are experiență în legătură cu această problemă sau probleme comparabile.

42
0 + 0
GJE avatar
drapel km
GJE
Am gasit in sfarsit solutia. În configurațiile kea dhcp4 ha trust-anchor, cert-file, key-file trebuie să fie definite în nivel global sau peer, iar URL-ul trebuie să fie în https.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.