Freetz mit stunnel

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
R

rcb

Mitglied
Mitglied seit
10 Aug 2007
Beiträge
227
Punkte für Reaktionen
0
Punkte
0
Hallo

ich habe vor ein paar Tagen per ftp mein Router von DSMOD 15.2 auf Freetz 2170 geflasht (mtd1) was auch geklappt. Nun sind teilweise Einstellung doppelt oder anders vorhanden in TFFS gespeichert so auch die Einstellung von stunnel.
Habe die Reste aus dem DSMOD entfernt.
Mein Problem mit stunnel:

Meim DSMOD lief in Dienste bearbeiten stunnel so

Code: 
[mymailserver SMTPS-TLS]
accept = 127.0.0.1:25
connect = mymail.de:25
delay = yes
sslVersion = TLSv1
protocol = smtp

[dyndns.org HTTPS]
accept = 127.0.0.1:9101
connect = my.dyndns.org:443
delay = yes

[dsmod_web]
cert = /tmp/stunnel-key.pem
client = no
accept = 443
connect = 81

[fritzbox_web]
cert = /tmp/stunnel-key.pem
client = no
accept = 6000
connect = 80

[WoL_web]
cert = /tmp/stunnel-key.pem
client = no
accept = 60001
connect = 82
Die datei ist in flash/stunnel_clsvcs vorhanden.

Das ganze hatte ich nach der Wikki so über nommen was auch lief.
weil das cert in der debug.cfg ausgeführt worden ist.

So nun ist es bei Freetz anders dort gibt es ein noch zusätzlich aufgeteilte Zertifikats-Kette bearbeiten und Privaten Schlüssel bearbeiten.

Wo man die Cert und Key extra eintragen kann.Was ich eigendlich nicht will, weil das cert in debung.cfg ausgeführt wird.
es wird eine /tmp/stunnel-key.pem angelegt.

Leider läuft das mit stunnel unter freetz nicht so, es kommt beim start ein failed und diese Meldung:
Starting stunnel...2000.01.01 01:01:04 LOG7[910:1024]: RAND_status claims sufficient entropy for the PRNG
2000.01.01 01:01:04 LOG7[910:1024]: PRNG seeded successfully
2000.01.01 01:01:04 LOG7[910:1024]: Configuration SSL options: 0x00000FFF
2000.01.01 01:01:04 LOG7[910:1024]: SSL options set: 0x00000FFF
2000.01.01 01:01:04 LOG7[910:1024]: SSL context initialized for service stunnel
inetd mode must define a remote host or an executable
Zum Vergrößern anklicken....
Wie muss ich in Stunnel-Dienste vorgehen damit ich eine Verschlüsselung aufbauen kann die dann etwa so aussieht?

Code: 
[dsmod_web]
cert = für cert und key von freetz
client = no
accept = 443
connect = 81
Wieso läuft stunnel nicht mehr über debug.cfg das ein cert = /tmp/stunnel-key.pem angelegt wird?

Sonst was muss ich eintragen in der stunnel_clsvcs damit die Verschlüsselung laufen?

PS: In stunnel_clsvcs läuft eintrag 1 und 2 noch ohne Probleme.

Update 1:53 UHR: Ich habe esjetzt mal so gemacht:
Code: 
[freetz_web]
client = no
accept = 443
connect = 81
key = /tmp/flash/.stunnel/key.pem
cert = /tmp/flash/.stunnel/certs.pem
Es scheint zu laufen :) schade das es nicht mehr mit debug.cfg geht oder doch? Kann mir ein dazu was sagen?
 
Zuletzt bearbeitet:
Moin.
1.
inetd mode must define a remote host or an executable
Zum Vergrößern anklicken....
Wo kommt das denn her? Ist das der stunnel-Aufruf von Freetz oder aus deiner debug.cfg?
2. Zu dem Fehler mit key.pem und certs.pem gab es ja ein Ticket. Da hab ich was geändert. Könnte das damit zusammenhängen?
3. Was steht denn so in deiner debug.cfg?

MfG Oliver
 
Wo kommt das denn her? Ist das der stunnel-Aufruf von Freetz oder aus deiner debug.cfg?
Zum Vergrößern anklicken....

Könnte evtl von der debug.cfg kommen:confused:

Was steht denn so in deiner debug.cfg?
Zum Vergrößern anklicken....

Eigendlich nur das der Schlüssel in tem erzeugt wird und nach tmp kopiert wird.

Code: 
cat << EOF_CERT > /tmp/stunnel-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDiVck4tM1akdjMUUPE8FlNZYCRcHDAmctef3U/Hkb7Sij5vmUe
fdgfgdgdgdfgfgh ........................................................................................................................
A7IdZU=
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIICczCCAdwCAQAwDQYJKoZIhvcNAQEEBQAwgYExCzAJBgNVBAYTAmRlMREwDwYD
V..................................................................................
SWYSsxyFFfxd0/KK1bAd
jXvYtp/xtg==
-----END CERTIFICATE-----
EOF_CERT
chmod 600 /tmp/stunnel-key.pem

Schlüssel Key und cerft habe ich hier mit Text gekürtz.

Es wird noch in tmp der key angelegt. Dann sollte es so nicht mehr unter freetz laufen?
 
rcb schrieb:
Update 1:53 UHR: Ich habe esjetzt mal so gemacht:
[...]
Zum Vergrößern anklicken....

Genauso ist der Standard und so wird es ja auch direkt in der Oberfläche beschrieben. Über die Einstellungen kann man bequem die Public und Private Keys anlegen, die dann unter "/tmp/flash/.stunnel/certs.pem" btw. "/tmp/flash/.stunnel/key.pem" zu finden sind.

Wenn du eigene Zertifikat-Dateien verwenden willst, ist das kein Problem ! Wie heisst es so schön: RTFM ;)

http://www.stunnel.org/faq/stunnel.html#configuration_file

Also z.B.

Code: 
[freetz_web]
client = no
accept = 443
connect = 81
key = /tmp/stunnel-key.pem
cert = /tmp/stunnel-key.pem
 
Das habe ich auch so jetzt am laufen. Nur vorher hatte ich es wie in der wikki von alex beschrieben gemacht weil icch den dsmod hatte. Hbae aber nicht gedacht wenn man update auf freetz das es dann zu problemen kommen.
Weil evtl die die Einstellung von der debug.cfg übernimmt.
 
Dein Problem ist also gelöst und du wolltest darauf Hinweisen, dass man beim Update von dsmod -> Freetz die Konfiguration von stunnel anpassen muss?

MfG Oliver
 
Ja und nicht nur das sondern von pptpd und openvpn.

Ich habe die alten Daten reste aus meine Box entfernt und angepasst weil mir sonst bei modsave too big bekommen habe und den wert will ich ja auch nicht zu hoch setzt.

Bis wie hoch darf er über haupt stehen damit der Speicher nicht überläuft?
 
Hallo,
ich muss noch mal das Thema hervor heben. Denn ich habe eine Problem mit push-service Email zustellung was ich vorher unter DS-Mod nicht hatte und die einstellung in stunnel stunnel_svcs
sind die selben geblieben. Es kommt in syslog
Code: 
E-Mail-Zustellung gescheitert. SMTP-Server meldet: "553 sorry, that domain isn't in my list of allowed rcpthosts; no valid cert for gatewaying (#5.7.1)".
OK ich weiss was die Meldung mir sagen will.

Code: 
E-Mail-Zustellung gescheitert. SMTP-Server meldet: "553 sorry, das der Domain Name ist nicht auf Liste der erlaubten rcpthosts; kein gültiges Zertifikat für weiterleitung (# 5.7.1)".
Die Einstellung habe ich in der stunnel_svcs so übernommen oder sehen so aus.:
Code: 
[mymailserver SMTPS-TLS]
accept = 127.0.0.1:25
connect = mymailserver.org:25
delay = yes
sslVersion = TLSv1
protocol = smtp
Anschließend muss man noch bei der Fritz!Box die Einträge für den Push-Service und die Dyndns Updates anpassen.
- Push-Service:
SMTP-Server "Benutzerdefiniert"
Name des SMTP-Servers "127.0.0.1"
Zum Vergrößern anklicken....
Anleitung sonst hier

Frage kommt stunnel nicht mehr mit TLSv1 Zertifikaten zurecht und was hat das mit den rcpthosts auf sich hat das stunnel sich jetzt extra Authentifizierung muss und das nicht klappt?


Update:In der Syslog unter Freetz steht dies drin:
Code: 
May 21 04:39:04 fritz daemon.err stunnel: LOG3[3136:4936706]: SSL_read: Connection reset by peer (131)
May 21 04:39:04 fritz user.err mailer[3133]: SMTP-Session to ISP terminated unexpectly!!! (State=13)
May 21 04:39:04 fritz user.err mailer[3133]: free_mailer: error_code = 4096
May 21 04:39:04 fritz user.info mailer[3133]: EVENT(214): E-Mail-Zustellung gescheitert: Interner Fehler.
May 21 04:41:51 fritz user.err ctlmgr[517]: pushmail: show userstat=0

mmh damit komme ich leider nicht klar?
 
Zuletzt bearbeitet:
rcb schrieb:
Code: 
E-Mail-Zustellung gescheitert. SMTP-Server meldet: "553 sorry, das der Domain Name ist nicht auf Liste der erlaubten rcpthosts; kein gültiges Zertifikat für weiterleitung (# 5.7.1)".
Die Einstellung habe ich in der stunnel_svcs so übernommen oder sehen so aus.:
[...]
Zum Vergrößern anklicken....

Also wenn du alles so konfiguriert hast, wie beschrieben, ist alles i.O. auf Client-Seite.

Wie du aber selbst gesehen hast, meldet dir dein Mail-Server einen Fehler. Das ist also kein Problem von Stunnel !
Genauer gesagt verbietet dir der Server das Relayen. Vermutlich hast du im Push-Service eine falsche Absender-Adresse eingetragen oder du versendest an eine Domain-fremde E-Mail-Adresse über den SMTP-Server.

Wenn du bspw. den GMX SMTP-Mailserver eintragen willst, dann verwende im Push-Service auch deine GMX Absender-Adresse.

Ansonsten empfehl ich dir mal Google mit Stichwörtern wie "553 rcpthosts relay" zu bemühen.
 
Lässt man bei mail.gmx.net das Protokoll smtp weg, funktioniert alles einwandfrei.

Wollte das nur mal kurz hier anfügen, da ich erst kürzlich das gleiche Problem hatte!
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 695 (Mitglieder: 39, Gäste: 656)

Neueste Beiträge

Statistik des Forums

Themen
246,308
Beiträge
2,249,823
Mitglieder
373,915
Neuestes Mitglied
sunburstc
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück