1 Temat przez cineks

  • cineks
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-01-09
  • Posty: 54

Temat: Stunnel

Witam,
nie mogę uruchomić program stunnel,
konfiguracja wygląda tak:

; Drop privileges
;setuid = nobody
;setgid = nogroup

; When running under procd, stay in foreground
;foreground = yes

; Don't log to stderr, use syslog
;syslog = yes
output = /home/log/stunnel.log
pid = /tmp/stunnel.pid
sslVersion = all
; 1-7. Use 7 for greatest verbosity
debug = 7
;cert = /etc/stunnel/stunnel.pem
; Starting here, enter your services or uncomment the examples

; Example:
; If your local httpd does not support HTTPS, use stunnel in remote
; mode to forward TLS connections coming in on port 443 to non-TLS
; on port 80.
; Make sure that the cert is available.
[openvpn]
accept = 1443
connect = 11194
cert = /etc/stunnel/stunnel.pem

certyfikat wygenerowany wg poradnika na http://eko.one.pl/?p=openwrt-stunnel
po uruchomieniu dostaje :
"Segmentation fault"

md5sum mam takie
2539ccaf517ef070bacb4aa9a8f72d96  /usr/bin/stunnel

może ktoś przetestować tą konfiguracje?
podesłać binarkę/ konfigurację działającą ?

próby odinstalowania i ponownej instalacji nie pomagają
i nie wiem gdzie błąd.
OpenWrt Chaos Calmer 15.05.1 (r49294)                        |
Build time: 2016-05-06 14:36 CEST
Cezary Jackiewicz (obsy), http://eko.one.pl

pozdrawiam

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 115,895

Odp: Stunnel

Wykłada się sam program. Zgłoś to na https://github.com/openwrt/packages/issues

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez cineks

  • cineks
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-01-09
  • Posty: 54

Odp: Stunnel

zgłosiłem,
łamanym angielskim, ale zgłosiłem smile

pozdrawiam

4 Odpowiedź przez mar_w (edytowany przez mar_w 2016-06-22 01:35:07)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Stunnel

cineks napisał/a:

......
i nie wiem gdzie błąd.
...
pozdrawiam

Nie chwaląc się, ale ja wiem smile
Kolega po prostu nie czyta komunikatów, w których stunnel aż Cię błaga żebyś zaktualizował openssl. Dowód:

root@OpenWrt:~# stunnel -version
[.] stunnel 5.14 on mips-openwrt-linux-gnu platform
[.] Compiled with OpenSSL 1.0.2d 9 Jul 2015
[.] Running  with OpenSSL 1.0.2g  1 Mar 2016
[.] Update OpenSSL shared libraries or rebuild stunnel
.....

Jeżeli teraz skompilujesz sobie samemu stunnel to będzie on skompilowany w wersji openssl 1.0.2h.
Ale paczki w repozytoriach są w wersji 1.0.2g i znowu d..a więc musisz jeszcze skompilować sobie libopenssl w wersji 1.0.2h.

A to logi z działającego stunnela:

root@OpenWrt:~# stunnel -version
stunnel 5.14 on mips-openwrt-linux-gnu platform
Compiled/running with OpenSSL 1.0.2h  3 May 2016
Threading:FORK Sockets:POLL,IPv6 TLS:ENGINE,FIPS,OCSP,PSK,SNI

root@OpenWrt:~# ps w | grep stunnel
 1941 nobody    3020 S    /usr/bin/stunnel /etc/stunnel/stunnel.conf
 2106 root      1360 S    grep stunnel

root@OpenWrt:~# logread
...
Tue Jun 21 23:58:46 2016 daemon.notice stunnel: LOG5[ui]: Reading configuration from file /etc/stunnel/stunnel.conf
Tue Jun 21 23:58:46 2016 daemon.notice stunnel: LOG5[ui]: UTF-8 byte order mark not detected
Tue Jun 21 23:58:46 2016 daemon.notice stunnel: LOG5[ui]: FIPS mode disabled
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: Compression disabled
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: PRNG seeded successfully
Tue Jun 21 23:58:46 2016 daemon.info stunnel: LOG6[ui]: Initializing service [httpd]
Tue Jun 21 23:58:46 2016 daemon.info stunnel: LOG6[ui]: Loading certificate from file: /etc/stunnel/stunnel.pem
Tue Jun 21 23:58:46 2016 daemon.info stunnel: LOG6[ui]: Loading key from file: /etc/stunnel/stunnel.pem
Tue Jun 21 23:58:46 2016 daemon.warn stunnel: LOG4[ui]: Insecure file permissions on /etc/stunnel/stunnel.pem
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: Private key check succeeded
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: DH initialization
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: Could not load DH parameters from /etc/stunnel/stunnel.pem
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: Using hardcoded DH parameters
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: DH initialized with 2048-bit key
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: ECDH initialization
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: ECDH initialized with curve prime256v1
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: SSL options: 0x03000004 (+0x03000000, -0x00000000)
Tue Jun 21 23:58:46 2016 daemon.notice stunnel: LOG5[ui]: Configuration successful
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: Listening file descriptor created (FD=7)
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: Service [httpd] (FD=7) bound to 0.0.0.0:443
Tue Jun 21 23:58:46 2016 daemon.debug stunnel: LOG7[ui]: No pid file being created

root@OpenWrt:~# md5sum /usr/bin/stunnel 
0b80e95c74e38c3a62749be18becc5a8  /usr/bin/stunnel

Reasumując.  Nie napisałeś jaką masz architekturę, bo ja mam paczki dla ar71xx....
stunnel-CC.15.05.ar71xx.zip
http://przeklej.org/file/KtbQBw/stunnel … ar71xx.zip
$ md5sum stunnel-CC.15.05.ar71xx.zip
0e42fc85c82a4e189291c80de374ce2e  stunnel-CC.15.05.ar71xx.zip

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

5 Odpowiedź przez cineks

  • cineks
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-01-09
  • Posty: 54

Odp: Stunnel

Na początek dzięki,
Faktycznie nie podałem architektury -  ar71xx - ruter WDR3600.
Nie sądziłem, że wersja biblioteki openssl ma znaczenie.
Dziwne, że stunnel w repo jest kompilowany z inną biblblioteką, niż jest ona dostępna w repo.
Na tą chwilę używam binarki z BB i starego certyfikatu.

6 Odpowiedź przez mar_w

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Stunnel

być może nikt nie skojarzył, że to jest tak silnie powiązane ze sobą. Jakby zmieniła sie wersja stunnel-a z 5.14 na 5.3X to z automatu odpowiednie zmiany zostały by poczynione. A tak, to nikt nie kompilował "nowszej" wersji 5.14 skoro już jest 5.14. W zależnościach jest mowa o libopenssl i tylko tyle.... więc każdy to miał w systemie.
chyba że coś przeoczyłem...

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

7 Odpowiedź przez cineks

  • cineks
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-01-09
  • Posty: 54

Odp: Stunnel

Cześć,
@mar_w mogę prosić byś zrobił jeszcze raz działającą paczkę z stunnel
libopenssl  1.0.2j
ar71xx - ruter WDR3600
OpenWrt Chaos Calmer 15.05.1 (r49474)

Niestety, Twoja poprzednia wersja nie chce działać z najnowszym wypustem Cezarego.
Często wyjeżdżam na daleki wschód i sam "openvpn" jest tam dzielnie i skutecznie blokowany przez Wielki Firewall,
natomiast w parze z stunnelem działa dobrze. 
Jest to dla mnie ważne.
Ewentualnie prosiłbym o jakiś substytut tego rozwiązania dostępny w openwrt.
pozdrawiam

8 Odpowiedź przez mar_w (edytowany przez mar_w 2016-12-03 19:35:49)

  • mar_w
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2014-08-16
  • Posty: 2,124

Odp: Stunnel

https://www.easypaste.org/file/qg7DkVTE … ip?lang=en
md5sum stunnel.ar71xx.CC.zip
151aa9a3bc09a0602229fbe2aecd3532  stunnel.ar71xx.CC.zip

Xiaomi AX3000T @ Netgear R6220
* DVBT2 - T230C *

9 Odpowiedź przez cineks

  • cineks
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2015-01-09
  • Posty: 54

Odp: Stunnel

Wielkie, wielkie dzięki.
działa tak jak trzeba.

Już się wziąłem za kompilacje całego openwrt, ale coś mi się wysypuje,
zapewne coś z zależnościami, których nie ogarniam.
Poszukam jakiegoś działającego konfiga i spróbuje sam.
W każdym bądź razie jeszcze raz, wielkie dzięki.
pozdrawiam