Sidebar

Zabbix Summit 2022
Register for Zabbix Summit 2022

1 Tipo de conexão ou problemas de permissão

O servidor está configurado para se conectar com o PSK ao agente, mas o agente aceita apenas conexões não criptografadas

No log do servidor ou proxy (com GnuTLS 3.3.16)

 Falha ao obter valor do agente: zbx_tls_connect(): gnutls_handshake() falhou: \
            -110 A conexão TLS foi finalizada incorretamente.

No log do servidor ou proxy (com OpenSSL 1.0.2c)

 Falha ao obter valor do agente: conexão TCP bem-sucedida, não é possível estabelecer TLS para [[127.0.0.1]:10050]: \
            Conexão fechada por peer. Verifique os tipos de conexão permitidos e os direitos de acesso

Um lado se conecta com o certificado, mas o outro lado aceita apenas PSK ou vice-versa

Em qualquer log (com GnuTLS):

 falhou ao aceitar uma conexão de entrada: de 127.0.0.1: zbx_tls_accept(): gnutls_handshake() falhou:\
            -21 Não foi possível negociar um conjunto de cifras suportado.

Em qualquer log (com OpenSSL 1.0.2c):

 falhou ao aceitar uma conexão de entrada: de 127.0.0.1: o handshake TLS retornou o código de erro 1:\
            arquivo .\ssl\s3_srvr.c linha 1411: erro:1408A0C1:rotinas SSL:ssl3_get_client_hello:nenhuma cifra compartilhada:\
            TLS escreve alerta fatal "falha de handshake"

Tentando usar o remetente Zabbix compilado com suporte a TLS para enviar dados para o servidor/proxy Zabbix compilado sem TLS

No log do lado da conexão:

Linux:

 ...Em zbx_tls_init_child()
        ...Biblioteca OpenSSL (versão OpenSSL 1.1.1 11 de setembro de 2018) inicializada
        ...
        ...Em zbx_tls_connect(): psk_identity:"PSK teste remetente"
        ...Fim do erro zbx_tls_connect():FAIL: 'conexão fechada por peer'
        ...send value error: TCP bem-sucedido, não é possível estabelecer TLS para [[localhost]:10051]: conexão fechada por peer

Janelas:

 ...Biblioteca OpenSSL (versão OpenSSL 1.1.1a 20 de novembro de 2018) inicializada
        ...
        ...Em zbx_tls_connect(): psk_identity:"PSK teste remetente"
        ...zbx_psk_client_cb() solicitou a identidade PSK "PSK teste remetente"
        ...Fim do erro zbx_tls_connect():FAIL: 'Erro de E/S SSL_connect(): [0x00000000] A operação foi concluída com êxito.'
        ...send value error: TCP bem-sucedido, não é possível estabelecer TLS para [[192.168.1.2]:10051]: SSL_connect() Erro de E/S: [0x00000000] A operação foi concluída com êxito.
No log do lado da aceitação:
 ... falhou ao aceitar uma conexão de entrada: de 127.0.0.1: suporte para TLS não foi compilado em

Um lado se conecta ao PSK, mas o outro lado usa LibreSSL ou foi compilado sem suporte de criptografia

LibreSSL não suporta PSK.

No log do lado da conexão:

 ...TCP bem-sucedido, não é possível estabelecer TLS para [[192.168.1.2]:10050]: SSL_connect() Erro de E/S: [0] Sucesso

No log do lado da aceitação:

 ...falha ao aceitar uma conexão de entrada: de 192.168.1.2: suporte para PSK não foi compilado em

Na interface do Zabbix:

 Falha ao obter valor do agente: TCP bem-sucedido, não é possível estabelecer TLS para [[192.168.1.2]:10050]: SSL_connect() Erro de E/S: [0] Sucesso

Um lado se conecta ao PSK, mas o outro lado usa OpenSSL com suporte a PSK desativado

No log do lado da conexão:

 ...TCP bem-sucedido, não é possível estabelecer TLS para [[192.168.1.2]:10050]: SSL_connect() definir código de resultado para SSL_ERROR_SSL: arquivo ../ssl/record/rec_layer_s3.c linha 1536: erro:14094410:Rotinas SSL: ssl3_read_bytes:sslv3 alert handshake failure: SSL alert number 40: TLS read fatal alert "handshake failure"

No log do lado da aceitação:

 ...falha ao aceitar uma conexão de entrada: de 192.168.1.2: código de resultado do conjunto de handshake TLS para 1: arquivo ssl/statem/statem_srvr.c linha 1422: erro:1417A0C1:SSL rotinas:tls_post_process_client_hello:no shared cipher: TLS write fatal alerta "falha no handshake"