Zabbix Documentation 4.4

3.04.04.4 (current)| In development:5.0 (devel)| Unsupported:1.82.02.22.43.23.44.2Guidelines

User Tools

Site Tools


Sidebar

ru:manual:encryption:troubleshooting:connection_permission_problems

1 Проблемы с типом подключения или правами

Сервер настроен на подключение с использованием PSK к агенту, но агент принимает только незашифрованные соединения

В журнале сервера или прокси (с mbed TLS (PolarSSL) 1.3.11)

Get value from agent failed: ssl_handshake(): SSL - The connection indicated an EOF

В журнале сервера или прокси (с GnuTLS 3.3.16)

Get value from agent failed: zbx_tls_connect(): gnutls_handshake() failed: \
    -110 The TLS connection was non-properly terminated.

В журнале сервера или прокси (с OpenSSL 1.0.2c)

Get value from agent failed: TCP connection successful, cannot establish TLS to [[127.0.0.1]:10050]: \
    Connection closed by peer. Check allowed connection types and access rights

Одна сторона подключается с использованием сертификата, но другая сторона принимает только PSK и наоборот

В любом журнале (с mbed TLS (PolarSSL)):

failed to accept an incoming connection: from 127.0.0.1: ssl_handshake():\
    SSL - The server has no ciphersuites in common with the client

В любом журнале (с GnuTLS):

failed to accept an incoming connection: from 127.0.0.1: zbx_tls_accept(): gnutls_handshake() failed:\
    -21 Could not negotiate a supported cipher suite.

В любом журнале (с OpenSSL 1.0.2c):

failed to accept an incoming connection: from 127.0.0.1: TLS handshake returned error code 1:\
    file .\ssl\s3_srvr.c line 1411: error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher:\
    TLS write fatal alert "handshake failure"

Попытка использования Zabbix sender скомпилированного с поддержкой TLS для отправки данных на Zabbix сервер/прокси скомпилированным без TLS

В журнале инициатора подключения:

Linux:

...In zbx_tls_init_child()
...OpenSSL library (version OpenSSL 1.1.1  11 Sep 2018) initialized
...
...In zbx_tls_connect(): psk_identity:"PSK test sender"
...End of zbx_tls_connect():FAIL error:'connection closed by peer'
...send value error: TCP successful, cannot establish TLS to [[localhost]:10051]: connection closed by peer

Windows:

...OpenSSL library (version OpenSSL 1.1.1a  20 Nov 2018) initialized
...
...In zbx_tls_connect(): psk_identity:"PSK test sender"
...zbx_psk_client_cb() requested PSK identity "PSK test sender"
...End of zbx_tls_connect():FAIL error:'SSL_connect() I/O error: [0x00000000] The operation completed successfully.'
...send value error: TCP successful, cannot establish TLS to [[192.168.1.2]:10051]: SSL_connect() I/O error: [0x00000000] The operation completed successfully.
В журнале принимающего соединение:
...failed to accept an incoming connection: from 127.0.0.1: support for TLS was not compiled in

Одна сторона подключается с PSK, но другая использует LibreSSL или не скомпилирована с поддержкой шифрования

LibreSSL не поддерживает PSK.

В журнале инициатора подключения:

...TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() I/O error: [0] Success

В журнале принимающего соединение:

...failed to accept an incoming connection: from 192.168.1.2: support for PSK was not compiled in

В Zabbix веб-интерфейсе:

Get value from agent failed: TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() I/O error: [0] Success

Одна сторона подключается с PSK, но другая использует OpenSSL с отключенной поддержкой PSK

В журнале инициатора подключения:

...TCP successful, cannot establish TLS to [[192.168.1.2]:10050]: SSL_connect() set result code to SSL_ERROR_SSL: file ../ssl/record/rec_layer_s3.c line 1536: error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure: SSL alert number 40: TLS read fatal alert "handshake failure"

В журнале принимающего соединение:

...failed to accept an incoming connection: from 192.168.1.2: TLS handshake set result code to 1: file ssl/statem/statem_srvr.c line 1422: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher: TLS write fatal alert "handshake failure"