Freetz mit stunnel

[rcb]

Hallo

ich habe vor ein paar Tagen per ftp mein Router von DSMOD 15.2 auf Freetz 2170 geflasht (mtd1) was auch geklappt. Nun sind teilweise Einstellung doppelt oder anders vorhanden in TFFS gespeichert so auch die Einstellung von stunnel.
Habe die Reste aus dem DSMOD entfernt.
Mein Problem mit stunnel:

Meim DSMOD lief in Dienste bearbeiten stunnel so

Code:

[mymailserver SMTPS-TLS]
accept = 127.0.0.1:25
connect = mymail.de:25
delay = yes
sslVersion = TLSv1
protocol = smtp

[dyndns.org HTTPS]
accept = 127.0.0.1:9101
connect = my.dyndns.org:443
delay = yes

[dsmod_web]
cert = /tmp/stunnel-key.pem
client = no
accept = 443
connect = 81

[fritzbox_web]
cert = /tmp/stunnel-key.pem
client = no
accept = 6000
connect = 80

[WoL_web]
cert = /tmp/stunnel-key.pem
client = no
accept = 60001
connect = 82

Die datei ist in flash/stunnel_clsvcs vorhanden.

Das ganze hatte ich nach der Wikki so über nommen was auch lief.
weil das cert in der debug.cfg ausgeführt worden ist.

So nun ist es bei Freetz anders dort gibt es ein noch zusätzlich aufgeteilte Zertifikats-Kette bearbeiten und Privaten Schlüssel bearbeiten.

Wo man die Cert und Key extra eintragen kann.Was ich eigendlich nicht will, weil das cert in debung.cfg ausgeführt wird.
es wird eine /tmp/stunnel-key.pem angelegt.

Leider läuft das mit stunnel unter freetz nicht so, es kommt beim start ein failed und diese Meldung:

Starting stunnel...2000.01.01 01:01:04 LOG7[910:1024]: RAND_status claims sufficient entropy for the PRNG
2000.01.01 01:01:04 LOG7[910:1024]: PRNG seeded successfully
2000.01.01 01:01:04 LOG7[910:1024]: Configuration SSL options: 0x00000FFF
2000.01.01 01:01:04 LOG7[910:1024]: SSL options set: 0x00000FFF
2000.01.01 01:01:04 LOG7[910:1024]: SSL context initialized for service stunnel
inetd mode must define a remote host or an executable

Wie muss ich in Stunnel-Dienste vorgehen damit ich eine Verschlüsselung aufbauen kann die dann etwa so aussieht?

Code:

[dsmod_web]
cert = für cert und key von freetz
client = no
accept = 443
connect = 81

Wieso läuft stunnel nicht mehr über debug.cfg das ein cert = /tmp/stunnel-key.pem angelegt wird?

Sonst was muss ich eintragen in der stunnel_clsvcs damit die Verschlüsselung laufen?

PS: In stunnel_clsvcs läuft eintrag 1 und 2 noch ohne Probleme.

Update 1:53 UHR: Ich habe esjetzt mal so gemacht:

Code:

[freetz_web]
client = no
accept = 443
connect = 81
key = /tmp/flash/.stunnel/key.pem
cert = /tmp/flash/.stunnel/certs.pem

Es scheint zu laufen schade das es nicht mehr mit debug.cfg geht oder doch? Kann mir ein dazu was sagen?

[olistudent]

Moin.
1.

inetd mode must define a remote host or an executable

Wo kommt das denn her? Ist das der stunnel-Aufruf von Freetz oder aus deiner debug.cfg?
2. Zu dem Fehler mit key.pem und certs.pem gab es ja ein Ticket. Da hab ich was geändert. Könnte das damit zusammenhängen?
3. Was steht denn so in deiner debug.cfg?

MfG Oliver

[rcb]

Wo kommt das denn her? Ist das der stunnel-Aufruf von Freetz oder aus deiner debug.cfg?

Könnte evtl von der debug.cfg kommen

Was steht denn so in deiner debug.cfg?

Eigendlich nur das der Schlüssel in tem erzeugt wird und nach tmp kopiert wird.

Code:

cat << EOF_CERT > /tmp/stunnel-key.pem
-----BEGIN RSA PRIVATE KEY-----
MIICXAIBAAKBgQDiVck4tM1akdjMUUPE8FlNZYCRcHDAmctef3U/Hkb7Sij5vmUe
fdgfgdgdgdfgfgh ........................................................................................................................
A7IdZU=
-----END RSA PRIVATE KEY-----
-----BEGIN CERTIFICATE-----
MIICczCCAdwCAQAwDQYJKoZIhvcNAQEEBQAwgYExCzAJBgNVBAYTAmRlMREwDwYD
V..................................................................................
SWYSsxyFFfxd0/KK1bAd
jXvYtp/xtg==
-----END CERTIFICATE-----
EOF_CERT
chmod 600 /tmp/stunnel-key.pem

Schlüssel Key und cerft habe ich hier mit Text gekürtz.

Es wird noch in tmp der key angelegt. Dann sollte es so nicht mehr unter freetz laufen?

[DPR]

Update 1:53 UHR: Ich habe esjetzt mal so gemacht:
[...]

Genauso ist der Standard und so wird es ja auch direkt in der Oberfläche beschrieben. Über die Einstellungen kann man bequem die Public und Private Keys anlegen, die dann unter "/tmp/flash/.stunnel/certs.pem" btw. "/tmp/flash/.stunnel/key.pem" zu finden sind.

Wenn du eigene Zertifikat-Dateien verwenden willst, ist das kein Problem ! Wie heisst es so schön: RTFM

http://www.stunnel.org/faq/stunnel.h...iguration_file

Also z.B.

Code:

[freetz_web]
client = no
accept = 443
connect = 81
key = /tmp/stunnel-key.pem
cert = /tmp/stunnel-key.pem

[rcb]

Das habe ich auch so jetzt am laufen. Nur vorher hatte ich es wie in der wikki von alex beschrieben gemacht weil icch den dsmod hatte. Hbae aber nicht gedacht wenn man update auf freetz das es dann zu problemen kommen.
Weil evtl die die Einstellung von der debug.cfg übernimmt.

[olistudent]

Dein Problem ist also gelöst und du wolltest darauf Hinweisen, dass man beim Update von dsmod -> Freetz die Konfiguration von stunnel anpassen muss?

MfG Oliver

[rcb]

Ja und nicht nur das sondern von pptpd und openvpn.

Ich habe die alten Daten reste aus meine Box entfernt und angepasst weil mir sonst bei modsave too big bekommen habe und den wert will ich ja auch nicht zu hoch setzt.

Bis wie hoch darf er über haupt stehen damit der Speicher nicht überläuft?

[rcb]

Hallo,
ich muss noch mal das Thema hervor heben. Denn ich habe eine Problem mit push-service Email zustellung was ich vorher unter DS-Mod nicht hatte und die einstellung in stunnel stunnel_svcs
sind die selben geblieben. Es kommt in syslog

Code:

E-Mail-Zustellung gescheitert. SMTP-Server meldet: "553 sorry, that domain isn't in my list of allowed rcpthosts; no valid cert for gatewaying (#5.7.1)".

OK ich weiss was die Meldung mir sagen will.

Code:

E-Mail-Zustellung gescheitert. SMTP-Server meldet: "553 sorry, das der Domain Name ist nicht auf Liste der erlaubten rcpthosts; kein gültiges Zertifikat für weiterleitung (# 5.7.1)".

Die Einstellung habe ich in der stunnel_svcs so übernommen oder sehen so aus.:

Code:

[mymailserver SMTPS-TLS]
accept = 127.0.0.1:25
connect = mymailserver.org:25
delay = yes
sslVersion = TLSv1
protocol = smtp

Anschließend muss man noch bei der Fritz!Box die Einträge für den Push-Service und die Dyndns Updates anpassen.
- Push-Service:
SMTP-Server "Benutzerdefiniert"
Name des SMTP-Servers "127.0.0.1"

Anleitung sonst hier

Frage kommt stunnel nicht mehr mit TLSv1 Zertifikaten zurecht und was hat das mit den rcpthosts auf sich hat das stunnel sich jetzt extra Authentifizierung muss und das nicht klappt?


Update:In der Syslog unter Freetz steht dies drin:

Code:

May 21 04:39:04 fritz daemon.err stunnel: LOG3[3136:4936706]: SSL_read: Connection reset by peer (131)
May 21 04:39:04 fritz user.err mailer[3133]: SMTP-Session to ISP terminated unexpectly!!! (State=13)
May 21 04:39:04 fritz user.err mailer[3133]: free_mailer: error_code = 4096
May 21 04:39:04 fritz user.info mailer[3133]: EVENT(214): E-Mail-Zustellung gescheitert: Interner Fehler.
May 21 04:41:51 fritz user.err ctlmgr[517]: pushmail: show userstat=0

mmh damit komme ich leider nicht klar?

[DPR]

Code:

E-Mail-Zustellung gescheitert. SMTP-Server meldet: "553 sorry, das der Domain Name ist nicht auf Liste der erlaubten rcpthosts; kein gültiges Zertifikat für weiterleitung (# 5.7.1)".

Die Einstellung habe ich in der stunnel_svcs so übernommen oder sehen so aus.:
[...]

Also wenn du alles so konfiguriert hast, wie beschrieben, ist alles i.O. auf Client-Seite.

Wie du aber selbst gesehen hast, meldet dir dein Mail-Server einen Fehler. Das ist also kein Problem von Stunnel !
Genauer gesagt verbietet dir der Server das Relayen. Vermutlich hast du im Push-Service eine falsche Absender-Adresse eingetragen oder du versendest an eine Domain-fremde E-Mail-Adresse über den SMTP-Server.

Wenn du bspw. den GMX SMTP-Mailserver eintragen willst, dann verwende im Push-Service auch deine GMX Absender-Adresse.

Ansonsten empfehl ich dir mal Google mit Stichwörtern wie "553 rcpthosts relay" zu bemühen.

[zirkon]

Lässt man bei mail.gmx.net das Protokoll smtp weg, funktioniert alles einwandfrei.

Wollte das nur mal kurz hier anfügen, da ich erst kürzlich das gleiche Problem hatte!