• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Probleme mit Swat über stunnel

G

gretchen

Hi,

folgendes habe ich gemacht. Mittels Yast im xinetd eingetragen das swat gestaret werden soll. Danach die Datei swat unter /etc/xinetd.d editiert:

Code: 
# SWAT is the Samba Web Administration Tool.
service swat
{
        socket_type     = stream
        protocol        = tcp
        wait            = no
        user            = root
        server          = /usr/sbin/swat
        port            =  901
        only_from       =  127.0.0.1 192.168.0.0
        log_on_failure  += USERID
}

dann die Datei stunnel.conf unter /etc/stunnel editiert:

Code: 
client = no

chroot = /var/lib/stunnel/
setuid = stunnel
setgid = nogroup

pid = /var/run/stunnel.pid

debug = 7
output = /tmp/stunnel.log

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1

cert = /etc/stunnel/stunnel.pem

[swat]
accept  = 902
connect = 901

Danach habe ich auf der Firewall den Port 902 tcp aufgemacht. Wenn ich per Browser auf die den Server gehe:

https://rechnername:902

kommt das Zertifikat aber mehr auch nicht. Im Log taucht dann das hier auf:

Code: 
2009.02.06 12:17:07 LOG7[21308:3083650736]: swat accepted FD=7 from 192.168.1.2:51062
2009.02.06 12:17:07 LOG7[21308:3083213728]: swat started
2009.02.06 12:17:07 LOG7[21308:3083213728]: FD 7 in non-blocking mode
2009.02.06 12:17:07 LOG7[21308:3083213728]: TCP_NODELAY option set on local socket
2009.02.06 12:17:07 LOG7[21308:3083213728]: FD 8 in non-blocking mode
2009.02.06 12:17:07 LOG7[21308:3083213728]: FD 9 in non-blocking mode
2009.02.06 12:17:07 LOG7[21308:3083650736]: Cleaning up the signal pipe
2009.02.06 12:17:07 LOG7[21308:3083213728]: Connection from 192.168.1.2:51062 permitted by libwrap
2009.02.06 12:17:07 LOG5[21308:3083213728]: swat connected from 192.168.1.2:51062
2009.02.06 12:17:07 LOG6[21308:3083650736]: Child process 21351 finished with code 0
2009.02.06 12:17:07 LOG7[21308:3083213728]: SSL state (accept): before/accept initialization
2009.02.06 12:17:07 LOG7[21308:3083213728]: SSL state (accept): SSLv3 read client hello A
2009.02.06 12:17:07 LOG7[21308:3083213728]: SSL state (accept): SSLv3 write server hello A
2009.02.06 12:17:07 LOG7[21308:3083213728]: SSL state (accept): SSLv3 write change cipher spec A
2009.02.06 12:17:07 LOG7[21308:3083213728]: SSL state (accept): SSLv3 write finished A
2009.02.06 12:17:07 LOG7[21308:3083213728]: SSL state (accept): SSLv3 flush data
2009.02.06 12:17:07 LOG7[21308:3083213728]: SSL state (accept): SSLv3 read finished A
2009.02.06 12:17:07 LOG7[21308:3083213728]:    1 items in the session cache
2009.02.06 12:17:07 LOG7[21308:3083213728]:    0 client connects (SSL_connect())
2009.02.06 12:17:07 LOG7[21308:3083213728]:    0 client connects that finished
2009.02.06 12:17:07 LOG7[21308:3083213728]:    0 client renegotiatations requested
2009.02.06 12:17:07 LOG7[21308:3083213728]:    3 server connects (SSL_accept())
2009.02.06 12:17:07 LOG7[21308:3083213728]:    3 server connects that finished
2009.02.06 12:17:07 LOG7[21308:3083213728]:    0 server renegotiatiations requested
2009.02.06 12:17:07 LOG7[21308:3083213728]:    2 session cache hits
2009.02.06 12:17:07 LOG7[21308:3083213728]:    1 session cache misses
2009.02.06 12:17:07 LOG7[21308:3083213728]:    0 session cache timeouts
2009.02.06 12:17:07 LOG6[21308:3083213728]: SSL accepted: previous session reused
2009.02.06 12:17:07 LOG7[21308:3083213728]: FD 8 in non-blocking mode
2009.02.06 12:17:07 LOG7[21308:3083213728]: swat connecting 127.0.0.1:901
2009.02.06 12:17:07 LOG7[21308:3083213728]: connect_wait: waiting 10 seconds
2009.02.06 12:17:07 LOG3[21308:3083213728]: connect_wait: getsockopt: Connection refused (111)
2009.02.06 12:17:07 LOG3[21308:3083213728]: Failed to initialize remote connection
2009.02.06 12:17:07 LOG7[21308:3083213728]: swat finished (0 left)
 
OP
G

gretchen

Hi,

sorry ich habe den obigen Code nicht per Copy&Paste hier eingefügt. Ich habe mich bei der IP Adresse einfach hier verschrieben. In meiner Konfig passt das Subnetz. Ich habe sogar meine IP Adresse vom Client direkt reingeschrieben und habe die gleiche Meldung.

Ich vermute es hat hiermit was zu tun:

Code: 
2009.02.06 13:28:12 LOG7[21584:3082771360]: connect_wait: waiting 10 seconds
2009.02.06 13:28:12 LOG3[21584:3082771360]: connect_wait: getsockopt: Connection refused (111)
2009.02.06 13:28:12 LOG3[21584:3082771360]: Failed to initialize remote connection

Übrigens bekomme ich die gleiche obige Fehlermeldung wenn ich direkt auf der Kiste bin und auf localhost eine Verbindung mache...
 
OP
G

gretchen

Hi,

ja so hab ich das Zerttifikat erstellt nur liegt bei mir das *.cnf woanders...ich habe die Zeile mal mit eingefügt jetzt ist die Fehlermeldung weg und es kommt das:

Code: 
2009.02.06 13:58:15 LOG6[22824:3082877856]: SSL accepted: new session negotiated
2009.02.06 13:58:15 LOG6[22824:3082877856]: Negotiated ciphers: AES256-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA1
2009.02.06 13:58:15 LOG7[22824:3082877856]: FD 10 in non-blocking mode
2009.02.06 13:58:15 LOG7[22824:3082877856]: swat connecting 127.0.0.1:901
2009.02.06 13:58:15 LOG7[22824:3082877856]: connect_wait: waiting 10 seconds
2009.02.06 13:58:15 LOG7[22824:3082877856]: connect_wait: connected
2009.02.06 13:58:15 LOG7[22824:3082877856]: Remote FD=10 initialized
2009.02.06 13:58:15 LOG7[22824:3082877856]: TCP_NODELAY option set on remote socket

aber ich sehe kein Swat? Und es kommen keine Fehlermeldungen mehr. Wie kann den prüfen ob Swat überhaupt gestartet ist?

EDIT:

Also mein Browser steht im Ladebildschirm und nichts kommt an?
 
S

stka

Na vom Zertifikat her sieht das so schon mal bedeutend besser aus. Mal ne Frage ist der SWAT überhaupt installiert? Bei Debian muss der extra installiert werden, ich weiß nicht mehr wie das bei suse war. Was gibt denn eine "netstat -tlpn" aus?
 
OP
G

gretchen

Hi,

also Swat ist installiert. Ich kann mit dem Befehl chkconfig -l |grep swat sehen das der Dienst aktiviert ist und läuft.

netstat -tlpn zeigt:
tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN 3172/xinetd
tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN 4231/stunnel


EDIT:

Frag nicht warum es jetzt geht aber auf einmal kam ein Login...konnte mich anmelden uns sehe das SWAT Logo aber ist extrem langsam srpich ich hab Ladebalken im Browser. Ist das normal?

Was ich im Log auch sehe ist:

2009.02.06 15:27:05 LOG7[4231:3083262880]: SSL write shutdown
2009.02.06 15:27:05 LOG7[4231:3083262880]: SSL alert (write): warning: close notify
2009.02.06 15:27:05 LOG7[4231:3083262880]: SSL_shutdown retrying
2009.02.06 15:27:05 LOG7[4231:3083262880]: SSL doesn't need to read or write

EDIT2:
nach ca. 3 Minuten sehe ich jetzt das SWAT vollständig aber bei jedem Seiten wechsel dauert es extrem lange. Liegt das vielleicht an der hohen Verschlüsselung?
 
J

just4fun73de

Hallo zusammen!

Ich hatte auch das Problem, dass sich nach der Eingabe der Logindaten nix mehr getan hat. Nach ner halben Minute hat sich dann die swat-webpage geöffnet. Bei Firefox konnte ich das noch manuell beschleunigen, indem ich in der Adressleiste einfach nochmal mit RETURN die URL aufgerufen hatte. Beim MSIE ging überhaupt nix mehr.

Ich habe dann in der /etc/stunnel.conf unter der Rubrik [swat] noch den Eintrag

Code: 
TIMEOUTclose = 0

hinzugefügt.

Nach einem rcstunnel restart konnte haben mir dann beide Browser die swat-webpage angezeigt.

Viele Grüße

Alex
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben