[Proxmox 5.x] Secure Connection Failed

Suite au remplacement du routeur de mon FAI, le réseau local a reçu une nouvelle adresse.

L’adresse initiale était 192.168.1.0/24, et a été remplacée par 192.168.0.0/24. Ne me demandez pas pourquoi.

Au lieu de mette à jour l’adresse du LAN directement au niveau du routeur, j’ai effectué les manipulations directement au niveau du serveur proxmox.

Celà devrait être un exercice facile, puisqu’il suffit de modifier les informations dans les fichiers interfaces et hosts.

[proxmox]# vi /etc/network/interfaces

[proxmox]# vi /etc/hosts

Redémarrer ensuite le service ‘networking’ pour prendre en compte les modifications.

[proxmox]# /etc/init.d/networking restart

Les problèmes commencent à la connection sur l’interface de gestion du serveur à l’adresse https://adresse_server_proxmox:8006.

Le message annonce qu’il y a un problème de connection au serveur.

Installer curl si vous ne l’avez pas déjà fait.

[portable]$ curl -sv https://192.168.0.100:8006
* Rebuilt URL to: https://192.168.0.100:8006/
* Trying 192.168.0.100...
* TCP_NODELAY set
* Connected to 192.168.0.100 (192.168.0.100) port 8006 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to 192.168.0.100:8006
* Curl_http_done: called premature == 0
* Closing connection 0

 

Je ne pense pas qu’il y a un problème de certificats, vu que la connection au serveur se passe sans problème. D’ailleurs, il n’y a pas de soucis pour se connecter en SSH.

A cet instant, je ne sais pas trop quelle direction prendre. Je suis partir pour remplacer tous les certificats dans proxmox, par ceux pré-installés par défaut en suivant les instructions du wiki.

[proxmox]# mv /etc/pve/pve-root-ca.pem /etc/pve/pve-root-ca.pem.back
[proxmox]# mv /etc/pve/priv/pve-root-ca.key /etc/pve/priv/pve-root-ca.key.bak
[proxmox]# mv /etc/pve/nodes/<node>/pve-ssl.pem /etc/pve/nodes/<node>/pve-ssl.pem.bak
[proxmox]# mv /etc/pve/nodes/<node>/pve-ssl.key mv /etc/pve/nodes/<node>/pve-ssl.key.bak

[proxmox]# pvecm updatecerts -f

Malheureusement, je suis resté au même point.

[portable]$ curl -sv https://192.168.0.100:8006
* Rebuilt URL to: https://192.168.0.100:8006/
* Trying 192.168.0.100...
* TCP_NODELAY set
* Connected to 192.168.0.100 (192.168.0.100) port 8006 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to 192.168.0.100:8006 TCP_NO
* Curl_http_done: called premature == 0
* Closing connection 0

 

Au passage, j’ai supprimé par erreur les deux fichiers pve-ssl.key et pve-ssl.pem, qui se trouvent dans /etc/pve/local.

[proxmox]# service pveproxy status
Loaded: loaded
Active: active (running)
...
/etc/pve/local/pve-ssl.key: failed to load local private key

La commande updatecerts sans arguments permet de tout remettre en place.

[proxmox]# pvecm updatecerts

Mes doutes sur le fait qu’il n’y a pas de problèmes au niveau des certificats, sont confirmés.

La prochaine étape serait de vérifier si le parefeux ne bloquerait pas certains traffics.

[proxmox]# pve-firewall status

[proxmox]# pve-firewall stop

Comme rien n’a changé, et que je n’ai toujours pas accès au serveur via un navigater internet, j’ai réactivé le parefeux.

La dernière modification, à laquelle je n’y ai pas pensé de suite dès que le problème s’est présenté, était de vérifier s’il n’y a pas de règles qui n’autorise l’accès au serveur proxmox qu’à partir d’un certain groupe d’IPs.

En fouillant un peu plus sur internet, j’ai finalement retrouvé le fichier de configuration qui contient la liste de règles avec les adresses IPs, que le serveur proxmox autorise pour gérer le serveur.

Modifier le contenu du fichier pveproxy, afin de prendre en compte le nouveau réseau.

[proxmox]# vi /etc/default/pveproxy

J’ai mis à jour la ligne ALLOW_FROM= »adresse_du_nouveau_réseau ». De votre côté, vérifier que POLICY= »allow ».

Redémarrer le service pveproxy, et tout devrait rentrer dans l’ordre.

[proxmox]# service pveproxy restart

Petite vérification,

[portable]$ curl -Sv 192.168.0.100:8006
* Rebuilt URL to: 192.168.0.100:8006/
* Trying 192.168.0.100...
* TCP_NODELAY set
* Connected to 192.168.0.100 (192.168.0.100) port 8006 (#0)
> GET / HTTP/1.1
> Host: 192.168.0.100:8006
> User-Agent: curl/7.52.1
> Accept: */*
>
* Curl_http_done: called premature == 0
* Empty reply from server
* Connection #0 to host 192.168.0.100 left intact
curl: (52) Empty reply from server
[proxmox]# netstat -vatn

 

Une petite note en ce qui concerne le message « called premature » dans curl. Cette information n’a de sens que pour les développeurs de l’application.

Cette ligne a été supprimé à partir de la version 7.53 de curl.

Sources

Proxmox VE: Installation and configuration
WebGUI not working since changed SSL

 

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.