ich habe nach wie vor ein Firewall-Problem. Auf einem KVM-Host laufen zusätzlich zum Host noch vier VMs. Und auf dem Host soll zusätzlich ein Icinga master laufen. das funktioniert auch soweit. Nur der Icinga Client auf 192.168.1.70 bekommt keine Verbindung zu dem Icinga auf dem Host (192.168.1.66).
Ich teste das Holen des Certificats vom Host:
Code: Alles auswählen
mx:~ # openssl s_client -connect 192.168.1.66:5665
140635865412736:error:0200206F:system library:connect:Connection refused:../crypto/bio/b_sock2.c:110:
140635865412736:error:2008A067:BIO routines:BIO_connect:connect error:../crypto/bio/b_sock2.c:111:
connect:errno=111Code: Alles auswählen
neckar:/etc/shorewall # shorewall show log | grep '192.168.1.66'
Oct 18 12:45:10 Shorewall:loc-fw:REJECT:IN=vmbr1 OUT= SRC=192.168.1.70 DST=192.168.1.66 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=44700 DF PROTO=TCP SPT=42882 DPT=5665 WINDOW=29200 RES=0x00 SYN URGP=0 Code: Alles auswählen
neckar:/etc/shorewall # openssl s_client -connect 192.168.1.66:5665
CONNECTED(00000003)
Can't use SSL_get_servername
depth=1 CN = Icinga CA
verify error:num=19:self signed certificate in certificate chain
verify return:1
depth=1 CN = Icinga CA
verify return:1
depth=0 CN = neckar.germany.com
verify return:1
...
Code: Alles auswählen
0 0 ACCEPT tcp -- * * 192.168.1.66 192.168.1.70 tcp dpt:5665
1 60 ACCEPT tcp -- * * 192.168.1.70 192.168.1.66 tcp dpt:5665Code: Alles auswählen
# netstat -tlpn | grep 5665
tcp 0 0 0.0.0.0:5665 0.0.0.0:* LISTEN 3490/icinga2Hier habe ich den Dump der Firewall mal angehängt: https://drive.google.com/open?id=1m2Sht ... gsD4zI2oOu
Beste Grüße
BrotherJ
