Turris neposílá logy

Dne 2015-04-17 08:13

Mám nějaký problém s wifi, a když jsem se ho snažil řešit, narazil jsem na děsivou věc. Webové rozhraní mi říká, že jsem 532 hodin neposílal data. Což by nemělo být, protože internet funguje a router je zapojený (a nešahal jsem na něj). Koneckonců, píši z něj právě teď. https://www.turris.cz/forum/topic_show.pl?pid=4861;hl=wifi podle toho to vlákna to vypadá, že nejsem sám a že mi to vynulujete. Tady je můj log updater.sh -n (dole ještě python)
+ ping -c1 -w10 api.turris.cz
PING api.turris.cz (217.31.192.101): 56 data bytes
64 bytes from 217.31.192.101: seq=0 ttl=56 time=6.861 ms

--- api.turris.cz ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 6.861/6.861/6.861 ms
+ dirname /usr/bin/updater.sh
+ LIB_DIR=/usr/bin
+ . /usr/bin/updater-worker.sh
+ . /usr/bin/updater-utils.sh
+ PID=6554
+ PROGRAM=updater
+ get-api-crl
+ FAILSAFE_MODE=false
+ TMP_DIR=/tmp/update
+ PKG_DIR=/tmp/update/packages
+ CIPHER=aes-256-cbc
+ COOLDOWN=3
+ CERT=/etc/ssl/updater.pem
+ CRL=/etc/ssl/crl.pem
+ STATE_DIR=/tmp/update-state
+ STATE_FILE=/tmp/update-state/state
+ LOG_FILE=/tmp/update-state/log2
+ PLAN_FILE=/tmp/update-state/plan
+ uci get -q updater.override.branch
+ atsha204cmd serial-number
+ ID=0000000500002031
+ uci get -q updater.override.revision
+ atsha204cmd hw-rev
+ REVISION=00000005
+ uci get -q updater.override.generation
+ sed -e s/\..*/\// /etc/turris-version
+ GENERATION=2/
+ uci get -q updater.override.base_url
+ echo https://api.turris.cz/updater-repo/
+ BASE_URL=https://api.turris.cz/updater-repo/
+ BASE_URL=https://api.turris.cz/updater-repo/2/00000005
+ uci get -q updater.override.list_req_url
+ echo https://api.turris.cz/getlists.cgi
+ LIST_REQ=https://api.turris.cz/getlists.cgi
+ GENERIC_LIST_URL=https://api.turris.cz/updater-repo/2/00000005/lists/generic
+ SPECIFIC_LIST_URL=https://api.turris.cz/updater-repo/2/00000005/lists/0000000500002031
+ PACKAGE_URL=https://api.turris.cz/updater-repo/2/00000005/packages
+ PID_FILE=/tmp/update-state/pid
+ LOCK_DIR=/tmp/update-state/lock
+ BACKGROUND=false
+ EXIT_CODE=1
+ BASE_PLAN_FILE=/usr/share/updater/plan
+ [ -e /tmp/offline-update-ready ]
+ [ -n = -b ]
+ [ -n = -r ]
+ /usr/bin/updater-wipe.sh
+ [ -d /tmp/update-state/lock ]
+ mkdir -p /tmp/update-state
+ mkdir /tmp/update-state/lock
+ echo 6554
+ echo startup
+ echo initial sleep
+ rm -f /tmp/update-state/log2 /tmp/update-state/last_error
+ touch /tmp/update-state/log2
+ false
+ STABLE_PACKAGES=/usr/share/updater/packages
+ STABLE_PLAN=/usr/share/updater/plan
+ trap rm -rf "$TMP_DIR" "$PID_FILE" "$LOCK_DIR" $STABLE_PACKAGES $STABLE_PLAN; exit "$EXIT_CODE" EXIT INT QUIT TERM ABRT
+ [ -n != -n ]
+ shift
+ mkdir -p /tmp/update
+ echo get list
+ uci get updater.pkglists.lists
+ get_list_pack base core luci-controls nas printserver netutils definitions
+ echo 2/00000005
+ [ 0000000500002031 != unknown-id ]
+ my_curl -T - https://api.turris.cz/getlists.cgi -X+ sed -e POST -f s/........//

+ curl --compress --cacert /etc/ssl/updater.pem --crlfile /etc/ssl/crl.pem -T - https://api.turris.cz/getlists.cgi -X POST -f
+ echo 0000000500002031
+ SERIAL=00002031
+ echo 00002031
+ mkdir -p /tmp/updater-lists
+ [ base ]
+ [ -f /tmp/updater-lists/base ]
+ HASH=-
+ echo base -
+ shift
+ [ core ]
+ [ -f /tmp/updater-lists/core ]
+ HASH=-
+ echo core -
+ shift
+ [ luci-controls ]
+ [ -f /tmp/updater-lists/luci-controls ]
+ HASH=-
+ echo luci-controls -
+ shift
+ [ nas ]
+ [ -f /tmp/updater-lists/nas ]
+ HASH=-
+ echo nas -
+ shift
+ [ printserver ]
+ [ -f /tmp/updater-lists/printserver ]
+ HASH=-
+ echo printserver -
+ shift
+ [ netutils ]
+ [ -f /tmp/updater-lists/netutils ]
+ HASH=-
+ echo netutils -
+ shift
+ [ definitions ]
+ [ -f /tmp/updater-lists/definitions ]
+ HASH=-
+ echo definitions -
+ shift
+ [ ]
% Total % Received % Xferd Average Speed   Time Time    Time Current
   Dload Upload   Total   Spent Left Speed
0    0 0    0 0    0 0 0 --:--:-- --:--:-- --:--:--    0curl: (82) error loading CRL file: /etc/ssl/crl.pem
+ die Could not download list pack
+ echo error
+ echo Could not download list pack
+ echo Could not download list pack
Could not download list pack
+ + my_logger -p daemon.err
+ logger -t updaterecho -p Could not download list pack
daemon.err
+ kill -SIGABRT 6554
+ rm -rf /tmp/update /tmp/update-state/pid /tmp/update-state/lock /usr/share/updater/packages /usr/share/updater/plan
+ exit 1
+ rm -rf /tmp/update /tmp/update-state/pid /tmp/update-state/lock /usr/share/updater/packages /usr/share/updater/plan
+ exit 1

a tady python
Python 2.7.9 (default, Mar 17 2015, 17:16:50)
[GCC 4.8.3] on linux2
Type "help", "copyright", "credits" or "license" for more information.

Od Štěpán Henek

Dne 2015-04-20 07:54 Upraveno 2015-04-20 10:10

Dobrý den,

zdá se, že vám nejde přečíst soubor crl.pem.
V tomto souboru se nachází revokované certifikáty a pokud tam není,
tak router není schopen vytvořit šifrované připojení na naše servery. (kromě ucollectu, ten používá vlastní certifikát).

Co mě napadá:
* zkontrolujte, že v /etc/ssl/crl.pem je symlink na /tmp/crl.pem
ls -l /etc/ssl/
by mělo ukázat něco jako

...
lrwxrwxrwx    1 root     root            12 Mar 26 11:29 crl.pem -> /tmp/crl.pem
...

* vymažte obsah souboru /tmp/crl.pem
echo > /tmp/crl.pem

* puste znovu updater
updater.sh -n

* pokuste se znovu stáhnout crl

rm /tmp/crl.pem
get-api-crl

* a nakonec znovu pustit updater
updater.sh -n

Od BlueSoul

Dne 2015-04-20 08:57

|__   __|| | | || __ \ | __ \ |_   _| / ____|
| |   | | | || |__) || |__) | | | | (___
| |   | | | || _ / | _ /   | |   \___ \
| |   | |__| || | \ \ | | \ \ _| |_ ____) |
|_| \____/ |_| \_\|_| \_\|_____||_____/

BARRIER BREAKER (Bleeding Edge, r38891)

root@turris:~# ?
-ash: ?: not found
root@turris:~# help
Built-in commands:
------------------
. : [ [[ alias bg break cd chdir command continue echo eval exec
exit export false fg getopts hash help history jobs kill let
local printf pwd read readonly return set shift source test times
trap true type ulimit umask unalias unset wait

root@turris:~# ls -l /etc/ssl/
-rw-r--r-- 1 root    root 2412 Jun 20 2014 api.turris.pem
drwxr-xr-x 2 root    root    0 Mar 17 16:36 certs
lrwxrwxrwx 1 root    root 12 Jun 23 2014 crl.pem -> /tmp/crl.pem
-rw-r--r-- 1 root    root    10835 Mar 17 16:36 openssl.cnf
drwx------ 2 root    root    0 Mar 17 16:36 private
-rw-r--r-- 1 root    root 2671 Jun 20 2014 startcom.pem
-rw-r--r-- 1 root    root 1491 Mar 17 17:29 turris-rules.pub
-rw-r--r-- 1 root    root 3565 Jun 20 2014 ucollect-server.pem
-rw-r--r-- 1 root    root 3887 Mar 17 17:29 updater.pem
root@turris:~# echo > /tmp/crl.pem
root@turris:~# updater -n
-ash: updater: not found
root@turris:~# updater -n
-ash: updater: not found
root@turris:~# updater
-ash: updater: not found
root@turris:~# updater
-ash: updater: not found
root@turris:~# updater -n
-ash: updater: not found
root@turris:~# rm /tmp/crl.pem
root@turris:~# get-api-crl
curl: (6) Couldn't resolve host 'crl.startssl.com'
unable to load CRL
1207993416:error:0D07207B:lib(13):func(114):reason(123):NA:0:
cat: can't open 'tmp.pem': No such file or directory

Tady je přepis pokusu aplikovat Váš nápad. Nevypadá to, že by to chtělo fungovat... :-(

Od hybner

Dne 2015-04-20 09:10

nemelo tam byt nahodou
updater.sh -n
?

Od BlueSoul

Dne 2015-04-20 09:17

jo, to má, ale pak to vypíše stejnou chybu u toho příkazu get api

Od hybner

Dne 2015-04-20 09:23

zkuste
dig crl.startssl.com

pripadne
nslookup crl.startssl.com

pak jeste
ping crl.startssl.com

Jestli nakonec nemate nejaky problem s dns.

Od BlueSoul

Dne 2015-04-20 09:29

root@turris:~# dig crl.startssl.com
-ash: dig: not found
root@turris:~# dig.sh crl.startssl.com
-ash: dig.sh: not found
root@turris:~# nslookup crl.starssl.com
Server: 127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'crl.starssl.com': Name or service not known
root@turris:~# ping crl.startssl.com
ping: bad address 'crl.startssl.com'

hmmm, vypadá to, že ta DNSka bude v pytli. Ale co s tím?

Od hybner

Dne 2015-04-20 09:38

zkuste nslookup pripadne pingnout na nejake dalsi servery: nic.cz, google.com, seznam.cz apod. zda nejaky preklad funguje. Pak prohledejte forum, problemy s dns se tu nekolikrat resili. Muze to byt i tak ze vam isp zasahuje do komunikace dns.

Od fojtp

Dne 2015-04-20 09:50

u toho nslookupu je preklep (vypadlo tam "t")..

root@turris:~# nslookup crl.starssl.com
Server: 127.0.0.1
Address 1: 127.0.0.1 localhost

nslookup: can't resolve 'crl.starssl.com': Name or service not known

Od BlueSoul

Dne 2015-04-20 10:01

zopakoval jsem to bez překlepu, stejná chyba...

Od Štěpán Henek

Dne 2015-04-20 10:10

Máte pravdu, na to .sh jsem zapomněl.

Od BlueSoul

Dne 2015-04-20 12:29

Tak jo, vypnul jsem forwardování DNS (viz https://www.turris.cz/forum/topic_show.pl?pid=4228;hl=dns a ve forisu na záložce DNS) a příkazy proběhly. Bylo by možné nějak zkontrolovat funkčnost (ať nemusím čekat do zítra)?

Od BlueSoul

Dne 2015-04-21 05:41

Tak dneska jsem se díval, jestli turris odesílá data a firewall je stále nějaký bídný (uCollect nemá problém). Vtipné je, že mi to vyřešilo problém s wifi, kvůli kterému jsem se o to začal zajímat. Měl by někdo nějaký další nápad?