Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-11-2017 22:56:53

Béru
Membre
Distrib. : Debian Stretch
Noyau : Linux 4.9.0-4-amd64
(G)UI : Xfce
Inscription : 29-11-2017

Souci SSL avec x11vnc

Bonsoir tout le monde,

je me permets d'ouvrir une discussion par rapport à un petit souci qui me bloque pour mon serveur x11vnc.
Actuellement je souhaite appliquer une connexion distante de chez moi à un lieu qui est externe à mon réseau privé.

Je ne souhaite pas utiliser de VPN et je ne veux pas passer par une autre techno que VNC (x11vnc était le bon choix pour avoir un support de ssl et de l'accès au :0) ...
Je suis bloqué sur un message d'erreur que je n'arrive pas à résoudre (lors de la connexion au serveur depuis un poste client sous RealVNC viewer et/ou ssvnc) :

x11vnc -gui none -passwd "Mon mot de passe" -cursor arrow -ssl 2> /dev/null &


29/11/2017 21:48:45 SSL: accept_openssl(OPENSSL_VNC)
29/11/2017 21:48:45 SSL: spawning helper process to handle: [MON IP]
29/11/2017 21:48:45 SSL: helper for peerport 55138 is pid 9461:
29/11/2017 21:48:45 connect_tcp: trying:   127.0.0.1 20000
29/11/2017 21:48:45 check_vnc_tls_mode: waited: 0.000026 / 1.40 input: SSL Handshake
29/11/2017 21:48:45 SSL: ssl_init[9461]: 11/11 initialization timeout: 20 secs.
29/11/2017 21:48:45 SSL: ssl_helper[9461]: SSL_accept() succeeded for: [MON IP]
29/11/2017 21:48:45 SSL: ssl_helper[9461]: Cipher: SSLv3 AES256-SHA Proto: TLSv1
29/11/2017 21:48:45 SSL: ssl_helper[9461]: accepted client [MON IP] x509 peer cert is null
29/11/2017 21:48:45 SSL: handshake with helper process[9461] succeeded.
29/11/2017 21:48:45   other clients:
29/11/2017 21:48:45 Normal socket connection
29/11/2017 21:48:45 Disabled X server key autorepeat.
29/11/2017 21:48:45   to force back on run: 'xset r on' (3 times)
29/11/2017 21:48:45 incr accepted_client=1 for 127.0.0.1:52026  sock=11
29/11/2017 21:48:45 accept_openssl: renaming client '127.0.0.1' -> '[MON IP]'
29/11/2017 21:48:45 client progressed=0 in 15/10 0.010077 s
29/11/2017 21:48:45 created   xdamage object: 0xe00005
29/11/2017 21:48:46 SSL: ssl_xfer[9461]: closing sockets 0, 11, 11
29/11/2017 21:48:46 29/11/2017 21:48:46 SSL: ssl_helper[9461]: exit case 7 (ssl_xfer done)
rfbProcessClientProtocolVersion: client gone
29/11/2017 21:48:46 client_count: 0
29/11/2017 21:48:46 Restored X server key autorepeat to: 1
29/11/2017 21:48:46 sending SIGTERM to ssl_helper_pid: 9461
29/11/2017 21:48:46 connect_once: invalid password or early disconnect.  0
29/11/2017 21:48:46 connect_once: waiting for next connection.
29/11/2017 21:48:46 Client [MON IP] gone
29/11/2017 21:48:46 Statistics             events    Transmit/ RawEquiv ( saved)
29/11/2017 21:48:46  TOTALS              :      0 |         0/        0 (  0.0%)
29/11/2017 21:48:46 Statistics             events    Received/ RawEquiv ( saved)
29/11/2017 21:48:46  TOTALS              :      0 |         0/        0 (  0.0%)
29/11/2017 21:48:46 destroyed xdamage object: 0xe00005
29/11/2017 21:48:51 SSL: accept_openssl(OPENSSL_VNC)
29/11/2017 21:48:51 SSL: spawning helper process to handle: [MON IP]
29/11/2017 21:48:51 SSL: helper for peerport 55154 is pid 9463:
29/11/2017 21:48:51 connect_tcp: trying:   127.0.0.1 20000
29/11/2017 21:48:51 check_vnc_tls_mode: waited: 0.000019 / 1.40 input: SSL Handshake
29/11/2017 21:48:51 SSL: ssl_init[9463]: 11/11 initialization timeout: 20 secs.
29/11/2017 21:48:51 SSL: ssl_helper[9463]: SSL_accept() *FATAL: -1 SSL FAILED
29/11/2017 21:48:51 SSL: error:1417D18C:SSL routines:tls_process_client_hello:version too low
29/11/2017 21:48:51 SSL: ssl_helper[9463]: Proto: nosession
29/11/2017 21:48:51 SSL: ssl_helper[9463]: exit case 2 (ssl_init failed)
29/11/2017 21:48:51 SSL: accept_openssl: cookie from ssl_helper[9463] FAILED. 0
 



J'utilise un fichier pem avec mon mot de passe que je rentre lors du lancement du serveur x11vnc, j'ai absolument aucun souci sur la mise en place du serveur c'est juste cette problématique de version qui me bloque (d'après mes recherches et ce que j'ai compris) ...

Avez vous une idée du souci ?
Pouvez-vous me donner un petit coup de main s'il vous plaît ? ^.^


La route est longue mais la voie est Libre.

Hors ligne

#2 30-11-2017 17:55:36

devnull
Membre
Distrib. : Debian stable
Noyau : Linux 4.9
(G)UI : LXDE
Inscription : 30-11-2017

Re : Souci SSL avec x11vnc

Bonjour

Je ne connais pas VNC/Je n'ai pas un serveur VNC sous la main pour faire des teste détaillés, et les versions de SSL/TLS sont souvent galère à débugger
Mais au vu des logs, il y a un désaccord entre la version SSL/TLS demandée et celles qui sont supportées.

Du coup, pour commencer à débugger, il faut savoir
- Sous quel OS et quel version tourne ton serveur
- Quelle version d'openssl est installée sur ton serveur
- Quelle est la version de ton x11vnc
- Tu obtient quel résultat si tu entre la commande suivante sur la machine où tourne ton serveur vnc : openssl s_client -connect localhost:port (en replaçant port par le numéro de port de VNC, qui peut changer selon les cas, mais j'ai cru comprendre que c'est souvent 5900 par défaut)?
- Et la même commande depuis ta machine client en remplaçant évidemment localhost par l'IP de ton serveur VNC

Je soupçonne vaguement (mais j'en a pas la certitude) l'un des cas suivant
- Ton OS et ton openssl sont à jour. Mais ton client VNC est assez vieux essaye de se connecter en TLS 1.0 max (les logs indiquent TLS 1.0 comme protocole avec des suites crypto de SSLv3)
- Moins probable d'après les messages de logs mais possible : Ton OS et ton OpenSSL sont à jour mais c'est x11vnc qui tente d'utiliser SSLv3, qui n'est plus supporté depuis openssl 1.0.1j-1 pour des raisons de sécurité.

Du coup, dans tous les cas x11vnc ou le client échoue a se connecter en TLS parce qu'il n'arrive pas à se mettre d'accord avec openssl

Ce sons juste des pistes potentielles. Il y a d'autre combinaisons incompatibles entre client et serveur, application serveur et openssl qui peuvent causer ce type d'erreurs, donc liste non-exhaustive. Il me faudra plus d'info pour tentes de déterminer la cause réelle.

Dernière modification par devnull (01-12-2017 12:48:46)


If I heat my SSD until it becomes a gazeous state drive, will it enable cloud computing?
There's no algorithm, just someone's else decision-making process.

Hors ligne

#3 30-11-2017 23:09:09

Béru
Membre
Distrib. : Debian Stretch
Noyau : Linux 4.9.0-4-amd64
(G)UI : Xfce
Inscription : 29-11-2017

Re : Souci SSL avec x11vnc

Bonsoir devnull,

actuellement je suis super content de ta participation à la résolution de mon problème. Je vais regarder de mon côté avec les indications que tu m'as fournies.
Pour info le serveur est sur une Debian Stretch à jour et le/les clients seront probablement sous Windows. Pour mes tests j'ai utilisé un vm Windows sous une FreeBSD car je n'ai pas l'outil de Micro$oft à la maison ...

Pour le moment je vais malheureusement quand même monter un serveur VPN et me connecter sur mon réseau local pour chopper le serveur x11vnc (j'aurais du coup un chiffrement).
Si je trouve des pistes je te tiens au courant sur cette discussion. Il faut juste que je trouve un petit peu plus de temps.

Merci beaucoup pour ta réponse.
Bonne soirée.

La route est longue mais la voie est Libre.

Hors ligne

#4 01-12-2017 12:50:15

devnull
Membre
Distrib. : Debian stable
Noyau : Linux 4.9
(G)UI : LXDE
Inscription : 30-11-2017

Re : Souci SSL avec x11vnc

De rien.

Après si VNC refuse de fonctionner correctement avec SSL et que ton bus est juste d'avoir une session X11 distante (display 0), avec chiffrement. Tu peux regarder de coté de X2Go.
Rapide a mettre en place dans le cas d'un seul poste distant et le client est multiplateforme. Tu n'aura pas de risques d'incompatibilités de versions TLS vu que c'est un tunnel SSH et que le client windows inclut un client SSH et un générateur de clés SSH. Du coup ça simplifie la gestion de l'ensemble client/serveur

Bonne journée

Dernière modification par devnull (01-12-2017 14:31:46)


If I heat my SSD until it becomes a gazeous state drive, will it enable cloud computing?
There's no algorithm, just someone's else decision-making process.

Hors ligne

Pied de page des forums