@MonsterCatz
Junior system administrator linux

Stunnel перестал работать после смены ролей, error: wrong version number?

Есть репликация mysql master>slave, настроена была через stunnel. После аварии мастер был переключен, соответственно нужно восстановить репликацию. После смены местами ролей, stunnel начал выдавать ошибку:

SSL_accept: 1408F10B: error:1408F10B:SSL routines:ssl3_get_record:wrong version number

Client config:

socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = local6.err

[mysql]
client = yes
accept = 127.0.0.1:3307
connect = remote_ip:3307
retry = yes
sslVersion = TLSv1.2
CAfile = /var/lib/ssl/certs/ca.pem
cert = /var/lib/ssl/certs/KeyName.pem
key = /var/lib/ssl/private_keys/KeyName.pem

Master config:

pid=/var/run/stunnel4/smysql.pid
socket = l:TCP_NODELAY=1
socket = r:TCP_NODELAY=1
debug = local6.err

[mysql_server]
accept = 3307
connect = 127.0.0.1:3306
cert = /var/lib/ssl/certs/KeyName.pem
key = /var/lib/ssl/private_keys/KeyName.pem
CAfile = /var/lib/ssl/certs/ca.pem
CRLfile = /var/lib/ssl/crl.pem
verify = 2
sslVersion = TLSv1.2

Version stunnel on server and client:

stunnel 5.39 on x86_64-pc-linux-gnu platform
Compiled with OpenSSL 1.1.0c 10 Nov 2016
Running with OpenSSL 1.1.1d 10 Sep 2019
Update OpenSSL shared libraries or rebuild stunnel
Threading:PTHREAD Sockets:POLL,IPv6,SYSTEMD TLS:ENGINE,FIPS,OCSP,PSK,SNI Auth:LIBWRAP

Global options:
debug = daemon.notice
pid = /var/run/stunnel4.pid
RNDbytes = 64
RNDfile = /dev/urandom
RNDoverwrite = yes

Service-level options:
ciphers = FIPS (with "fips = yes")
ciphers = HIGH:+3DES:+DH:!aNULL:!SSLv2 (with "fips = no")
curve = prime256v1
debug = notice
logId = sequential
options = NO_SSLv2
options = NO_SSLv3
sessionCacheSize = 1000
sessionCacheTimeout = 300 seconds
stack = 65536 bytes
TIMEOUTbusy = 300 seconds
TIMEOUTclose = 60 seconds
TIMEOUTconnect = 10 seconds
TIMEOUTidle = 43200 seconds
verify = none

Лишь одно различие между ними:
Server - Running with OpenSSL 1.1.1b 26 Feb 2019
Client - Running with OpenSSL 1.1.1d 10 Sep 2019

Version OS: Debian Strech 9.12 (server and client)

Если вернуть все как было, ошибка все равно остается. Сертификаты не менял. Пробовал добавлять опции option: NO_SSLv3, NO_SSLv2 и sslVersion = all. Все накатывается puppet-ом, ошибки опечаток или т.п. фейлов исключены. Mysql репликацию с помощью ssl на данный момент не предлагать, не горю желанием прод базу ребутать без возможности переключения записи.
  • Вопрос задан
  • 24 просмотра
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы