NoVNC funktioniert nicht (pveproxy - unknown ca)

Hampelmann

New Member
May 29, 2018
9
0
1
32
Hallo zusammen,

bei uns tritt ein sehr seltsamer Fehler auf. Wir haben ein 2-node pve cluster auf dem neusten Stand (direkt über die proxmox isos installiert). Wenn wir über die Weboberfläche von node2 die novnc console einer VM öffnen, taucht kurz das Bild der VM auf und man kann sie auch steuern aber nach ca. 1-5 Sekunden bricht die Verbindung ab (failed to connect to server). Dabei ist es egal ob die VM auf node1 oder node2 ist. Im Log von pveproxy gibt es diese Fehlermeldung:
"May 29 11:19:10 node2 pveproxy[26776]: problem with client 10.11.13.26; ssl3_read_bytes: tlsv1 alert unknown ca".
Wenn man auf die Weboberfläche von node1 geht, besteht das Problem nicht und es taucht auch die Fehlermeldung nicht auf.
Wir haben schon einges versucht - Zertifikate neu erstellt:
https://pve.proxmox.com/wiki/HTTPS_Certificate_Configuration_(Version_4.x,_5.0_and_5.1)#Revert_to_default_configuration
Browser cache geleert, unterschiedliche Brower verwendet, eigenes Server Zertifikat erstellt. Nichts hat geholfen.

Irgendwelche Ideen?
Grüße
 

Alwin

Proxmox Staff Member
Staff member
Aug 1, 2017
2,672
234
63
Was fuer einen Stand haben die beiden Nodes (pveversion -v)?
 

Hampelmann

New Member
May 29, 2018
9
0
1
32
Hallo Alwin,

bisher hatten beide folgenden Stand:
proxmox-ve: 5.1-42 (running kernel: 4.13.16-1-pve)
pve-manager: 5.1-46 (running version: 5.1-46/ae8241d4)
pve-kernel-4.13: 5.1-43
pve-kernel-4.13.16-1-pve: 4.13.16-43
pve-kernel-4.13.13-2-pve: 4.13.13-33
corosync: 2.4.2-pve3
criu: 2.11.1-1~bpo90
glusterfs-client: 3.8.8-1
ksm-control-daemon: 1.2-2
libjs-extjs: 6.0.1-2
libpve-access-control: 5.0-8
libpve-common-perl: 5.0-28
libpve-guest-common-perl: 2.0-14
libpve-http-server-perl: 2.0-8
libpve-storage-perl: 5.0-17
libqb0: 1.0.1-1
lvm2: 2.02.168-pve6
lxc-pve: 2.1.1-3
lxcfs: 2.0.8-2
novnc-pve: 0.6-4
proxmox-widget-toolkit: 1.0-11
pve-cluster: 5.0-20
pve-container: 2.0-19
pve-docs: 5.1-16
pve-firewall: 3.0-5
pve-firmware: 2.0-4
pve-ha-manager: 2.0-5
pve-i18n: 1.0-4
pve-libspice-server1: 0.12.8-3
pve-qemu-kvm: 2.9.1-9
pve-xtermjs: 1.0-2
qemu-server: 5.0-22
smartmontools: 6.5+svn4324-1
spiceterm: 3.0-5
vncterm: 1.5-3
zfsutils-linux: 0.7.6-pve1~bpo9

Wir haben ein update auf dem Problem-Server gemacht (der andere hat noch den obigen Stand):
proxmox-ve: 5.2-2 (running kernel: 4.15.17-2-pve)
pve-manager: 5.2-1 (running version: 5.2-1/0fcd7879)
pve-kernel-4.15: 5.2-2
pve-kernel-4.13: 5.1-45
pve-kernel-4.15.17-2-pve: 4.15.17-10
pve-kernel-4.15.17-1-pve: 4.15.17-9
pve-kernel-4.13.16-3-pve: 4.13.16-49
pve-kernel-4.13.16-2-pve: 4.13.16-48
pve-kernel-4.13.16-1-pve: 4.13.16-46
pve-kernel-4.13.13-2-pve: 4.13.13-33
corosync: 2.4.2-pve5
criu: 2.11.1-1~bpo90
glusterfs-client: 3.8.8-1
ksm-control-daemon: 1.2-2
libjs-extjs: 6.0.1-2
libpve-access-control: 5.0-8
libpve-apiclient-perl: 2.0-4
libpve-common-perl: 5.0-31
libpve-guest-common-perl: 2.0-16
libpve-http-server-perl: 2.0-8
libpve-storage-perl: 5.0-23
libqb0: 1.0.1-1
lvm2: 2.02.168-pve6
lxc-pve: 3.0.0-3
lxcfs: 3.0.0-1
novnc-pve: 0.6-4
proxmox-widget-toolkit: 1.0-18
pve-cluster: 5.0-27
pve-container: 2.0-23
pve-docs: 5.2-4
pve-firewall: 3.0-9
pve-firmware: 2.0-4
pve-ha-manager: 2.0-5
pve-i18n: 1.0-5
pve-libspice-server1: 0.12.8-3
pve-qemu-kvm: 2.11.1-5
pve-xtermjs: 1.0-5
qemu-server: 5.0-26
smartmontools: 6.5+svn4324-1
spiceterm: 3.0-5
vncterm: 1.5-3
zfsutils-linux: 0.7.9-pve1~bpo9
 
Last edited:

Alwin

Proxmox Staff Member
Staff member
Aug 1, 2017
2,672
234
63
Wurde der Browser Cache schon geleert?

Auch mal folgendes Probiert?
Code:
pvecm updatecerts --force
Die Zertifikate mit force neu erstellt?
Code:
systemctl restart pvedaemon.service
systemctl restart pveproxy.service
Und dann die Dienste auf beiden Nodes neu gestartet?
 

Hampelmann

New Member
May 29, 2018
9
0
1
32
Ja, alles schon versucht. Auch ein eigenes Zertifikat der eigenen CA:
https://pve.proxmox.com/wiki/HTTPS_Certificate_Configuration_(Version_4.x,_5.0_and_5.1)#CAs_other_than_Let.27s_Encrypt

Und danach wieder zurück:
https://pve.proxmox.com/wiki/HTTPS_Certificate_Configuration_(Version_4.x,_5.0_and_5.1)#Revert_to_default_configuration

Zugriff von verschiedenen Clients mit unterschiedlichen Browsern. Immer das gleiche Problem.

Die Fehlermeldung "May 30 08:51:38 node2 pveproxy[30334]: problem with client 10.11.13.26; ssl3_read_bytes: tlsv1 alert unknown ca" ist auch im Log, wenn man nur die Weboberfläche auf der node2 benutzt - funktioniert aber.

Rein logisch betrachtet kann es gar nicht am Zertifikat liegen, da noVNC ein paar Sekunden funktioniert. Wenn es ein Zertifikatsproblem wäre, durfte die Verbindung eigentlich gar nicht zustande kommen, da sie verschlüsselt ist. Da ich aber nicht genau weiß, wie noVNC in Verbindung mit Proxmox funktioniert, ist alles möglich. Läuft da was im Hintergrund mit ssh?

Viele Grüße
 

Alwin

Proxmox Staff Member
Staff member
Aug 1, 2017
2,672
234
63
Code:
/etc/pve/priv/
/etc/pve/nodes/{node_name}
Unter diesen Pfaden sollten neue Zertifikate liegen, nachdem 'pvecm updatecerts --force' ausgeführt wurde. Sollte dem so sein und es geht immer noch nicht, dann
Code:
/etc/pve/pve-root-ca.pem
die root ca löschen und erneut ein 'pvecm updatecerts --force' laufen lassen, damit wird auch gleich eine neue root ca erstellt.
 

Hampelmann

New Member
May 29, 2018
9
0
1
32
Danke für die Tipps!

Schon alles mehrfach versucht - die Zertifikate wurden alle neu erstellt - kein Erfolg.
 

Alwin

Proxmox Staff Member
Staff member
Aug 1, 2017
2,672
234
63
Steht in den Logs (syslog/journal), weitere Meldungen die Aufschluss geben könnten?
 

Alwin

Proxmox Staff Member
Staff member
Aug 1, 2017
2,672
234
63

Hampelmann

New Member
May 29, 2018
9
0
1
32
Leider hilft das bei uns nichts. Wir versuchen schon seit Wochen das zu lösen und haben das schon mehrfach in jeder Kombination versucht.

Sonst noch irgendelche Ideen?
 

Alwin

Proxmox Staff Member
Staff member
Aug 1, 2017
2,672
234
63
Beide Nodes auf den selben Stand bringen. Anderer Browser verwenden.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE and Proxmox Mail Gateway. We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!