Proxmox 7.3-6 - apt update Error

[n3ro]

Hallo zusammen,



ich betreibe ein kleins Proxmox CLuster aus zwei Nodes. Seit ein paar Tagen bekomme ich eine der Nodes leider nicht mehr aktualisiert. Ich erhalte immer folgende "merkwürdige Meldungen in Log:

apt update

Hit:3 http://ftp.de.debian.org/debian bullseye InRelease

Hit:4 http://ftp.de.debian.org/debian bullseye-updates InRelease

Err:1 http://security.debian.org bullseye-security InRelease

  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. The name in the certificate does not match the expected.  Could not handshake: Error in the certificate verification. [IP: 192.168.1.1 443]

Err:2 http://download.proxmox.com/debian/pve bullseye InRelease

  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. The name in the certificate does not match the expected.  Could not handshake: Error in the certificate verification. [IP: 192.168.1.1 443]

Reading package lists... Done

Building dependency tree... Done

Reading state information... Done

All packages are up to date.

W: Failed to fetch http://security.debian.org/dists/bullseye-security/InRelease  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. The name in the certificate does not match the expected.  Could not handshake: Error in the certificate verification. [IP: 192.168.1.1 443]

W: Failed to fetch http://download.proxmox.com/debian/pve/dists/bullseye/InRelease  Certificate verification failed: The certificate is NOT trusted. The certificate issuer is unknown. The name in the certificate does not match the expected.  Could not handshake: Error in the certificate verification. [IP: 192.168.1.1 443]

W: Some index files failed to download. They have been ignored, or old ones used instead.

Was mich wunder, dass hier die 192.168.1.1 (IP meiner Firewall) im Log steht.

Wenn ich ein nslookup auf die FQDNs der abzurufenden URLs mache erhalte ich jedoch die korrekte IP zurück.



nslookup security.debian.org

Server: 192.168.1.5

Address: 192.168.1.5#53



Non-authoritative answer:

Name: security.debian.org

Address: 151.101.194.132

Name: security.debian.org

Address: 151.101.2.132

usw...



Außerdem habe ich bereits einiges probiert:



apt-get update --allow-unauthenticated



apt-get remove apt-transport-https

apt-get install apt-transport-https



openssl s_client -showcerts -connect download.proxmox.com:443 </dev/null 2>/dev/null|openssl x509 -outform PEM >pve.crt

mv pve.crt /usr/local/share/ca-certificates/

update-ca-certificates



nano /etc/apt/apt.conf.d/99verify-peer.conf

Acquire { https::Verify-Peer false }

Acquire::https::enterprise.proxmox.com::CaInfo "/etc/apt/pve-repo-ca-certificates.crt";

Acquire::https::enterprise.proxmox.com::Verify-Peer "true";



sed -i 's/https:/http:/' /etc/apt/sources.list

sed -i 's/https:/http:/' /etc/apt/sources.list.d/pve-enterprise.list



Leider hat bis jetzt keine Änderung zum Erfolg geführt. Da ich ungern die Node neu aufsetzen möchte, hoffe ich auf einen guten Tipp von euch

 

[Chris]

Hi,
check mal die /etc/hosts, hast du dort Einträge welche zum Auflösen auf die falsche IP führen? Was für ein Dienst läuft auf 192.168.1.5, dnsmasq?

 

[n3ro]

Die 192.168.1.5 und 6 sind meine DNS (pihole) Server.

cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
192.168.1.55 ck6.fritz.box ck6


# The following lines are desirable for IPv6 capable hosts


::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

 

[Chris]

Also checked the nameserver in /etc/resolv.conf. You might want to try to set a different one to test if the problem persists.

 

[n3ro]

here is it:

cat /etc/resolv.conf
search fritz.box
nameserver 192.168.1.5
nameserver 192.168.1.6

 

[Chris]

here is it:

cat /etc/resolv.conf
search fritz.box
nameserver 192.168.1.5
nameserver 192.168.1.6

Sorry, war da mit der Sprache durcheinander gekommen.
Check mal den output von curl:

curl -v http://security.debian.org

Hast du auch versucht temporär einen anderen nameserver zu verwenden, z.B. `1.1.1.1` oder `8.8.8.8`?

 

[n3ro]

Kein Problem

Also das folgende sieht echt komisch aus!! Bei meinem anderen Hosts ist das anders! Als wenn da eine AVM Sperre greift.

curl -v http://security.debian.org
*   Trying 2a04:4e42:200::644:80...
* Connected to security.debian.org (2a04:4e42:200::644) port 80 (#0)
> GET / HTTP/1.1
> Host: security.debian.org
> User-Agent: curl/7.74.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
* HTTP 1.0, assume close after body
< HTTP/1.0 302 Moved Temporarily
< Connection: close
< Content-Length: 244
< Content-Type: text/html
< Location: http://fritz.box/tools/kids_not_allowed.lua?account=default-2a02:8109:ec0:4db2:c8ed:d7ff:fe00:8e0b
<
* Closing connection 0
<html><head><title>302 Document moved</title></head><body><h1>302 Document moved</h1>This document has moved <a href="http://fritz.box/tools/kids_not_allowed.lua?account=default-2a02:8109:ec0:4db2:c8ed:d7ff:fe00:8e0b">here</a>.<p></body></html>

 

[n3ro]

Ich habe eine Vermutung. Ich habe VLAN Aware aktiviert und könnte bei Bedarf auch ein anderes Netz nutzen wo diese Sperre aktiv ist. Allerdings ist das ein komplett anderer IP Bereich und ich verwende das nicht für die Konfiguration des Hosts. Da geh ich mal hinterher.

 

[n3ro]

Jau es liegt am VLAN... Wenn ich tagged dieses Netz an den Proxmox Server gebe.. Ich frage mich nur warum er sich so verhält. Eigentlich ist das konfigurationsnetz untagged.