[Eisfair] gelöst: Dehydrated: OCSP Error querying OCSP responder (IP-V6)
Rolf Bensch
azubi at bensch-net.de
Mo Dez 19 17:58:21 CET 2022
Hallo zusammen,
habe selbst die Lösung gefunden: IP-V6 ist das Problem. Mit dem Update der Fritzbox auf V7.5 wurde IP-V6 aktiviert. Das führt zu der Fehlermeldung:
Auf einem E1 mit IP-V4:
ibs-server (/) # curl -v http://r3.o.lencr.org/
* Trying 23.2.13.26:80...
* Connected to r3.o.lencr.org (23.2.13.26) port 80 (#0)
> GET / HTTP/1.1
> Host: r3.o.lencr.org
> User-Agent: curl/7.84.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Server: nginx
< Content-Length: 0
< Cache-Control: max-age=16940
< Expires: Mon, 19 Dec 2022 21:21:01 GMT
< Date: Mon, 19 Dec 2022 16:38:41 GMT
< Connection: keep-alive
<
* Connection #0 to host r3.o.lencr.org left intact
ibs-server (/) #
Auf dem E64 mit IP-V6:
eis64-2 (/) # curl -v http://r3.o.lencr.org/
* Trying 2a02:26f0:3500:e::1732:835c:80...
* Connected to r3.o.lencr.org (2a02:26f0:3500:e::1732:835c) port 80 (#0)
> GET / HTTP/1.1
> Host: r3.o.lencr.org
> User-Agent: curl/7.84.0
> Accept: */*
>
* Recv failure: Connection reset by peer
* Closing connection 0
curl: (56) Recv failure: Connection reset by peer
eis64-2 (/) #
Nach Deaktivierung von IP-V6 auf der Fritzbox vor dem E64 läuft das wieder durch. Auch die OSCP-Stapling-Files werden wieder korrekt geholt und "show certificate-chain" liefert wieder "OCSP Response verify OK (cache)".
Prinzipiell benötige ich IP-V6 (noch) nicht. Hätte ich an dieser Stelle etwas auf dem Eis oder der Fritzbox konfigurieren müssen damit das auch mit IP-V6 funktioniert?
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair