2019年09月22日

OpenWrtでwww.ieserver.netのddnsを使う(18.06.4以降用の補足)

OpenWrtでwww.ieserver.netのddnsを使うときに
OpenWrt 18.06.4では以前の記事の内容だけではうまく動かなかったので補足です
以前の記事

事前準備:
sslでDDNSへ接続する場合は下記をインストール
opkg install ca-certificates
opkg install luci-app-ddns
opkg install wget     //ssl対応版が必要
ddns-scriptsもいるのかもしれないのでこれもインストールしてあります

ここまでは良いのですが、そのまま次に進むと
wgetのSSL接続でのエラーが出ます。
どうやらSSLでTLSv1にしか対応していないサーバーにつなごうとするとエラーが出るようです
17.xx時代のOpenWrtでは問題なかったので、wgetの仕様の変更でしょうね。
TLSv1は今現在は使用が推奨されていなく、ほかのプロトコルを使うべきという話があるので。
テスト用のコマンドは次のような感じ
 wget 'https://ieserver.net'
 ERROR : GNU Wget Error: '4'
 OpenSSL: error:14077410:lib(20):func(119):reason(1040)
 Unable to establish SSL connection.
ということで先にVIでプログラムを一部書き換え、TLSv1で接続するように指定します
teratermというフリーソフトでOpenWrtに、SSLで、ログインします

vi /usr/lib/ddns/dynamic_dns_functions.sh
以下のコマンドで検索
/ no-proxy

[ -z "$proxy" ] && __PROG="$__PROG --no-proxy"
が453/947行目にあると思いますのでその次の行に
以下を追加(i を押すと編集モード)
__PROG="$__PROG --secure-protocol=TLSv1"
Esc を押して編集モードを終了して
:wq で保存

これによりTLSv1という暗号化でアクセスするようになるオプションつきで動作するようになりますので、エラーが出なくなります
(ログを見たときに--secure-protocol=TLSv1"が追加されてwgetが動作します)

あとは以前の記事のようにluciで設定すれば正常に動作するかと思います

openwrtでwww.ieserver.netのddnsを使う
https://okoya.seesaa.net/article/452439610.html

補足:TLSV1は収束方向で良くないようなので当方は別のDDNSに移行しました
2020年にはchrome81やfirefox74、IEでhttps://www.ieserver.netにアクセスすると、
安全な接続ができませんでした,接続中にエラーが発生しました,SSL_ERROR_UNSUPPORTED_VERSION
というエラーでページが表示できなく、ログインしてのIP更新はできなくなる見込みです
(サイトの更新がなければ)
(httpのほうに接続すれば表示されるはずではありますが、、、)

OpenWrtでwww.dynu.comのddnsを使う
https://okoya.seesaa.net/article/470774716.html


参考:
主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画
https://security.srad.jp/story/18/10/18/0628221/
Firefox Nightly、デフォルトでTLS 1.0/1.1が無効化される
https://security.srad.jp/story/19/10/01/1521238/
wgetのSSL接続でのエラー reason(1040)
https://okoya.seesaa.net/article/470340069.html
OPEN-WRTをOpenVPNのサーバーにして外部からアクセスするときの設定
https://okoya.seesaa.net/article/452648019.html



posted by okoya at 21:02| Comment(0) | 商品レビュー | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
感想、コメントを残そう
コメント記入ページへ