Historinha e Erro TLS com OpenConnect
Fala Galera, tranquilo ?!
Ultimamente ando bem atribulado com os projetos novos, comecei a entrar de cabeça no mundo de DevOps e, consequentemente, as ferramentas e problemas vinculados à elas.
No meio desse furacão todo me deparei com alguns problemas em uma migração de um escritório. A situação foi a seguinte:
O pessoal tinha Windows e decidiram migrar todas as estações para Red Hat Linux 7 !!!
Resume - Infelizmente essas migrações sempre vêm com "vírgulas" e "porém's", geralmente a falta de comunicação e empatia de todas as partes que acabam complicando uma migração "simples". Como os usuários eram desenvolvedores e não usuários comuns com alto risco de BIOS em comandos no sbin, acredito que deveria ter-se uma empatia por parte da equipe de sistemas para a liberação do acesso root para a galera instalar seus queridos pacotes de desenvolvedores e ter mais liberdade.
Também entendo que são riscos que não podemos correr "dar root ao usuário", afinal, não é igual acesso de administrador do Windows.
Por fim, houve um meio termo e todos saíram (quase) felizes.
No meio desta migração nos deparamos com um problema, migrar o software de conexão VPN Cisco (AnyConnect) para Linux ! Afinal não há este software desenvolvido pela Cisco para Linux.
Descobrimos então uma alternativa open source que é compatível com a conexão Cisco VPN AnyConnect, o OpenConnect !
Juntamente com alguns outros pacotes, como vpnc, ocserv e OpenConnect-NetworkManager nós conseguimos resolver o problema.
Mas a treta de tudo isso foi..... O openconnect acusava que não conseguia enviar pacotes para https na URL de conexão da VPN fornecida quando a máquina estava zerada, sem nenhum probleminha.
Passamos alguns dias quebrando a cabeça sobre como fazer funcionar um problema que não encontrávamos nem no GOOGLE ! Como isso ? Não encontrar no google ?!
Exato caros Tele Especs.... Verificamos as configurações da VPN, no server e no client e nada !
Até que resolvemos ir tão a fundo, mas tão a fundo, que abrimos LIVROS para entender o que estava acontecendo..... Não, não achamos a resposta em um livro, infelizmente.
Chegamos ao portal de todas as coisas linux... o BugZilla ! Nesse caso, fomos até o bugzilla da RedHat e começamos à vasculhar cada evidência que os logs nos apresentavam.
Até que encontramos O bug, que garimpo foi esse ?!, O bug 1276792 registrado na Red Hat nos levou à uma discussão gigantesca sobre, e lendo aquela discussão maligna, uma pessoa abençoada nos deu a luz:
Nikos Mavrogiannopoulos 2015-11-02 04:32:13 ESTIs that a stock fedora 22 system or modified in some way? In F22 you should have the crypto-policies package which should have generated the required files. If not try running update-crypto-policies.
Esse rapaz iluminado, provavelmente da Rússia ou Yugoslavia, nos deu a hint necessária, verificar as CRYPTO-POLICIES e realizar um update nelas (update-crypto-policies), apenas para popular uma simples variável de sistema utilizada pelo gnutls para trocar informações chulas com a VPN.
Feito isso, todos se abraçaram, fomos para um happy hour e dormimos tranquilos !
EEEEEEEE, caros leitores, descobrimos algo absurdamente histérico para qualquer um que passe dias quebrando a cabeça e tendo pesadelos com um problema......... O estagiário estava rodando os testes na VM dele, um Fedora.......
0 comentários :
Postar um comentário