Thursday, May 23rd 2013, 10:22pm UTC+2

You are not logged in.

  • Login
  • Register

Icinga and NRPE und CHECK_NRPE: Error - Could not complete SSL handshake.

Dear visitor, welcome to Monitoring-Portal.
Although this is a german monitoring forum, please don't hesitate to post in English. Nearly everybody here understands you and will answer in English as well.
If this is your first visit here, please read the Help. It explains how this page works. You must be registered before you can use all the page's features. Please use the registration form to register here or read more information about the registration process. If you are already registered, please login here.

darkhawk

Beginner

Posts: 2

Number of monitoring servers: Nein

Nagios Version: Icinga

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 300

Number of services: 2000

OS: Debian/pfSense/CentOS/Windows

Plugin Version: diverse

1

Thursday, July 12th 2012, 12:45am

Icinga and NRPE und CHECK_NRPE: Error - Could not complete SSL handshake.

Hat spontan jemand einen Ansatzpunkt bzgl. dem

"CHECK_NRPE: Error - Could not complete SSL handshake. "

Problem?

Die NRPE.CFG auf dem abzufragenden remote Host, in diesem Fall ein aktuelles pfSense auf einer Alix 2D13, weisst auch die entsprechenden Einträge unter allowed_hosts auf.

Der Witz an der Sache ist, das es ohne Probleme per CLI funktioniert. Die Hosts werden random like mit dem "CHECK_NRPE: Error - Could not complete SSL handshake. " angezeigt...manchmal geht es wieder...dann wieder nicht...

Neu installiert ist der nrpe client auch schon auf dem remote System. Und auch eine andere externe WAN Anbindung wurde getestet, um Verbindungsprobleme (Proxy) oder ähnliches zu vermeiden....

Nix...

Der Server an sich fragt auch andere NRPE Remote Server ab, mit Erfolg.

Das Problem bei speziell diesem NRPE Remote Server begann erst vor wenigen Tagen...kann man ggf dieses SSL Zertifikat (welches vermutlich mal erstellt wurde) prüfen? Ich vermute das dieses ggf abgelaufen ist...falls ja, wo liegt es? Oder wird jedes mal ein individual ssl zertifikat ausgehandelt?!

mfg
Christian

dnsmichi

Super Moderator

Posts: 5,989

Birthday: May 30th 1983 (29)

Gender: male

Location: Nürnberg

Occupation: Consultant / Developer beim besten Arbeitgeber der Welt @netways

Number of monitoring servers: Icinga: 4x dev, 10++ prod, Icinga2: 2x dev

Nagios Version: s/nagios/icinga/

Icinga Version: 1.9.1 / GIT

Distributed monitoring: Ja

Redundant monitoring: Ja

Number of hosts: 1000+

Number of services: 15000+

OS: RHEL, Debian, SUSE

Plugin Version: 1.4.16

IDO-Version: 1.9.1 / GIT MySQL/Postgresql/Oracle

Other Addons: Icinga Web, PNP, check_multi, inGraph, EventDB, LConf

2

Thursday, July 12th 2012, 1:02am

RE: Icinga and NRPE und CHECK_NRPE: Error - Could not complete SSL handshake.

Quoted from "darkhawk"

Die NRPE.CFG auf dem abzufragenden remote Host, in diesem Fall ein aktuelles pfSense auf einer Alix 2D13, weisst auch die entsprechenden Einträge unter allowed_hosts auf.


und wie sieht diese config aus?

Quoted from "darkhawk"


Der Witz an der Sache ist, das es ohne Probleme per CLI funktioniert. Die Hosts werden random like mit dem "CHECK_NRPE: Error - Could not complete SSL handshake. " angezeigt...manchmal geht es wieder...dann wieder nicht...


vermutlich als root getestet. ohne shell output wirds allerdings zur rateorgie.
https://wiki.icinga.org/display/testing/…+Plugin+Testing

Quoted from "darkhawk"


Neu installiert ist der nrpe client auch schon auf dem remote System. Und auch eine andere externe WAN Anbindung wurde getestet, um Verbindungsprobleme (Proxy) oder ähnliches zu vermeiden....


interessant waere auch noch - icinga host mit os/distri, icinga version, nrpe version, source compiles oder packages, sowie logs und check_nrpe command definition, sowie service definition.

Quoted from "darkhawk"


Der Server an sich fragt auch andere NRPE Remote Server ab, mit Erfolg.


wird wohl nicht alles gleich sein. sei verbose und poste die angeforderten infos.

Quoted from "darkhawk"


Das Problem bei speziell diesem NRPE Remote Server begann erst vor wenigen Tagen...kann man ggf dieses SSL Zertifikat (welches vermutlich mal erstellt wurde) prüfen? Ich vermute das dieses ggf abgelaufen ist...falls ja, wo liegt es? Oder wird jedes mal ein individual ssl zertifikat ausgehandelt?!


upstream nrpe verwendet keine ssl zertifikate, sondern anonymous dh fuer ssl verschluesselung. ich hoffe mal nicht, dass du dir irpe von git.icinga.org gezogen hast - das ist naemlich nie released worden, und wirds wohl auch nie werden.
+++ Icinga / LConf Developer +++ Senior Consultant at []NETWAYS> +++
+++ Icinga 1.9 || Icinga 2 +++ Icinga Support || IRC +++

darkhawk

Beginner

Posts: 2

Number of monitoring servers: Nein

Nagios Version: Icinga

Distributed monitoring: Nein

Redundant monitoring: Nein

Number of hosts: 300

Number of services: 2000

OS: Debian/pfSense/CentOS/Windows

Plugin Version: diverse

3

Friday, July 13th 2012, 7:43am

Das Icinga (Version: 1.7.0-4~bpo60+1) stammt aus dem aktuellen Debian Squeeze.
Der NRPE Server ist unter pfSsense installiert worden (NRPE v2 Version: 2.12_3 v2.1).

Die nrpe.cfg auf der Alix sieht wie folgt aus:

Source code

 
1
2
3
4
5
6
7
8
9
10
11
12

log_facility=daemon
pid_file=/var/run/nrpe2.pid
server_port=5666
server_address=NRPE_PUBLIC_IP
nrpe_user=nagios
nrpe_group=nagios
allowed_hosts=IP_DES_ICINGA_Servers,127.0.0.1
dont_blame_nrpe=1
debug=0
command_timeout=120
command[check_users]=/usr/local/libexec/nagios/check_users -w 5 -c 10 
....weitere commands

connection_timeout=300


Mit dieser Config ist es ewig gelaufen...bis vor ca. 1 Woche...seit dem wirft das ICINGA den Fehler
"CHECK_NRPE: Error - Could not complete SSL handshake."

Ich habe schon den NRPE Server per Hand mit der Option -n (kein SSL) gestartet. Da tritt der gleiche Effekt auf..

Das merkwürdige ist, das es hier und da mal geht...sprich hin und wieder sind im Icinga die entsprechenden Services grün, doch dies läuft Random like über die Services rüber.

Wenn ich den check_nrpe Befehl per CLI absetze...ist auch alles ok.

Source code

 
1
2

nagios@vs28admin:~$ /usr/lib/nagios/plugins/check_nrpe -H NRPE_PUBLIC_IP -c check_tkanlage
PING OK - Packet loss = 0%, RTA = 0.42 ms|rta=0.417000ms;150.000000;500.000000;0.000000 pl=0%;20;60;0


Mit den anderen Comands verhält sich das gleich.

Das check_nrpe Tool auf dem Icinga Server ist in der Version: 2.12 durch das Debian Squeeze Paketmgmnt installiert

Source code

 
1
2
3
4
5
6

NRPE Plugin for Nagios
Copyright (c) 1999-2008 Ethan Galstad (nagios@nagios.org)
Version: 2.12
Last Modified: 03-10-2008
License: GPL v2 with exemptions (-l for more info)
SSL/TLS Available: Anonymous DH Mode, OpenSSL 0.9.6 or higher required

dnsmichi

Super Moderator

Posts: 5,989

Birthday: May 30th 1983 (29)

Gender: male

Location: Nürnberg

Occupation: Consultant / Developer beim besten Arbeitgeber der Welt @netways

Number of monitoring servers: Icinga: 4x dev, 10++ prod, Icinga2: 2x dev

Nagios Version: s/nagios/icinga/

Icinga Version: 1.9.1 / GIT

Distributed monitoring: Ja

Redundant monitoring: Ja

Number of hosts: 1000+

Number of services: 15000+

OS: RHEL, Debian, SUSE

Plugin Version: 1.4.16

IDO-Version: 1.9.1 / GIT MySQL/Postgresql/Oracle

Other Addons: Icinga Web, PNP, check_multi, inGraph, EventDB, LConf

4

Friday, July 13th 2012, 11:14am

RE: RE: Icinga and NRPE und CHECK_NRPE: Error - Could not complete SSL handshake.

Quoted from "dnsmichi"


interessant waere auch noch - icinga host mit os/distri, icinga version, nrpe version, source compiles oder packages, sowie logs und check_nrpe command definition, sowie service definition.
+++ Icinga / LConf Developer +++ Senior Consultant at []NETWAYS> +++
+++ Icinga 1.9 || Icinga 2 +++ Icinga Support || IRC +++

Similar threads