<div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div><div><br></div><div><br></div><div>Not sure if the logs a clear on what/when connection is rejected.</div><div><br></div><div><div>I can share a few troubleshooting hints :</div></div><div><br></div><div>1: Check if you are using the setting <font face="monospace, monospace">require_certificate</font> try to set it to no and test again.</div><div><br></div><div>2: You can verify that you can connect to our proxy using libssl</div><div><br></div><div><font face="monospace, monospace">openssl s_client -showcerts -debug -verify_hostname <<a href="http://yourdomain.com">yourdomain.com</a>> -servername <<a href="http://yourdomain.com">yourdomain.com</a>>  -connect <<a href="http://yourdomain.com">yourdomain.com</a>>:5061</font></div><div><br></div><div><br></div><div>This command will produce a detailed report,</div><div><br></div><div>if the connection does not work you may need to add the root CA from letsencrypt</div><div><a href="https://letsencrypt.org/certificates/">https://letsencrypt.org/certificates/</a></div><div><br></div><div>(If your Linux OS is a bit old, this will be the case)</div><div><br></div><div>You can test with :</div><div><br></div><div><font face="monospace, monospace">openssl s_client -showcerts -debug -verify_hostname <<a href="http://yourdomain.com">yourdomain.com</a>> -servername <<a href="http://yourdomain.com">yourdomain.com</a>> -connect <<a href="http://yourdomain.com">yourdomain.com</a>>:5061 -CAfile /etc/ssl/certs/isrgrootx1.pem</font></div><div><br></div><div><br></div><div>3: take a full TCP trace using tcpdump and look at the handshake, you may learn more about the failure/rejection</div><div><br></div><div>Hope this will help you, to save some of your hair</div><div>Julien</div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 7, 2019 at 1:29 AM Gertjan Wolzak <<a href="mailto:g.wolzak@kazlow.nl">g.wolzak@kazlow.nl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="font-family:arial,helvetica,sans-serif;font-size:12pt;color:rgb(0,0,0)"><div><br></div><div><br></div><div>Hello Kamailions,</div><div><br></div><div>Julien, thank you for the help, I have added the letsencrypt ca certificate to the ca list, still no dice.</div><div><br></div><div><div><div>So, still got lots of questions, but after my last booboo going to do some more research and testing. When I have no more hair left will get back to the list.</div><div><br></div><div>Thanks for now.</div><div><br></div><div>Rgds,</div><div><br></div><div>Gertjan Wolzak</div><div><br></div></div><div><br></div><div><br></div><div><br></div></div></div></div>_______________________________________________<br>
Kamailio (SER) - Users Mailing List<br>
<a href="mailto:sr-users@lists.kamailio.org" target="_blank">sr-users@lists.kamailio.org</a><br>
<a href="https://lists.kamailio.org/cgi-bin/mailman/listinfo/sr-users" rel="noreferrer" target="_blank">https://lists.kamailio.org/cgi-bin/mailman/listinfo/sr-users</a><br>
</blockquote></div>