Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 38 subscribers
  • Views 635 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Total schräges Verhalten - SSL aber auch normale Seiten

mrks
Hallo!

Bei mir tritt folgendes Verhalten auf, das ich so gar nicht verstehe. Das ist so eigenartig, dass es ziemlich schwierig ist, es zu beschreiben [:S]

- Websecurity/Webfilter: Off
Einige Seiten gehen, einige gehen nicht. So wird z.B. "www.microsoft.at" noch korrigiert auf den richtigen URL ("www.microsoft.com/...", dann steht das Ding aber (weißes Browserfenster, bis mal ein Timeout kommt). Genau so ist es mit IBM - United States. PayPal geht auch nicht, bei amazon kann ich mein Konto nicht einsehen. Und wie ich im Nachhinein annehme, sind auch die Mail-Probleme (Senden von Mails über iCloud) ebenfalls auf dieses Verhalten zurückzuführen - TLS bzw. SSL scheint generell nicht zu laufen....
ABER: Der Hammer ist, dass auf der anderen Seite wiederum viele Web-Sites  tadellos funktionieren. Darunter auch z.B. das Internetbanking der Bank-Austria (SSL), die Lernplattform Moodle (SSL),.......

Hier lässt sich derzeit nicht erkennen, woran es liegen könnte. Ich hab auch mit WireShark nix Brauchbares feststellen können. 

- Websecurity/Webfilter: On -> Transparent -> No Auth
Spannenderweise gehen nun plötzlich auch die IBM und die Microsoft Seiten. PayPal (und alle anderen TLS/SSL Sachen aber immer noch nicht). Dreht man den Filter übrigens wieder ab, tritt sofort das Verhalten von oben auf -> die Seiten stehen wie ein Bock.

- Websecurity/Webfilter: On -> Transparent -> No Auth -> Scan SSL Traffic
Und? Natürlich funktionieren nun auch PayPal, Amazon Kontoansicht, Audible Warenkorb, etc. -> alles über eine gesicherte Verbindung. Allerdings ist die Darstellung unterschiedlich. Safari zeigt nur Text und kann das originale Bild nicht recovern. Bei Opera muss man auch mehr Ausnahmen für das "Zwischenzertifikat" bestätigen, aber dafür schaut die PayPal Seite so aus, wie man es sich erwarten würde. Auch die anderen Seiten, die ohne Filter funktioniert haben, werden korrekt angezeigt.

Zum Umfeld: 
Installation von 8.302 (Software Version) auf einer Shuttle Box.
Provider: A1Telekom 
Es wurden zum Testen alle (?) Funktionen deaktiviert, die hier negative Auswirkungen erzeugen könnten (IPS, keine Profiles, kein Country Blockig,....)
Getestet wurde unter Mac OS 10.7.3 mit Safari, FireFox und Opera am iMac; detto auch mit einem Air (wie oben) und Windows 7 unter Parallels.


Die Installation ist "neu"; aufgrund der Probleme hat ich ein Factory Reset gemacht und nochmals kontrolliert, ob alles richtig gesetzt ist. Aber abschließend noch ein Disclaimer: Ich beschäftige mich das erstmal mit Astaro und bitte daher um Entschuldigung, wenn ich Offensichtliches übersehe. [:D]

Für jede Hilfe bin ich dankbar.
Markus


This thread was automatically locked due to age.
  • 0
    Es war/ist das Thomson Speedtouch 510 in Kombination mit der Astaro!!!
    Wenn man das Modem auf Router/NAT betrieb umstellt funktioniert es (zumindest bist jetzt) wie es soll.

    - Astaro vom Modem trennen
    - Modem direkt an den Switch hängen
    - Adresse am PC ändern
    - http session zum Modem aufbauen
    - neue Konfig einspielen
    - im Modem als Default GW das Astaro IF eintragen
    - alles speichern
    - Modem wieder an Astaro
    - Adresse am PC umstellen
    - externes Interface von PPoA auf normales Ethernet ändern (inkl. IP, etc.)

    Und nun klappt's auch mit dem PayPal, plötzlich geht auch SMTP/S wieder, etc.

    Ich habe allerdings keine Ahnung, ob das
    a) am Speedtouch (ca. 8 Jahre alt, gehört der A1Telekom) oder
    b) an der Astaro liegt.

    Vielleicht hat ja jemand Erfahrung, wie sich modernere Modems mit PPoA verhalten, sprich ob das auf das Alter des Modems/der Firmware zurückführen lässt, oder ob die Astaro-Implementierung einen Fehler hat.

    mrks

    Edit: Kling banal, aber war eher Zufall. Gottseidank habe ich noch die Konfig-Files. Seiten mit Anleitungen für den "Umbau" findet man zwar noch, aber die Links auf die Files zeigen alle ins Leere.
  • 0 in reply to mrks
    Ich kenne die UTM noch nicht solange, aber ich habe nach einem hilfreichen Tipp entdeckt, dies liegt am MTU Wert der WAN-Schnittstelle, welche beim "Standardwert" 1492 (vor eingestellt) genau dieses Verhalten zeigt.

    Durch Umstellung auf den MTU-Wert 1500 pfeift alles wie es soll; damit bekommt nicht der nun als Modem arbeitende Router von der Telekom die öffentliche IP-Adresse, sondern die UTM. Dies erleichtert den Umgang mit ihr ungemein, weil jetzt die UTM sowohl für Routing als auch NAT zuständig ist. Auch alle Fernzugriffe landen direkt auf der UTM, was die Sache ungemenin erleichtert.

    Das größere Problem ist heute eigentlich bei den Providergerätepark die DSL Schnittstelle weiterzureichen um deren Spielzeugroutern auszuweichen.

    lg. Leo Helm
Unfiltered HTML