OPNsense Forum
International Forums => German - Deutsch => Topic started by: opnsense_user12123 on January 29, 2018, 06:00:38 pm
-
der aufruf der Weboberfläche der OPNsense-Box funktioniert nur noch bei den clients die nicht über den ssl proxy gehen.nur die können auf die weboberfläche der opnsense box zugreifen :-(
verändert habe ich nichts vor dem update. mehrere neustarts brachten nichts. alle anderen server mit ssl verbindung funktionieren mit dem root certifikat. nur die opnsense weboberfläche lässt sich mit https nicht mehr aufrufen. so als hätte ich die ip und die domain nicht unter "ssl no bump" eingetragen.
opnsense und die domain ist aber nach wie vor eingetragen. vor dem update gab es gar keine probleme.
Fehlermeldung:
The following error was encountered while trying to retrieve the URL: https://webssl/*
Failed to establish a secure connection to 192.168.1.1
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_SELF_SIGNED_CERT_IN_CHAIN)
das normale root cert wird von allen clients akzeptiert nur nur auf die weboberfläche komm ich über das root cert bzw das darauf basierende web ssl cert nicht mehr. ist aber nach wie vor in der admin oberfläche ausgewählt.
die einstellungen habe ich kontrolliert. da ist alles so wie vorher.
dann habe ich sogar noch versucht das web ssl cert basierend auf das root cert neu auszustellen.
bringt nichts und führt sogar auf den clients die nicht über den proxy gehn in eine schleife. das reloaded sich dann die ganze zeit.
was kann ich tun. habe ich etwas vergessen ?
Danke!
-
Ich habe festgestellt, dass manche seiten die in der "ssl no bump sites" liste stehen nicht mehr funktionieren.
z.b eine bank seite, die in der "ssl no bump sites" steht funktioniert nicht mehr. Auch die Windows Updates werden nicht mehr gefunden.
hier kommt der Fehler:
The following error was encountered while trying to retrieve the URL: https://www.bankseite.at/*
Failed to establish a secure connection to 62.112.46.80
The system returned:
(92) Protocol error (TLS code: X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY)
SSL Certficate error: certificate issuer (CA) not known: /C=IT/ST=Milano/L=Milano/O=Actalis S.p.A./03358520967/CN=Actalis Extended Validation Server CA G1
-
Windows updates finden keine Verbindung mehr ins Internet.
habe bereits über die console ein opnsense-update -f gemacht. brachte nichts
auch den cache geleert - brachte nichts.
manche seiten wie 192.168.1.1 (opnsense) können per https nicht mehr erreicht werden (siehe meinen Bericht oben) - auch manch andere Seiten sind obwohl im no SSL Bump Sites eingetragen nicht mehr erreichbar.
Selbst wenn ich alle seiten aus no ssl bump rauslösche komme ich über den proxy nicht mehr auf die seite.
Bin ich der Einzige mit so einem Problem ?
-
Schau dir mal deine ACLs an. Sind da welche hinzugekommen oder wurden neu geladen?
Der Fehler kommt mir seltsam bekannt vor. Ich hatte ihn mal, als ich eine Webseite auf der no-bump list hatte, die aber durch eine ACL schon geblacklisted war.
-
Nein. Ich habe sogar die blacklist deaktiviert und es hat nichts geändert.
Außerdem kann es doch nicht sein, dass 192.168.1.1 jetzt blacklisted ist oder ?
Irgendetwas im Zusammenhang mit Squid dürfte nicht mehr richtig funktionieren.
Hab nur keine Ahnung wie ich da draufkomme.
-
Das SSL Bundle ist neu (ca_root_nss 3.35), aber eher ungewöhnlich, dass sich dies so niederschlagen würde.
Müsste man nach der CA suchen ob diese vllt. nicht mehr vertraut wird...
Grüsse
Franco
-
Wie soll ich den da vorgehen?
Komischerweise funktionieren manche Seiten, andere aber nicht ohne logischen Zusammenhang.
Z.b eine bank8ng Seite steht unter no ssl bump und funktioniert, die andere steht auch drin funktioniert aber nicht. Wenn ich die Seite, die nicht funktioniert aus der no ssl Liste entferne, funktioniert sie trotzdem nicht.
Der Mozilla zeigt das Zertifikat in der url aber grün an.
Bei 192.168.1.1 verhält es sich anders. Beim Aufruf der Seite kommt nicht vertrauenswürdig, gibt man sie zur Ausnahme im Browser hinzu steht dann der CA Name in der url leiste..geladen wird sie aber trotzdem nicht weiter.
Die meisten Seiten funktionieren. Halt Windows Updates nicht mehr und die Seiten die http verwenden und funktionieren, da wird auch dem root Zeit vertraut..alles grün
-
Die CAs die nicht mehr gehen aufschreiben und deine OpenSSL/LibreSSL Version nennen als Referenz.
Hier ist die Bundle-Liste:
https://ccadb-public.secure.force.com/mozilla/IncludedCACertificateReport
Grüsse
Franco
-
Die CAs die nicht mehr gehen aufschreiben und deine OpenSSL/LibreSSL Version nennen als Referenz.
Hier ist die Bundle-Liste:
https://ccadb-public.secure.force.com/mozilla/IncludedCACertificateReport
Grüsse
Franco
Das Problem ist in den anderen Browsern genau so. Macht es dann Sinn?
192.168.1.1 kann ja nicht geblockt werden plötzlich? Auf 192.168.1.2 häng ein Switch den ich auch per https Aufrufe. Und der macht keine Probleme. Auf dem ist ein Server Zert installiert, daß auf mein Self Signet root ca root beruht
-
Aus welchem Grund auch immer konnte ich 2 von 3 Problemen lösen.
1. Das erste zu 192.168.1.1 per https verbinden nicht mehr möglich war, liegt offenbar an Alias Problemen!
Ich habe meine Firewall per Alias-Rules abgesichert. Das macht Probleme. Ich habe nun auf die Standard Anti-Lockout Regel umgestellt und siehe da, der Zugriff funktioniert wieder. - Es gibt also Probleme mit dem "Alias"
2. Die Bankseiten funktionieren plötzlich wieder. Keine Ahnung warum, vielleicht hängt es am 18.1_1 update?
3. Der 3. Problem habe ich leider noch immer. Die Windows Update Funktion unter Windows 10 Clients besteht noch immer. Die Clients bekommen keine Verbindung zum Windows Update Server. Ich vermute hier aber auch irgendein Firewall/NAT/Alias/Proxy Problem. Mal schaun..
-
Nachdem mein Router nun per https wieder erreichbar ist musste ich feststelle, daß der Aufruf der Weboberfläche meines Druckers per https die selben Probleme macht wie vorher der Aufruf meines Routers. Drucken per lan und zugreifen auf smb Share funktioniert nur wieder mal wird das Zertifikat, die https Proxy Verbindung als nicht vertrauenswürdig eingestuft und der Webzugriffe endet mit der url https://Drucker-ca
Wo liegt da das Problem?
Clients die nicht über den Proxy gehen kommen auf die weboberfläche drauf. Also muss es irgendwie mit dem Proxy zusammenhängen. Nur an was. Hab ja nichts umgestellt seit dem Update :-(
Bin sehr dankbar über jegliche Hilfe