Problem bei Datei Download

[vinoreh]

Hallo zusammen,

ich habe Probleme folgende Datei herunter zu laden. https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
(Es handelt sich dabei um eine Software für mein Keyboard) Quelle: https://downloads.novationmusic.com/novation/synthesisers/summit

Das Problem tritt bei verschiedenen Endgeräte und Betriebssystemen auf.

Curl gibt mir unter Linux folgende Fehlermeldung:

Code: [Select]

$ curl https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to circuit-content.s3.amazonaws.com:443

Wenn ich den Download direkt von der OpnSense Maschine starte funktioniert es.
Es fällt mir allerdings schwer herauszufinden an welcher Stelle in der Konfiguration es hakt.


OpnSense hängt direkt an einem Kabelmodem das im Bridge-Modus läuft und spannt zwei LAN-Netze mit DHCP auf. Ein lokales LAN und ein Gastnetz.

Versions    OPNsense 22.7.6-amd64
                  FreeBSD 13.1-RELEASE-p5
                  OpenSSL 1.1.1s 1 Nov 2022

WAN Rules:

Code: [Select]

IPv4 * <bogons> * * * * * Block bogon IPv4 networks from WAN
IPv4 * 10.0.0.0/8,127.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16 * * * * * Block private networks from WAN
IPv6 * fc00::/7 * * * * * Block private networks from WAN
IPv4+6 UDP * 67 * 68 * * allow DHCP client on WAN
IPv4+6 UDP * 68 * 67 * * allow DHCP client on WAN
IPv4 UDP * * 192.168.1.99 2456 - 2457 * *
IPv4 TCP/UDP * * 192.168.1.99 27015 - 27020 * *

LAN Rules:

Code: [Select]

IPv4 UDP * 68 255.255.255.255 67 * * allow access to DHCP server
IPv4+6 UDP * 68 (self) 67 * * allow access to DHCP server
IPv4+6 UDP (self) 67 * 68 * * allow access to DHCP server
IPv4+6 TCP * * (self) 80 443 * * anti-lockout rule
IPv4 * LAN net * * * * * Default allow LAN to any rule
IPv6 * LAN net * * * * * Default allow LAN IPv6 to any rule


Habt ihr eine Idee was da los ist, bzw. ein paar Tips wie ich sowas sinnvoll debuggen kann?

Grüße, Vinoreh

[pmhausen]

Hast du einen transparenten Proxy oder irgendeines der IPS-Module aktiv?

[vinoreh]

Nein Proxy und IPS sind nicht aktiv.
Services die laufen sind ClamAV, DHCPv4 und Adguard über Unbound. Adguard scheint die Anfrage aber durchzulassen.

[pmhausen]

Was genau macht der ClamAV?

[vinoreh]

War für später gedacht, da noch ein Mail Server hinzukommen soll. Habe ihn gerade mal deaktiviert, aber der Download geht weiterhin nicht.

[pmhausen]

Ich suchte nach Dingen, die sich evtl. in die SSL-Verbindung einklinken. Nein, sorry, keine Idee.

[tpf]

Nein Proxy und IPS sind nicht aktiv.
Services die laufen sind ClamAV, DHCPv4 und Adguard über Unbound. Adguard scheint die Anfrage aber durchzulassen.

Was bekommst du als Antwort von nslookup auf einem Client, wenn du die Adresse aufrufst?

[pmhausen]

@tpf guter Punkt

[Tuxtom007]

Hallo,

ich hab gestern abend schon überlegt, was das sein kann aber ehrlich gesagt ich habe keine Idee.

Download bei mir auf einem Linux-Container per curl ging garnicht aber wget ging problemlos, genauso auf dem MacBook, die OPNSense + AdGuard + Unbound blocken/filtern da nichts weg.

Hast du mal "curl -k ..." probiert, damit das Certifikate nicht geprüft wird.

[vinoreh]

Die Ausgabe von nslookup sieht so aus:

Code: [Select]

slookup https://circuit-content.s3.amazonaws.com
Server: 192.168.1.1
Address: 192.168.1.1#53

Non-authoritative answer:
https://circuit-content.s3.amazonaws.com canonical name = s3-1-w.amazonaws.com.
s3-1-w.amazonaws.com canonical name = s3-w.us-east-1.amazonaws.com.
Name: s3-w.us-east-1.amazonaws.com
Address: 54.231.225.105
Name: s3-w.us-east-1.amazonaws.com
Address: 52.217.175.81
Name: s3-w.us-east-1.amazonaws.com
Address: 54.231.172.161
Name: s3-w.us-east-1.amazonaws.com
Address: 52.216.114.51
Name: s3-w.us-east-1.amazonaws.com
Address: 52.217.136.41
Name: s3-w.us-east-1.amazonaws.com
Address: 52.217.106.140
Name: s3-w.us-east-1.amazonaws.com
Address: 54.231.227.169
Name: s3-w.us-east-1.amazonaws.com
Address: 52.216.61.89

Habe auch mal den DNS eines Clients auf 8.8.8.8 geändert um die ganze Unbound AdGuard Geschichte zu umgehen, klappt aber nicht.

curl -k beendet sich wieder mit dem  SSL_ERROR_SYSCALL

wget klappt leider auch nicht:

Code: [Select]

wget https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
--2023-01-24 17:22:17--  https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
Resolving circuit-content.s3.amazonaws.com (circuit-content.s3.amazonaws.com)... 52.92.19.185, 52.218.88.106, 52.92.34.169, ...
Connecting to circuit-content.s3.amazonaws.com (circuit-content.s3.amazonaws.com)|52.92.19.185|:443... connected.
GnuTLS: The TLS connection was non-properly terminated.
Unable to establish SSL connection.

Smartphone via Tethering am Client angeschlossen läuft problemlos durch.

[vinoreh]

Ich konnte das Problem durch eine Neuinstallation lösen. Die Konfiguration habe ich manuell eingetragen und nicht vom Backup wiederhergestellt.

Nicht wirklich zufriedenstellend, aber es funktioniert.
Ein Problem mit dem Trafficshaper wurde dadurch auch gelöst.

Trotzdem danke für eure Hilfe.