Problem bei Datei Download

Started by vinoreh, January 23, 2023, 07:42:37 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 23, 2023, 07:42:37 PM
Hallo zusammen,

ich habe Probleme folgende Datei herunter zu laden. https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
 (Es handelt sich dabei um eine Software für mein Keyboard) Quelle: https://downloads.novationmusic.com/novation/synthesisers/summit

Das Problem tritt bei verschiedenen Endgeräte und Betriebssystemen auf.

Curl gibt mir unter Linux folgende Fehlermeldung:
Code Select
$ curl https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to circuit-content.s3.amazonaws.com:443


Wenn ich den Download direkt von der OpnSense Maschine starte funktioniert es.
Es fällt mir allerdings schwer herauszufinden an welcher Stelle in der Konfiguration es hakt.


OpnSense hängt direkt an einem Kabelmodem das im Bridge-Modus läuft und spannt zwei LAN-Netze mit DHCP auf. Ein lokales LAN und ein Gastnetz.

Versions    OPNsense 22.7.6-amd64
                  FreeBSD 13.1-RELEASE-p5
                  OpenSSL 1.1.1s 1 Nov 2022

WAN Rules:
Code Select
IPv4 * <bogons> * * * * * Block bogon IPv4 networks from WAN
IPv4 * 10.0.0.0/8,127.0.0.0/8,100.64.0.0/10,172.16.0.0/12,192.168.0.0/16 * * * * * Block private networks from WAN
IPv6 * fc00::/7 * * * * * Block private networks from WAN
IPv4+6 UDP * 67 * 68 * * allow DHCP client on WAN
IPv4+6 UDP * 68 * 67 * * allow DHCP client on WAN
IPv4 UDP * * 192.168.1.99 2456 - 2457 * *
IPv4 TCP/UDP * * 192.168.1.99 27015 - 27020 * *


LAN Rules:
Code Select
IPv4 UDP * 68 255.255.255.255 67 * * allow access to DHCP server
IPv4+6 UDP * 68 (self) 67 * * allow access to DHCP server
IPv4+6 UDP (self) 67 * 68 * * allow access to DHCP server
IPv4+6 TCP * * (self) 80 443 * * anti-lockout rule
IPv4 * LAN net * * * * * Default allow LAN to any rule
IPv6 * LAN net * * * * * Default allow LAN IPv6 to any rule



Habt ihr eine Idee was da los ist, bzw. ein paar Tips wie ich sowas sinnvoll debuggen kann?

Grüße, Vinoreh
January 23, 2023, 08:32:56 PM #1
Hast du einen transparenten Proxy oder irgendeines der IPS-Module aktiv?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 23, 2023, 09:58:44 PM #2
Nein Proxy und IPS sind nicht aktiv.
Services die laufen sind ClamAV, DHCPv4 und Adguard über Unbound. Adguard scheint die Anfrage aber durchzulassen.
January 23, 2023, 10:01:03 PM #3
Was genau macht der ClamAV?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 23, 2023, 10:06:18 PM #4
War für später gedacht, da noch ein Mail Server hinzukommen soll. Habe ihn gerade mal deaktiviert, aber der Download geht weiterhin nicht.
January 23, 2023, 10:17:45 PM #5
Ich suchte nach Dingen, die sich evtl. in die SSL-Verbindung einklinken. Nein, sorry, keine Idee.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 23, 2023, 10:24:38 PM #6
Quote from: vinoreh on January 23, 2023, 09:58:44 PM
Nein Proxy und IPS sind nicht aktiv.
Services die laufen sind ClamAV, DHCPv4 und Adguard über Unbound. Adguard scheint die Anfrage aber durchzulassen.
Was bekommst du als Antwort von nslookup auf einem Client, wenn du die Adresse aufrufst?
January 23, 2023, 11:23:39 PM #7
@tpf guter Punkt :)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
January 24, 2023, 03:58:05 PM #8
Hallo,

ich hab gestern abend schon überlegt, was das sein kann aber ehrlich gesagt ich habe keine Idee.

Download bei mir auf einem Linux-Container per curl ging garnicht aber wget ging problemlos, genauso auf dem MacBook, die OPNSense + AdGuard + Unbound blocken/filtern da nichts weg.

Hast du mal "curl -k ..." probiert, damit das Certifikate nicht geprüft wird.

January 24, 2023, 05:24:11 PM #9
Die Ausgabe von nslookup sieht so aus:

Code Select
slookup https://circuit-content.s3.amazonaws.com
Server: 192.168.1.1
Address: 192.168.1.1#53

Non-authoritative answer:
https://circuit-content.s3.amazonaws.com canonical name = s3-1-w.amazonaws.com.
s3-1-w.amazonaws.com canonical name = s3-w.us-east-1.amazonaws.com.
Name: s3-w.us-east-1.amazonaws.com
Address: 54.231.225.105
Name: s3-w.us-east-1.amazonaws.com
Address: 52.217.175.81
Name: s3-w.us-east-1.amazonaws.com
Address: 54.231.172.161
Name: s3-w.us-east-1.amazonaws.com
Address: 52.216.114.51
Name: s3-w.us-east-1.amazonaws.com
Address: 52.217.136.41
Name: s3-w.us-east-1.amazonaws.com
Address: 52.217.106.140
Name: s3-w.us-east-1.amazonaws.com
Address: 54.231.227.169
Name: s3-w.us-east-1.amazonaws.com
Address: 52.216.61.89


Habe auch mal den DNS eines Clients auf 8.8.8.8 geändert um die ganze Unbound AdGuard Geschichte zu umgehen, klappt aber nicht.

curl -k beendet sich wieder mit dem  SSL_ERROR_SYSCALL

wget klappt leider auch nicht:
Code Select
wget https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
--2023-01-24 17:22:17--  https://circuit-content.s3.amazonaws.com/ComponentsSetup.exe
Resolving circuit-content.s3.amazonaws.com (circuit-content.s3.amazonaws.com)... 52.92.19.185, 52.218.88.106, 52.92.34.169, ...
Connecting to circuit-content.s3.amazonaws.com (circuit-content.s3.amazonaws.com)|52.92.19.185|:443... connected.
GnuTLS: The TLS connection was non-properly terminated.
Unable to establish SSL connection.


Smartphone via Tethering am Client angeschlossen läuft problemlos durch.
January 25, 2023, 05:19:30 PM #10
Ich konnte das Problem durch eine Neuinstallation lösen. Die Konfiguration habe ich manuell eingetragen und nicht vom Backup wiederhergestellt.

Nicht wirklich zufriedenstellend, aber es funktioniert.
Ein Problem mit dem Trafficshaper wurde dadurch auch gelöst.

Trotzdem danke für eure Hilfe.
Print
Go Up Pages1
User actions