SSL_ERROR_BAD_CERT_DOMAIN ?

Started by opnsense_user12123, December 25, 2017, 03:25:02 PM

Previous topic - Next topic
December 25, 2017, 03:25:02 PM Last Edit: December 25, 2017, 04:51:40 PM by opnsense_user12123
Hi!

self signed zertifikate funktionieren in allen Browsern ohne Probleme.

sobald man aber versucht ein server, client oder ein authority certifikat auf einem server zu verwenden wird dieses vom Browser als SSL_ERROR_BAD_CERT_DOMAIN nicht akzeptiert. Hab wirklich alles ausprobiert.

Einzig wenn man "Log SNI information only" aktiviert funktioniert es. Da ich aber gelesen habe, dass dies sicherheitstechnisch nicht gut ist, wenn man dies aktiviert, habe ich es wieder deaktiviert.

Unter Pfsense hat das alles ohne Probleme funktioniert. Unter OPNsense geht es nicht.

Hat das schon mal jemand getestet ?

Was kann ich tun ?

Ich würde dringend um Hilfe bitten!

Danke Euch!

Alles Details siehe Screenshots

First of all: your request and your domain do not match (home != local).
Second: Squid does not trust your self signed certificate which is the reason for this waning. You can add this server to the no bump sites (you cannot intercept it but it will work) or trust it via the configuration file (would not recommended that).

December 25, 2017, 04:38:31 PM #2 Last Edit: December 25, 2017, 05:04:23 PM by opnsense_user12123
das "local" das der Browser ausgibt, habe ich nirgends angegeben.

1. Ich muss also den DNS Namen des Problemservers in der no bump liste eintragen damit es funktioniert?
2. Warum kann man dann das CA Zertifikat auswählen ( CA to use ), wenn dies sowieso nicht funktioniert?


meine domain ist "home"
und beim erstellen der zertifikate habe ich als dns den FQDN angegeben. z.b drucker.home und ie IP (siehe screenshot mit der nummer "3")
So steht es auch im Zertifikat wenn ich mir die details ansehe.

Deshalb verstehe ich die Browsermeldung auch überhaupt nicht. Wo das local herkommt konnte ich in keiner Weise nachvollziehen.

1. Damit kannst du das Problem umgehen, dass Squid dem Zertifikat nicht traut (was auch das korrekte verhalten ist.
2. Das CA-Zertifikat ist für die Verbindung zwischen deinem Proxy und deinem Client. Es gibt allerdings eine zweite TLS-Verbindung zwischen Proxy und Server (bzw. in deinem Fall Drucker). In letzterer agiert Squid als client und muss das Zertifikat validieren, kennt diese nicht da es selbstsigniert ist und verweigert die Verbindung wie es auch ein Browser machen würde. Im Gegensatz zum Browser gibt es halt derzeit keinen trotzdem erlauben Button.

December 25, 2017, 10:29:25 PM #4 Last Edit: December 25, 2017, 10:34:16 PM by opnsense_user12123
Quote from: fabian on December 25, 2017, 07:53:06 PM
1. Damit kannst du das Problem umgehen, dass Squid dem Zertifikat nicht traut (was auch das korrekte verhalten ist.
2. Das CA-Zertifikat ist für die Verbindung zwischen deinem Proxy und deinem Client. Es gibt allerdings eine zweite TLS-Verbindung zwischen Proxy und Server (bzw. in deinem Fall Drucker). In letzterer agiert Squid als client und muss das Zertifikat validieren, kennt diese nicht da es selbstsigniert ist und verweigert die Verbindung wie es auch ein Browser machen würde. Im Gegensatz zum Browser gibt es halt derzeit keinen trotzdem erlauben Button.

Das hat leider nicht funktioniert. Zwar bekomme ich jetzt nicht mehr die BAD_CERT_DOMAIN Fehlermeldung aber egal ob ich .home .PC.home oder PC.home oder IP im no bump eintrage noch immer nicht den gwünschten erfolg. seltsamerweise kann ich auch auf meinen router mit webgui ssl zertifikat nur von einem einzigen pc zugreifen ohne den Fehler SSL_ERROR_BAD_CERT_DOMAIN zu bekommen. Obwohl ich auf allen anderen Windows Clients (win7) das self signed zertifikat genau so installiert habe. im firefox und im certmgr.msc (vertrauenswürdige stammzertifikate). nur die normalen webseiten https webseiten machen keine probleme. alles was im lan ist funktioniert auf keinem client. nur auf einem einzigen lässt sich der router ohne fehlermeldung aufrufen. Bin mit meinem Latein am Ende. Muss schon sagen. Keines dieser Probleme hatte ich unter pfsense. da ging das alles ohne probleme.


December 25, 2017, 11:41:53 PM #5 Last Edit: December 25, 2017, 11:52:28 PM by opnsense_user12123
Quote from: fabian on December 25, 2017, 07:53:06 PM
1. Damit kannst du das Problem umgehen, dass Squid dem Zertifikat nicht traut (was auch das korrekte verhalten ist.
2. Das CA-Zertifikat ist für die Verbindung zwischen deinem Proxy und deinem Client. Es gibt allerdings eine zweite TLS-Verbindung zwischen Proxy und Server (bzw. in deinem Fall Drucker). In letzterer agiert Squid als client und muss das Zertifikat validieren, kennt diese nicht da es selbstsigniert ist und verweigert die Verbindung wie es auch ein Browser machen würde. Im Gegensatz zum Browser gibt es halt derzeit keinen trotzdem erlauben Button.

(https://webssl)
Das ist der Fehler den ich von den anderen Clients bekomme wenn ich nur versuche auf den Router per ssl per FWDN zuzugreifen. (screenshot) -> per ip kommt die alte Fehlermeldung.SSL_ERROR_BAD_CERT_DOMAIN
es wird zwar im browser "grün" angezeigt, aber nicht akzeptiert. (screenshot)

wie gesagt, der zugriff funktioniert auf den router per https nur von einem pc aus.
aber auf allen anderen pc´s ist das self signed zertifikat genau so installiert.

wenn router.home die OPNsense ist, kann es sein dass es unterschiede in den NAT-Regeln gibt (Anti-Lockout?)

December 26, 2017, 12:39:01 AM #7 Last Edit: December 26, 2017, 12:54:06 AM by opnsense_user12123
Quote from: fabian on December 26, 2017, 12:15:07 AM
wenn router.home die OPNsense ist, kann es sein dass es unterschiede in den NAT-Regeln gibt (Anti-Lockout?)

Hallo Fabian,

ich habe dir einen screenshot der NAT Forwarding Regeln gemacht und die firewall regeln für jedes interface
Die noproxy regel habe ich deaktiviert. macht aber keinen unterschied.

lg und Danke

Im Fall LAN1 verhindert die Anti-Lockout die umleitung an den Proxy, Für LAN2 (keine Ahnung was in "noproxy" drin ist) ist die Regel deaktiviert.

December 26, 2017, 09:28:06 AM #9 Last Edit: December 26, 2017, 09:42:30 AM by opnsense_user12123
Quote from: fabian on December 26, 2017, 09:09:33 AM
Im Fall LAN1 verhindert die Anti-Lockout die umleitung an den Proxy, Für LAN2 (keine Ahnung was in "noproxy" drin ist) ist die Regel deaktiviert.

Siehst du einen Grund für mein Problem anhand der Regeln?

Im Lan2 und LAN3 habe ich genau dieselben Probleme. Wenn es nicht an den Regeln liegt, dann hat die squid Konfiguration oder das OpenSSL ein Problem.

Wie komm ich jetzt zu einer Lösung?

Lg und Danke

* Entweder die auf die no bump liste setzen
* diese Hosts am Proxy vorbei erlauben (no-rdr)

December 26, 2017, 12:04:12 PM #11 Last Edit: December 26, 2017, 12:12:31 PM by opnsense_user12123
Quote from: fabian on December 26, 2017, 11:46:27 AM
* Entweder die auf die no bump liste setzen
* diese Hosts am Proxy vorbei erlauben (no-rdr)

1. das Problem das clients aus anderen Subnetzen nicht auf die Admin Oberfläche des Routers gekommen sind, konnte ich durch eine "Antilockout"- NAT Regel beseitigen. Das heißt jedes LAN hat nun seine eigene Antilockout-Regel. Danach musste ich noch die gesamte Domain ".home" auf die NO Bump Liste setzen.
2. Das zweite Problem mit den einzelnen Servern (Drucker usw.) werd ich mal versuchen mit einer "no-rdr" Regel hinzubekommen!. Hoffe ich bin da gedanklich am richtigen Weg.

Da hätte ich eine Frage zu der "no bump" Liste. Kann man hier auch einen ALIAS verwenden? und welche (URL,HOST usw) -Liste müsste ich verwenden um ".home" und IP Adressen gemeinsam eintragen zu können?

Danke Fabian. Du hast mir schon sehr geholfen und wahrscheinlich auch vielen anderen die OPNsense verwenden.
Ich sollte mir ein Buch kaufen. Denn ganz nachvollziehen kann ich die diversen Regeln noch nicht ganz.

December 27, 2017, 01:49:26 PM #12 Last Edit: December 27, 2017, 01:55:29 PM by opnsense_user12123
Quote from: fabian on December 26, 2017, 11:46:27 AM
* Entweder die auf die no bump liste setzen
* diese Hosts am Proxy vorbei erlauben (no-rdr)

ich habs hinbekommen. Die gewünschten Clients kommen jetzt auf die Admin GUI und die Zertifikate der Server werden akzeptiert.

1. so wie beschrieben habe ich die gesamte Domain und die ip´s der server clients in der no bump liste eingetragen.
2. dann habe ich mir drei nat port forwarding rules erstellt. pro interface eine (screenshot)
3. dann habe ich mir pro interface eine eigene anti lockout regel erstellt. (screenshot) -> die standardregel habe ich deaktiviert.

alles funktioniert jetzt. siehe screenshots.

Es wäre toll wenn sich jemand die screenshots anschauen könnte und mir vielleicht sagen könnte was man anhand der regeln besser bzw sicherer machen könnte.

eine Letzte Frage dazu. NAT Portforwarding wird nicht von oben nach unten abgearbeitet ? Ist das richtig ? und zweitens: Kann ich mir das Portforwarding wie direkte Brücken vorstellen die unter bestimmten Bedingungen befahren werden können aber nicht müssen ?

Danke an Fabian!

Quote from: opnsense_user12123 on December 27, 2017, 01:49:26 PM
Quote from: fabian on December 26, 2017, 11:46:27 AM
* Entweder die auf die no bump liste setzen
* diese Hosts am Proxy vorbei erlauben (no-rdr)

ich habs hinbekommen. Die gewünschten Clients kommen jetzt auf die Admin GUI und die Zertifikate der Server werden akzeptiert.

1. so wie beschrieben habe ich die gesamte Domain und die ip´s der server clients in der no bump liste eingetragen.
2. dann habe ich mir drei nat port forwarding rules erstellt. pro interface eine (screenshot)
3. dann habe ich mir pro interface eine eigene anti lockout regel erstellt. (screenshot) -> die standardregel habe ich deaktiviert.

alles funktioniert jetzt. siehe screenshots.

Es wäre toll wenn sich jemand die screenshots anschauen könnte und mir vielleicht sagen könnte was man anhand der regeln besser bzw sicherer machen könnte.


eine Letzte Frage dazu. NAT Portforwarding wird nicht von oben nach unten abgearbeitet ? Ist das richtig ? und zweitens: Kann ich mir das Portforwarding wie direkte Brücken vorstellen die unter bestimmten Bedingungen befahren werden können aber nicht müssen ?

Danke an Fabian!

Wäre über Feedback sehr erfreut! DANKE! :-)

Alle Regeln werden von oben nach unten abgearbeitet - egal ob Filter oder NAT.

Nat kannst du dir eher so vorstellen as ob jemand bei einem Brief die Adresse (Absender und/oder Empfänger) auf dem Postweg überklebt. Es sollte nichts am Inhalt ändern aber außen steht was anderes drauf.

PS: In OPNsense wird alles standardmäßig blockiert. Das heißt do solltest keine eigene Regel dafür machen.