ausblenden > Netzwerk, Internet, Provider
SSL-Fehler über VPN
MacFlieger:
Ich habe einen ganz komischen Fehler.
Nach der Umstellung der Apfelinsel auf SSL bekomme ich unter iOS den Fehler „Konnte keine sichere Verbindung zu www.apfelinsel.de aufbauen, wenn ich über VPN mit dem Internet verbunden bin (über die eigene Fritzbox).
Wenn ich VPN aussschalte, geht es.
Alle anderen HTTPS-Seiten, die probiert habe, gehen.
Was kann das sein?
MacFlieger:
Hat keiner eine Idee, warum ich die Apfelinsel nicht über HTTPS erreiche, wenn ich über ein VPN verbunden bin?
Benutzt evtl. jemand anderes auch ein VPN und kann testen, ob er das gleiche Problem hat?
fränk:
Vom iPhone, mit eingeschaltetem (Opera-)VPN, kann ich die Apfelinsel problemlos erreichen.
MacFlieger:
Danke. Alles sehr merkwürdig... ???
MacFlieger:
OK, Problem gelöst. :)
ARGH!!! Warum sucht man immer erst stundenlang rum, anstatt die Standardlösung zu wählen? Fritzbox (über die die VPN-Verbindung läuft) neu gestartet und es geht alles. >:(
Wie bin ich drauf gekommen?
Der Browser hat nur eine mehr oder weniger nichtssagende Fehlermeldung ausgespuckt "sichere Verbindung konnte nicht erstellt werden. Network Error 1004". Auch in der Konsole eines MBP (per VPN verbunden) tauchte nur eine wenig hilfreiche Ausgabe auf: "CFNetwork SSLHandshake failed -9800". Googelt man nach diesen Fehler findet man nur, dass andere hierbei einen SSL-Handshakefehler haben, der oft daran liegt, dass neuere macOS und iOS Versionen für Apps HTTPS mit TLS 1.2 erzwingen. Das konnte aber alles nicht sein, denn ohne VPN war die Seite ja erreichbar.
Da der Browser und die Konsole wenig Details des Verbindungsaufbaus offenbaren, habe ich mal den Webserver per HTTP und HTTPS übers Terminal kontaktiert. Wobei ich darüber gestolpert bin, dass es unter High Sierra kein telnet mehr gibt. Das musste ich mir daher erst besorgen (von Sierra kopiert).
Also Tests ohne VPN:
--- Code: ---telnet www.apfelinsel.de 80
--- Ende Code ---
und
--- Code: ---openssl s_client -connect www.apfelinsel.de:443
--- Ende Code ---
funktioniert beides. Klar, ohne VPN läufts ja.
Also Tests mit VPN:
--- Code: ---telnet www.apfelinsel.de 80
--- Ende Code ---
und
--- Code: ---openssl s_client -connect www.apfelinsel.de:443
--- Ende Code ---
Der Zugriff per HTTP mit telnet funktioniert. Der Zugriff per HTTPS mit openssl liefert "no Route to host". Was soll das denn? Es ist doch der gleiche Host? ???
Der gleiche Test mit der IP-Adresse statt dem Domainnamen liefert auch eine andere Fehlermeldung "connection refused". Klar, ich habe dabei ja auch nicht angegeben, welcher der vielen Domains kontaktiert werden soll, die auf dem Server laufen. Aber es ist definitiv eine Antwort des Servers, der über die IP erreicht wird.
Langsam dämmerte es mir. Aus welchem Grund auch immer wurde bei Verbindungen per SSL der Domainname nicht in die IP aufgelöst. Also habe ich mal testweise in der Konfiguration des VPN-Zuganges den DNS-Server von Google (8.8.8.8) fest vorgegeben. Schon funktionierte alles. Den Eintrag wieder entfernt und es ging nicht mehr. Wie anfangs erwähnt, andere HTTPS-Seiten waren ganz normal verfügbar. Anscheinend war nur die Übersetzung des Namens www.apfelinsel.de in die IP-Adresse für SSL-Verbindungen in der Fritzbox gestört.
Also Fritzbox neu gestartet und alles funktioniert.
Was ich trotz allem nicht verstehe:
Die normale DNS-Auflösung von www.apfelinsel.de in die IP funktionierte. Per HTTP und ping wurde der Name in die richtige IP umgewandelt und die Verbindungen kamen zustande. Anscheinend erfolgt die Namensauflösung bei SSL über einen anderen Weg. Das ist mir völlig neu und ich verstehe auch nicht so ganz, warum das so ist.
Navigation
[0] Themen-Index
[#] Nächste Seite
Zur normalen Ansicht wechseln