OK, Problem gelöst.
ARGH!!! Warum sucht man immer erst stundenlang rum, anstatt die Standardlösung zu wählen? Fritzbox (über die die VPN-Verbindung läuft) neu gestartet und es geht alles.
Wie bin ich drauf gekommen?
Der Browser hat nur eine mehr oder weniger nichtssagende Fehlermeldung ausgespuckt "sichere Verbindung konnte nicht erstellt werden. Network Error 1004". Auch in der Konsole eines MBP (per VPN verbunden) tauchte nur eine wenig hilfreiche Ausgabe auf: "CFNetwork SSLHandshake failed -9800". Googelt man nach diesen Fehler findet man nur, dass andere hierbei einen SSL-Handshakefehler haben, der oft daran liegt, dass neuere macOS und iOS Versionen für Apps HTTPS mit TLS 1.2 erzwingen. Das konnte aber alles nicht sein, denn ohne VPN war die Seite ja erreichbar.
Da der Browser und die Konsole wenig Details des Verbindungsaufbaus offenbaren, habe ich mal den Webserver per HTTP und HTTPS übers Terminal kontaktiert. Wobei ich darüber gestolpert bin, dass es unter High Sierra kein telnet mehr gibt. Das musste ich mir daher erst besorgen (von Sierra kopiert).
Also Tests ohne VPN:
telnet www.apfelinsel.de 80
und
openssl s_client -connect www.apfelinsel.de:443
funktioniert beides. Klar, ohne VPN läufts ja.
Also Tests mit VPN:
telnet www.apfelinsel.de 80
und
openssl s_client -connect www.apfelinsel.de:443
Der Zugriff per HTTP mit telnet funktioniert. Der Zugriff per HTTPS mit openssl liefert "no Route to host". Was soll das denn? Es ist doch der gleiche Host?
Der gleiche Test mit der IP-Adresse statt dem Domainnamen liefert auch eine andere Fehlermeldung "connection refused". Klar, ich habe dabei ja auch nicht angegeben, welcher der vielen Domains kontaktiert werden soll, die auf dem Server laufen. Aber es ist definitiv eine Antwort des Servers, der über die IP erreicht wird.
Langsam dämmerte es mir. Aus welchem Grund auch immer wurde bei Verbindungen per SSL der Domainname nicht in die IP aufgelöst. Also habe ich mal testweise in der Konfiguration des VPN-Zuganges den DNS-Server von Google (8.8.8.
fest vorgegeben. Schon funktionierte alles. Den Eintrag wieder entfernt und es ging nicht mehr. Wie anfangs erwähnt, andere HTTPS-Seiten waren ganz normal verfügbar. Anscheinend war nur die Übersetzung des Namens
www.apfelinsel.de in die IP-Adresse für SSL-Verbindungen in der Fritzbox gestört.
Also Fritzbox neu gestartet und alles funktioniert.
Was ich trotz allem nicht verstehe:
Die normale DNS-Auflösung von
www.apfelinsel.de in die IP funktionierte. Per HTTP und ping wurde der Name in die richtige IP umgewandelt und die Verbindungen kamen zustande. Anscheinend erfolgt die Namensauflösung bei SSL über einen anderen Weg. Das ist mir völlig neu und ich verstehe auch nicht so ganz, warum das so ist.