ubuntuusers.de

Guten Morgen,

ich habe ein Problem an dem ich mittlerweile fast verzweifle. Wir haben zwei Internetzugänge hinter denen jeweils ein Linux Proxy hängt der den Internetverkehr filtert.

Im Prinzip funktioniert auch alles, allerdings ist mir eine HTTPS Seite bekannt die auf dem einen läuft, auf dem anderen allerdings nicht. Wenn ich mit OpenSSL die Verbindung auf dem einen Prüfen will kommt die folgende Fehlermeldung:

vwbodo2:~# openssl s_client -connect www.eon-apps.com:443 -state -debug
CONNECTED(00000003)
SSL_connect:before/connect initialization
write to 0x80c0988 [0x80c09d0] (118 bytes => 118 (0x76))
0000 - 80 74 01 03 01 00 4b 00-00 00 20 00 00 39 00 00   .t....K... ..9..
0010 - 38 00 00 35 00 00 16 00-00 13 00 00 0a 07 00 c0   8..5............
0020 - 00 00 33 00 00 32 00 00-2f 03 00 80 00 00 05 00   ..3..2../.......
0030 - 00 04 01 00 80 00 00 15-00 00 12 00 00 09 06 00   ................
0040 - 40 00 00 14 00 00 11 00-00 08 00 00 06 04 00 80   @...............
0050 - 00 00 03 02 00 80 3b 48-3e 22 95 b0 5a 8d fc 8b   ......;H>"..Z...
0060 - b6 a6 b2 f7 d6 68 d0 3e-c2 3d f3 f6 63 4e f4 8d   .....h.>.=..cN..
0070 - a1 69 94 f6 f9 08                                 .i....
SSL_connect:SSLv2/v3 write client hello A
read from 0x80c0988 [0x80c5f30] (7 bytes => -1 (0xFFFFFFFF))
SSL_connect:error in SSLv2/v3 read server hello A

Was sich in Lynx z.B. so äußert:

Suche nach www.eon-apps.com
HTTPS-Verbindung zu www.eon-apps.com wird aufgebaut.
Verbindung erneut versuchen, ohne TLS.
Suche nach www.eon-apps.com
HTTPS-Verbindung zu www.eon-apps.com wird aufgebaut.
Obacht: Unable to make secure connection to remote host.

lynx: Unzugängliche Startdatei https://www.eon-apps.com/

Dieses Problem tritt nur auf dieser einen Seite auf und auch nur auf dem einen Proxy. Der andere nahezu identisch konfigurierte Proxy läuft einwandfrei.

Gibt es u.U. bestimmte Ports die für manche OpenSSL Verbindungen benötigt werden? Außerhalb von 443?

Was mich noch mehr verwundert ist z.B. die Ausgabe von gnutls-cli-debug.

proxy2:~# gnutls-cli-debug www.eon-apps.com
Resolving 'www.eon-apps.com'...
Connecting to '217.67.39.167:443'...
Checking for TLS 1.1 support... no
Checking fallback from TLS 1.1 to... failed
Checking for TLS 1.0 support... no
Checking for SSL 3.0 support... no

Vom anderen Internetanschluss aus geprüft, ist TLS 1.0 und SSL 3.0 vorhanden.

proxy2:~# gnutls-cli -s -d 3 www.eon-apps.com
|<2>| ASSERT: gnutls_psk.c:101
Resolving 'www.eon-apps.com'...
Connecting to '217.67.39.167:443'...

- Simple Client Mode:

STARTTLS
*** Starting TLS handshake
|<3>| HSK[8071fa8]: Keeping ciphersuite: DHE_RSA_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: DHE_RSA_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: DHE_RSA_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: DHE_DSS_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: DHE_DSS_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: DHE_DSS_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: DHE_DSS_ARCFOUR_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: RSA_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: RSA_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: RSA_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: RSA_ARCFOUR_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: RSA_ARCFOUR_MD5
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_RSA_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_RSA_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_RSA_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_DSS_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_DSS_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_DSS_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: SRP_SHA_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: PSK_SHA_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: PSK_SHA_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: PSK_SHA_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: PSK_SHA_ARCFOUR_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: RSA_EXPORT_ARCFOUR_40_MD5
|<3>| HSK[8071fa8]: Keeping ciphersuite: ANON_DH_AES_256_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: ANON_DH_AES_128_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: ANON_DH_3DES_EDE_CBC_SHA1
|<3>| HSK[8071fa8]: Keeping ciphersuite: ANON_DH_ARCFOUR_MD5
|<2>| EXT[8071fa8]: Sending extension CERT_TYPE
|<2>| EXT[8071fa8]: Sending extension SERVER_NAME
|<3>| HSK[8071fa8]: CLIENT HELLO was send [138 bytes]
|<2>| ASSERT: gnutls_buffers.c:295
|<2>| ASSERT: gnutls_buffers.c:550
|<2>| ASSERT: gnutls_record.c:891
|<2>| ASSERT: gnutls_buffers.c:1087
|<2>| ASSERT: gnutls_handshake.c:949
|<2>| ASSERT: gnutls_handshake.c:2209
*** Fatal error: A TLS packet with unexpected length was received.
*** Handshake has failed
Speicherzugriffsfehler

Ich habe das Problem zwar nicht beheben können aber zumindestens vorerst umgangen.

Und zwar sollte es wie alle Gateways auf einem Dell PowerEdge 1800 laufen. Hatte es auch auf zwei baugleichen Geräten getestet und der Fehler trat trotzdem auf.

Auf einem anderen Testsystem FSC Esprimo P5916 mit Core2 Duo lief alles (soweit ich es testen konnte (auf jeden Fall die besagte Seite)) sauber durch. Da ich dann die (absurde) Idee hatte einen anderen Server zu verwenden habe ich es noch einmal auf einem Dell PowerEdge 850 (wesentlich schlechter bestückt) installiert und siehe da, auch hier läuft es.

Wenn wir nicht auch noch ein anderes Gateway auf selber Hard- und Softwarebasis hätten, würde ich mich glatt auf dem Fenster lehnen und sagen es liegt an der Hardware. Immerhin den RAM habe ich getestet, auch nach 17 Stunden hat Memtest86+ keine Fehler festgestellt.