Beiträge von CARS10

  • Keine Verbindung zu self-signed https-Sites

    Also, danke für Eure Beiträge.


    DPI habe ich zwar mittlerweile wieder aktiviert, aber auch im deaktivierten Zustand hat das nicht funktioniert. Zumindest habe ich es mehrfach schon deaktiviert und dann erneut probiert. Ich gehe davon aus, dass die UDM nach deaktivieren von DPI auch umgehend diese Funktion ausschaltet.


    Ich teste mit macOS11 und W10. VPN-Clients habe ich nun alle gängigen auf allen Plattformen durch. Bei keinem komme ich auf meinen WebServer.


    Das ist zum Mäusemelken mit dieser Thematik!

  • Keine Verbindung zu self-signed https-Sites

    Der Endpunkt ist der Zielserver. Stell Dir vor Du authentifzierst Dich an Deiner Synology (die in einem fremden Netz hängt) und verbindest Dich dann auf die Synology via https://ip-adresse:5001 - das geht nicht!


    Wie sollte der Traffic außerhalb vom VPN zum Zielserver gelangen? Ich spreche ihn ja via 172er IP-Adresse an... Weiterhin ist der Server per public IPv4-Adresse nur via openVPN erreichbar...


    Irgendwas macht da am https die Unifi kaputt, wenn Du mich fragst. Als wenn ein proxy dazwischenhängt, der das Cert aufbricht...

  • Keine Verbindung zu self-signed https-Sites

    Hhey erstmal vorweg: es ist echt freundlich von Dir, dass Du das nachstellst und mir hilfst!


    Also, egal an welcher Maschine ich es teste, ich baue eine OpenVPN-Verbindung (unterschiedliche Clients) zu einem anderen Server auf und versuche dann IM VPN-Tunnel eine https-Seite aufzurufen. Das geht absolut nicht! Ich wüsste auch gar nicht mehr, wo ich am Controller noch gucken sollte, denn erreichbar ist die Maschine ja. Ping ist überhaupt kein Problem, lediglich der httpS-request. Ich vermute, dass die UDM/USM das https aufbricht und neu verschlüsselt und die Browser das als man-in-the-middle-attacke identifzieren...

  • Keine Verbindung zu self-signed https-Sites

    Auf der 172.18.x.x ist IM VPN gar nichts geblockt. Wie gesagt, ich komme ja wunderbar auch drauf - aus anderen Netzen. Aus dem Netz der Unifi in Richtung 172.18.x.x ist auch nichts geblockt, bzw. alles noch auf Werkseinstellung. Diese habe ich am Samstag aktiv nochmal durchgeführt, was auch zu keiner Änderung geführt hat!


    Kommst Du aus Deinem Unifi-Netz via VPN auf https-gesicherte Websites via IPv4?

  • Keine Verbindung zu self-signed https-Sites

    Hi, danke nochmal für Dein Engagement. Browserdaten sind alle (mehrfach) gelöscht, neue Browser installiert, neuen Rechner (Windows) aufgesetzt und probiert. Überall das gleiche. Aus einem anderen Netzwerk funktioniert der Zugriff ohne Probleme, so dass es ein UDM-Problem sein muss. Vtl ist noch wichtig, dass ich doppeltes NAT verwende, die UDM als GRE in der FB gekennzeichnet habe...

  • Keine Verbindung zu self-signed https-Sites

    Guten Morgen Samhain, danke erst einmal für Dein Feedback. Leider bringt es auch nichts, wenn ich alle Einstellungen und Conntrack Modules disable... Ich finde es schon spannend, dass anscheinend keiner das selbe Problem hat, ich aber mittlerweile auf 2 unterschiedlichen Unifi-Geräten. Einmal auf der UDM und einmal auf einer USM....


    VPN-Einwahl funktioniert einwandfrei, Ping ebenso, https-request passiert nichts. Safari bleibt hängen:


    Google Chrome sagt das hier, ohne eine Ausnahme anzubieten:

  • Keine Verbindung zu self-signed https-Sites

    Ach ja, kleiner Nachtrag: für mich ist das eine klare Sache, dass die Browser hier eine man-in-the-middle-attacke diagnostizieren/ vermuten. Ich habe das natürlich auch getestet, indem ich DPI und IDS/IPS ausgeschaltet habe. Lösung war das aber auch keine... Wie ich ein Gerät, anhand einer "Benutzergruppe" whitelisten o. ä. kann, habe ich noch nicht rausgefunden...

  • Keine Verbindung zu self-signed https-Sites

    Hallo liebe Gemeinde,


    ich bin neu hier, neu auch in der Unifi-Welt, aber ein "alter Hase" als SysAdmin ;-). Seit ein paar Tagen habe ich ein UDM (pro) im Einsatz. Soweit so gut und auch alles recht logisch. Diese steckt hinter ein Fritz!Box als exposed host. ich habe also doppeltes NAT, womit ich soweit auch gut leben kann. Ich habe jedoch ein Problem, welches sich mir nicht logisch erschließt.


    Wenn ich Server von mir via Browser (https) aufrufe, die über ein self-signed Zertifikat verfügen Funktioniert die Verbindung nicht. Um es genauer zu beschreiben, es geht primär um IPFire-UTM's, die ich nutze um Cloud-Netze abzusichern und die als VPN-Concentrator dienen. Ich kann eine (open)VPN-Verbindung (vom Client zur IP-Fire UTM) ohne Probleme aufbauen, sprich der Server ist erreichbar, ein https-request ist jedoch nicht möglich. Der Safari bleibt beim Ladebalken hängen und der Chrome schreit, dass die Website nicht erreichbar ist mit dem Fehler ERR_CONNECTION_REFUSED.


    Also kurzum, die Verbindung zur IP-Fire funktioniert tadelfrei, aber ich kann sie nicht mehr administrieren, denn ich komme nicht auf die webGUI. Auch die Server, die hinter der IP-Fire stehen sind via VPN einwandfrei erreichbar, nur eben die Appliance an sich nicht mehr. Wenn ich das über das Fritzbox Wlan mache geht es einwandfrei, nur nicht über das Wlan der Unifi.


    Kann mir jemand einen Tipp geben?


    Danke und Euch allen einen schönen Sonntag-Abend!


    Carsten

  • Hallo liebe Gemeinde

    Hallo zusammen, mein Name ist Carsten, ich bin SysAdmin, aber in der Unifi-Welt neu. Ich hoffe dem ein oder anderen hier auch wertvolle Hilfe bieten zu können, auf das Forum bin ich gestossen, weil ich gerade ein für mich total unlogisches Problem habe und nicht wirklich weiß, wo ich ansetzen soll. Daher werde ich gleich mal einen Beitrag im Forum der UDM posten. Ich wünsche Euch allen einen schönen Sonntag Abend :winking_face: