Hi Peterfido
das Problem kenne ich auch, habe ich aber recht selten. In meinem aktuellen Fall stellt sich der Fehler aber etwas anders, da es nur SSL Verbindungen über IPv6 betrifft. Unverschlüsseltes HTTP auf die selbe Adresse ist kein Problem.
Beiträge von BollerwagenPicard
-
-
das spricht gegen einen typischen Rebind Schutz
-
dein Problem schaut für mich stark nach einem DNS-Rebind-Schutz aus, kann dir aber leider nur sagen wo der in einer Frotzbox zu finden ist.
Kannst Du mal den Befehl in deinem Heimnetzwerk ausführen:Codenslookup dein.toller.dyndns -
Hallo
ich benötige wieder mal eure Hilfe, da ich ein seltsames Problem bei mir im Netzwerk gefunden habe.
Bei einigen Internetverbindungen scheint die verschlüsselte TCP Verbindung zu versagen. Leider konnte ich bis jetzt keinen Grund erkennen. Das Problem betrifft mehre Rechner im Netzwerk, mit Linux und Windows.
Meine Internet Verbindung schaut weiterhin wie folgt aus:Code: InternetverbindungISP <--> FritzBox 7580 <--> UDM-Pro <--> Switch <--> PCMit Linux konnte ich den Fehler gut in ein Logformat bringen:
Code
Alles anzeigenopenssl s_client -debug -state -connect mx.freenet.de:995 CONNECTED(00000003) SSL_connect:before SSL initialization write to 0x5609a2975890 [0x5609a2a62720] (319 bytes => 319 (0x13F)) 0000 - 16 03 01 01 3a 01 00 01-36 03 03 21 d9 62 e4 7f ....:...6..!.b.. 0010 - 01 29 ff 41 5b 95 a5 51-22 62 10 8f a1 a8 a2 9b .).A[..Q"b...... 0020 - 3d 89 b0 34 68 46 70 6f-7c 0a 66 20 3d 13 fd ad =..4hFpo|.f =... 0030 - bd 4e 24 9b bf 13 21 13-d1 c2 ee b7 21 78 d0 e5 .N$...!.....!x.. 0040 - fc 83 4b d5 dd 51 ec fb-e3 d0 e0 76 00 3e 13 02 ..K..Q.....v.>.. 0050 - 13 03 13 01 c0 2c c0 30-00 9f cc a9 cc a8 cc aa .....,.0........ 0060 - c0 2b c0 2f 00 9e c0 24-c0 28 00 6b c0 23 c0 27 .+./...$.(.k.#.' 0070 - 00 67 c0 0a c0 14 00 39-c0 09 c0 13 00 33 00 9d .g.....9.....3.. 0080 - 00 9c 00 3d 00 3c 00 35-00 2f 00 ff 01 00 00 af ...=.<.5./...... 0090 - 00 00 00 12 00 10 00 00-0d 6d 78 2e 66 72 65 65 .........mx.free 00a0 - 6e 65 74 2e 64 65 00 0b-00 04 03 00 01 02 00 0a net.de.......... 00b0 - 00 16 00 14 00 1d 00 17-00 1e 00 19 00 18 01 00 ................ 00c0 - 01 01 01 02 01 03 01 04-00 23 00 00 00 16 00 00 .........#...... 00d0 - 00 17 00 00 00 0d 00 2a-00 28 04 03 05 03 06 03 .......*.(...... 00e0 - 08 07 08 08 08 09 08 0a-08 0b 08 04 08 05 08 06 ................ 00f0 - 04 01 05 01 06 01 03 03-03 01 03 02 04 02 05 02 ................ 0100 - 06 02 00 2b 00 09 08 03-04 03 03 03 02 03 01 00 ...+............ 0110 - 2d 00 02 01 01 00 33 00-26 00 24 00 1d 00 20 7a -.....3.&.$... z 0120 - 65 ec 59 47 b4 f0 2e 2f-71 86 21 d8 ea cf cc 7b e.YG.../q.!....{ 0130 - f3 82 fe 85 0d d5 c2 26-e9 2e af 18 8b 7d 7c .......&.....}| SSL_connect:SSLv3/TLS write client hello openssl s_client -debug -state -connect telegram.org:443 CONNECTED(00000003) SSL_connect:before SSL initialization write to 0x55a43db7e890 [0x55a43dc6b720] (318 bytes => 318 (0x13E)) 0000 - 16 03 01 01 39 01 00 01-35 03 03 b8 a1 3c 3b 67 ....9...5....<;g 0010 - 47 d2 5d 17 d3 d5 c0 13-82 6e 0c 57 f0 25 c6 45 G.]......n.W.%.E 0020 - b8 cb b1 b8 f4 33 e2 93-e5 f9 d2 20 6d 31 b2 42 .....3..... m1.B 0030 - 63 f8 30 ce eb 0f 1a 46-ab e0 6c 0f 7c 97 0f 0a c.0....F..l.|... 0040 - 77 99 3f fe 43 52 86 f5-f2 49 aa 74 00 3e 13 02 w.?.CR...I.t.>.. 0050 - 13 03 13 01 c0 2c c0 30-00 9f cc a9 cc a8 cc aa .....,.0........ 0060 - c0 2b c0 2f 00 9e c0 24-c0 28 00 6b c0 23 c0 27 .+./...$.(.k.#.' 0070 - 00 67 c0 0a c0 14 00 39-c0 09 c0 13 00 33 00 9d .g.....9.....3.. 0080 - 00 9c 00 3d 00 3c 00 35-00 2f 00 ff 01 00 00 ae ...=.<.5./...... 0090 - 00 00 00 11 00 0f 00 00-0c 74 65 6c 65 67 72 61 .........telegra 00a0 - 6d 2e 6f 72 67 00 0b 00-04 03 00 01 02 00 0a 00 m.org........... 00b0 - 16 00 14 00 1d 00 17 00-1e 00 19 00 18 01 00 01 ................ 00c0 - 01 01 02 01 03 01 04 00-23 00 00 00 16 00 00 00 ........#....... 00d0 - 17 00 00 00 0d 00 2a 00-28 04 03 05 03 06 03 08 ......*.(....... 00e0 - 07 08 08 08 09 08 0a 08-0b 08 04 08 05 08 06 04 ................ 00f0 - 01 05 01 06 01 03 03 03-01 03 02 04 02 05 02 06 ................ 0100 - 02 00 2b 00 09 08 03 04-03 03 03 02 03 01 00 2d ..+............- 0110 - 00 02 01 01 00 33 00 26-00 24 00 1d 00 20 91 9e .....3.&.$... .. 0120 - 72 d3 4e 01 1d 72 f5 50-1b fd de eb 6a 27 45 9c r.N..r.P....j'E. 0130 - 40 23 fa fe dd 04 fc 05-27 5a 67 d6 ee 6a @#......'Zg..j SSL_connect:SSLv3/TLS write client helloIn der Zeile "SSL_connect:SSLv3/TLS write client hello" hängt OpenSSL für "immer". Auch eine Verbindung per Firefox bzw. Thunderbird ist nicht möglich.
Die beiden Server aus dem Test sind per Ping erreichbar.
Ich habe leider aktuell keine Idee wo mein Fehler liegt und bitte um eure Hilfe
Edit1: HTTP geht...Code
Alles anzeigentelnet telegram.org 80 Trying 2001:67c:4e8:f004::9... Connected to telegram.org. Escape character is '^]'. GET / HTTP/1.1 HOST: telegram.org HTTP/1.1 302 Found Server: nginx/1.18.0 Date: Sat, 10 Dec 2022 13:29:13 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 0 Connection: keep-alive Pragma: no-cache Cache-control: no-store Location: https://telegram.org/ ^CConnection closed by foreign host.Edit2:
Mit Laptop an der Fritzbox besteht kein Problem. Ändern der MTU nach unten auch keine Veränderung. Beide Änderungen wurden nach dem Test wieder zurück geändert.
Edit3:
war gerade auf der UDM_pro per SSH auch da funktioniert der OpenSSL Befehl noch. -
nach etwas lesen, denke ich ich habe die Funktion falsch verstanden.
-
Also als Lösung würde ich deine NAS in ein Server-VLAN verbannen mit einem anderen IP-Subnet.
Dann müsste der Gatway arbeiten und erst dann kann er auch per Firewall blocken.
Anders sieht es aus, wenn Du die Firewall auf deinem NAS nutzen möchtest... die kann immer Blocken, da sie aktiv an der Kommunikation beteiligt ist. -
Hallo Leute,
ich habe mal wieder ein kleines Problem mit meinem Setup. Ich möchte gern einige WiFi Geräte per VLAN verteilen.
Dafür habe ich mir ein neues WPA2 enterprise Netzwerk eingerichtet, da ich schon gelesen habe WPA2 enterprise und WPA2 enterprise MAC based gehen nicht auf der selben SSID.
Als MAC-Format habe ich die kleingeschriebene MAC getrennt mir Doppelpunkt genutzt. Dann habe ich im Radius einen User angelegt mit dem Namen gleich der MAC und einem Passwort meiner Wahl. Die VLAN ID habe ich gesetzt und 13 und 6 ausgewählt wie bei den normalen Radius Userns die ich für WPA2 enterprise nutze.
Leider sagt mein Client immer nur "Es ist ein Fehler aufgetreten". Es ist ein SenseCAP M1.
Als erfolglose Lösung habe ich schon versucht ein anders MAC-Format zu nutzen und das Passwort zu ändern. Außerdem habe ich den Client mit einem PSK-WLAN verbunden und die MAC dort kopiert, falls die aufgedruckte MAC falsch wäre. Leider beides ohne Erfolg.
Ich wäre über Hilfe echt dankbar. -
Naja wollte nur mein Setup schon vereinfachen und dachte es gebe einen Weg, damit die UDM-Pro schon die externe IP kennt und nicht nur die im FritzBox Netz.
Bald kommt bei mir hoffentlich Glasfaser, dann hab ich eh keine doppelte NAT mehr. -
meinst du tatsächlich dies ist ein Namensproblem?
Nein, aber es ist eine Auffälligkeit... Und es gab Ja die Frage nach DNS, darum war es meine erste Prüfung.
Ich denke es gibt hier wie bei mir eher ein Problem mit den IP-Adressen im SIP und damit einer falschen Rückantwort im RTP.
Nur das man hier FritzBox durch Provider ersetzen müsste und Yealink-Telefon durch seine FritzBox. -
okay, aktuell macht es auch noch meine "Modem"-Fritzbox... aber dachte kann das Setup vereinfachen.
Darum wollte ich nur in dem Thema fragen und nicht gleich ein eigenes öffnen... Trotzdem Danke für das Verschieben -
Ich glaube, es geht nur mit dem Provider DNS.
Über den Google DNS gibt es keine SRV Antwort für den SIP Server.Code
Alles anzeigen% drill tel.t-online.de ANY @8.8.8.8 ;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 20412 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;; tel.t-online.de. IN ANY ;; ANSWER SECTION: tel.t-online.de. 10699 IN NS ns1.edns.t-ipnet.de. tel.t-online.de. 10699 IN NS ns2.edns.t-ipnet.de. tel.t-online.de. 10699 IN NS ns3.edns.t-ipnet.de. tel.t-online.de. 10699 IN NS ns4.edns.t-ipnet.de. tel.t-online.de. 10699 IN NS ns5.edns.t-ipnet.de. tel.t-online.de. 10699 IN NS ns6.edns.t-ipnet.de. tel.t-online.de. 7099 IN NAPTR 10 0 "s" "SIPS+D2T" "" _sips._tcp.tel.t-online.de. tel.t-online.de. 7099 IN NAPTR 20 0 "s" "SIP+D2U" "" _sip._udp.tel.t-online.de. tel.t-online.de. 7099 IN NAPTR 30 0 "s" "SIP+D2T" "" _sip._tcp.tel.t-online.de. tel.t-online.de. 10699 IN SOA ns1.edns.t-ipnet.de. hostmaster.t-ipnet.net. 2018022700 43200 1800 1209600 21600 ;; AUTHORITY SECTION: ;; ADDITIONAL SECTION: ;; Query time: 29 msec ;; SERVER: 8.8.8.8 ;; WHEN: Wed Aug 3 16:21:57 2022 ;; MSG SIZE rcvd: 376 % drill _sip._udp.t-online.de ANY @8.8.8.8 ;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 31334 ;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;; _sip._udp.t-online.de. IN ANY ;; ANSWER SECTION: ;; AUTHORITY SECTION: t-online.de. 1800 IN SOA dns00.btx.dtag.de. hostmaster.t-ipnet.net. 2022080200 10800 1800 3024000 3600 ;; ADDITIONAL SECTION: ;; Query time: 40 msec ;; SERVER: 8.8.8.8 ;; WHEN: Wed Aug 3 16:25:05 2022 ;; MSG SIZE rcvd: 112Leider habe ich als 1&1 Kunde keinen Telekom-DNS für einen Test.
-
habt Ihr eine Idee, wie man das mit doppelter NAT lösen kann?
-
Nur wie wurde dein Gerät geblockt, wäre die nächste Frage
-
Also meine erste Idee wäre eine zusätzliche Aufnahme über Real Time Streaming Protocol (RTSPS) auf einem anderen Gerät.
-
also ich habe das Problem nicht bis jetzt und nutze einen USW-Flex-Mini, zwei UAP-nanoHD, zwei US-8-60W, einen US-8-150W und natürlich die UDM pro
-
Wie starte oder komme ich denn zum "SSH-Dialog"?
Guten Abend,
ich gehe jetzt einfach mal davon aus, Du bist ein Windows-Nutzer und möchtest erstmal nur ein Gerät per SSH-Verbindung bedienen.
Daher zur Erklärung, SSH ist ein verschlüsseltes Kommunikationsprotokoll für die Fernwartung. Es kann für die Kommandozeileneingabe, zur Dateiübertragung und auch als Netzwerk-TCP-Brücke genutzt werden.
Zum übermitteln von Dateien auf das Remotesystem eignet sich unter Windows die Software WinSCP. Die Bedienung ist dem Windowsdateiexplorer sehr ähnlich, nur ein Netzwerk- und Anmeldedatendialog ist vorgeschaltet.
Um ein System von der ferne zu bedienen und Befehle zu übermitteln, sowie deren Antwort anzuzeigen, nutzt man am Anfang unter Windows die Software Putty. Es handelt sich dabei wohl um einen der bekanntesten Clients für SSH. Auch hier gibt es einen Dialog für die Netzwerkverbindung. Die Anmeldung erfolgt dann schon auf der CMD. Die Passworteingabe gibt dabei kein Feedback wie Sternchen, sondern ist komplett blind.
Sollten es später doch mehrere Systeme werden, welche Du über SSH steuer möchtest, sollte man über einen Multiplexer nachdenken. Mir gefällt hier der auf Putty und WinSCP aufbauende WinSSHTerm besonders.
Bei Fragen rund um diese drei Tools kann ich dir gern unterstützend zur Seite stehen. -
Also die Lösung über den kleinen Bildschirm geht immer und ist auch die einfachste... einen sicheren Shutdown gibt es hier auch.
Die Lösung über SSH ist auch sehr gut geeignet, muss aber erst im Webinterface eingeschaltet werden. Dazu wäre es natürlich zu spät, wenn Du keinen Zugriff mehr hast und Neustart die Lösung für dein Zugriffsproblem sein soll. -
Sorry für die späte Antwort... ich kann aktuell leider noch nicht so lange am PC sitzen.
Aber hier was ich soweit betragen kann:- Das Gerät kann laut Hersteller kein 5GHz WiFi
- WPA3 habe ich auch nicht finden können als unterstützte Verschlüsslung
- WPA3 ohne protected management frames ist nach meinem Wissen unmöglich.
- der Tolino Vision 5 verbindet sich nach Hersteller nur mit AES WPA2 Netzwerken
-
das ist komisch... ich habe für mein VOIP-VLAN eine Rule die Internet verbietet und eine DNS-Rule die meine NTP-Server wieder erlaubt.
Damit gibt es kein Problem -
Einen Lösungsvorschlag habe ich leider noch nicht für dich.
Vielleicht könntest Du ein paar Fragen zum W-LAN beantworten- Welche Frequenzbänder nutzt Du?
- Welche Channels nutzt Du für dein WiFi?
- wifi channel width 20 oder 40 mhz?
- Welche Verschlüsslung hast Du aktiv?
- Sind die protected management frames aktiv?
- Wo hast Du den Tolino gekauft? (Zwecks Wifi Region)
