https über vpn

[aLeXL]

Hi,

ich hab auf meinen V-Server nen pptp daemon laufen über den ich mich per vpn auf meinen hinterlegten user verbinde.

Das funktioniert soweit auch alles wunderbar, ich kann darüber normal im Web surfen, icq, irc, ftp usw. benutzen.

Wenn ich jedoch versuche eine https webseite zu öffnen, dann bleibt der Browser jedoch weiß und links unten steht: Verbunden mit "Seite"...

Habt ihr eine Ahnung, wo genau das Problem liegen könnte?

Im Internet finde ich leider nicht was mir weiterhelfen würde.

[hades]

Eine Firewall blockt den genutzten Port.

IdR ist es bei HTTPS der TCP-Port 443 (auf der Webserver-Seite).

[aLeXL]

Hi hades,

thx für deinen Post, aber laut nmap ist der port offen:

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2009-05-10 23:14 CEST

Interesting ports on vserverxxx.vserver-on.de (ip):

Not shown: 1672 closed ports

PORT STATE SERVICE

21/tcp open ftp

22/tcp open ssh

25/tcp open smtp

80/tcp open http

110/tcp open pop3

443/tcp open https

1723/tcp open pptp

3306/tcp open mysql

[hades]

Der Port 443 ist auf der Server-Seite der Webseite, die Du aufrufen willst.

Oder sind die Seiten, die Du aufrufst, lokal auf dem V-Server?

[aLeXL]

Die Seite ist z.b. die webseite der volksbank (online banking), also is das nicht lokal aufm v-server.

Ich versteh nicht ganz was du meinst, wenn ich von einem Client im Internet aus auf meinen v-server einen portscan mache und sehe, dass der https port offen ist, müsste doch die volksbank eine https verbindung zu meinem v-server erstellen können ?

Und der v-server dann halt weiter auf mich (meinen pc)?

Das mit "Auf der Webserver Seite" versteh ich nicht genau, was du damit meinst, kannste das etwas genauer erläutern?

[hades]

Es ist genau umgekehrt.

Dein Browser baut die Verbindung zum Webserver der Bank auf und fordert Daten an.

In Richtung Browser muss nichts offen sein, es geht alles (auch die zurueckgegebenen Daten) ueber die Verbindung zum Server.

Um Dein VPN auszuschliessen, gehe per ssh bzw. rdp auf den vserver und rufe dort die HTTPS-Seite mal auf.

Wenn keine graphische Oberflaeche vorhanden: ja, das geht auch ohne.

openssl s_client -connect www.webseitenname.invalid:443

Es sollte jetzt der Inhalt vom SSL-Zertifikat der Webseite https://www.webseitenname.invalid erscheinen. Dann geht es weiter mit:

HEAD / HTTP/1.1

Host:www.webseitenname.invalid

Als Antwort sollte der Webserver Dir ein 200 (OK) oder eine der 300er Meldungen (301, 302 oder 303 = Redirections) oder ein 401 (User Authentication required) ausgeben.

Bearbeitet 16. Mai 2009 von hades

[aLeXL]

Also nur mal um das klarzustellen, nicht dass du einen falschen Eindruck von mir hast, auf meinem Server läuft kein X, ich benutz nur die console

Also ich hab das mal gemacht, was du gesagt hast und hier ist das Ergebnis:

CONNECTED(00000003)

depth=0 /C=US/ST=Virginia/L=Herndon/O=SWsoft, Inc./OU=Confixx/CN=confixx/emailAddress=info@confixx.com

verify error:num=18:self signed certificate

verify return:1

depth=0 /C=US/ST=Virginia/L=Herndon/O=SWsoft, Inc./OU=Confixx/CN=confixx/emailAddress=info@confixx.com

verify error:num=10:certificate has expired

notAfter=Jun 6 14:07:21 2007 GMT

verify return:1

depth=0 /C=US/ST=Virginia/L=Herndon/O=SWsoft, Inc./OU=Confixx/CN=confixx/emailAddress=info@confixx.com

notAfter=Jun 6 14:07:21 2007 GMT

verify return:1

---

Certificate chain

0 s:/C=US/ST=Virginia/L=Herndon/O=SWsoft, Inc./OU=Confixx/CN=confixx/emailAddress=info@confixx.com

i:/C=US/ST=Virginia/L=Herndon/O=SWsoft, Inc./OU=Confixx/CN=confixx/emailAddress=info@confixx.com

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIDkzCCAvygAwIBAgIJAMx/UcvvclniMA0GCSqGSIb3DQEBBAUAMIGOMQswCQYD

VQQGEwJVUzERMA8GA1UECBMIVmlyZ2luaWExEDAOBgNVBAcTB0hlcm5kb24xFTAT

BgNVBAoTDFNXc29mdCwgSW5jLjEQMA4GA1UECxMHQ29uZml4eDEQMA4GA1UEAxMH

Y29uZml4eDEfMB0GCSqGSIb3DQEJARYQaW5mb0Bjb25maXh4LmNvbTAeFw0wNjA2

MDYxNDA3MjFaFw0wNzA2MDYxNDA3MjFaMIGOMQswCQYDVQQGEwJVUzERMA8GA1UE

CBMIVmlyZ2luaWExEDAOBgNVBAcTB0hlcm5kb24xFTATBgNVBAoTDFNXc29mdCwg

SW5jLjEQMA4GA1UECxMHQ29uZml4eDEQMA4GA1UEAxMHY29uZml4eDEfMB0GCSqG

SIb3DQEJARYQaW5mb0Bjb25maXh4LmNvbTCBnzANBgkqhkiG9w0BAQEFAAOBjQAw

gYkCgYEA6q1eLNdQ2BW9ZEk9nd/wdVm8DunaGA1T6j1zcq8dx1pN92zbWQBZJJxb

+1HqRjPes00YIztwDPwLcAx+ETAUryn3/GOUawh1fFiK/6TGNm+eSx3ya908i4iM

g7uZn19T8V/Yc52+tJ5ACX7Uy36WJYIUppbtNfNQPIM1PfEbBpsCAwEAAaOB9jCB

8zAdBgNVHQ4EFgQU5S9AVGY5iuVX87+jZCCdSE8VohEwgcMGA1UdIwSBuzCBuIAU

5S9AVGY5iuVX87+jZCCdSE8VohGhgZSkgZEwgY4xCzAJBgNVBAYTAlVTMREwDwYD

VQQIEwhWaXJnaW5pYTEQMA4GA1UEBxMHSGVybmRvbjEVMBMGA1UEChMMU1dzb2Z0

LCBJbmMuMRAwDgYDVQQLEwdDb25maXh4MRAwDgYDVQQDEwdjb25maXh4MR8wHQYJ

KoZIhvcNAQkBFhBpbmZvQGNvbmZpeHguY29tggkAzH9Ry+9yWeIwDAYDVR0TBAUw

AwEB/zANBgkqhkiG9w0BAQQFAAOBgQAQpitzqpUr2LnXwL4OhtaQpc6/TjR/qtGn

sBWiR3ClrmPd6ThNH7KIsKtUlPjbQ2yc0wyy+uueuLuhsTJsg7rUlp0xRXY74v3g

osnD/V+ijKRqJN24mzAeLZdQyQG0kOqlTRClCHfGS/BOV0YxDEaoO0TLiiv59hQ6

e2I9ADMLxQ==

-----END CERTIFICATE-----

subject=/C=US/ST=Virginia/L=Herndon/O=SWsoft, Inc./OU=Confixx/CN=confixx/emailAddress=info@confixx.com

issuer=/C=US/ST=Virginia/L=Herndon/O=SWsoft, Inc./OU=Confixx/CN=confixx/emailAddress=info@confixx.com

---

No client certificate CA names sent

---

SSL handshake has read 1483 bytes and written 316 bytes

---

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA

Server public key is 1024 bit

Compression: NONE

Expansion: NONE

SSL-Session:

Protocol : TLSv1

Cipher : DHE-RSA-AES256-SHA

Session-ID: 7D5BAE3956BADEF311BC842B2EF837CD32F45347D5F0061F5A2A810870D91C59

Session-ID-ctx:

Master-Key: 134903162F01CAE850AC88E1AA09765C6D9B48A1DA97705EEA5F1349A9AD71725335C4DA0695C700CEEDA986ECE594AB

Key-Arg : None

Start Time: 1242937287

Timeout : 300 (sec)

Verify return code: 10 (certificate has expired)

---

HEAD / HTTP/1.1

Host:www.lenz-systems.invalid

HTTP/1.1 200 OK

Date: Thu, 21 May 2009 20:21:31 GMT

Server: Apache/2.2.3 (Debian) mod_python/3.2.10 Python/2.4.4 PHP/5.2.0-8+etch13 mod_ssl/2.2.3 OpenSSL/0.9.8c

X-Powered-By: PHP/5.2.0-8+etch13

Content-Type: text/html

closed

Und nun ?