Verbindungsabbruch bei https

MPW · 25. Juli 2016 um 08:53

Dadurch wechselst du die Nat-IP. Es besteht der Verdacht, dass der Anbieter ein Problem mit der einen Nat-IP hat.

kgbvax · 28. Juli 2016 um 20:16

8 posts were split to a new topic: Tunnel und Layer

paulinsche · 29. Juli 2016 um 06:18

Ne. Das default Gateway ist sicherlich was mit 10.xxx … Suche mit “ip r” das aktuelle raus und versuch dann eine IP drüber oder drunter.

MPW · 29. Juli 2016 um 10:27

Paulinsche hat recht, hab nicht richtig gelesen. Du kannst die externe IP nicht als Gateway anbieten.

jantofw · 31. Juli 2016 um 16:00

twitter.com per https via FF-router und
10.48.144.3 als internes gw
geht nicht.
Mit 10.48.144.2 als internes gw geht es.

Update, 03.08.16, 18 Uhr
twitter.com und webmailer von 1und1 per https via FF-router und 10.48.144.3 als internes gw
geht nicht.
Und wieder nach ip route del default via 10.48.144.3; ip route add default via 10.48.144.2
geht es.

Entweder 10.48.144.3 hat ein internes Problem oder twitter und 1und1 haben ihn bzw. die entsprechende öffentliche ip auf einer Blacklist?

jantofw · 5. August 2016 um 09:30

Wie geht es weiter?

Bei mir in Dom50: 10.48.144.2 als gw heile und
10.48.144.3 als gw kaputt an verschiedenen Tagen

Laut

könnte es ein MTU-Problem sein (letzter Eintrag).

MPW · 5. August 2016 um 12:50

Das ist Commander.

Das ist Ausrufer.

jantofw · 5. August 2016 um 13:59

Ok, danke für die Info.
Wie können wir das Problem weiter einkreisen?
Vorschlag:
Kann jemand auf Ausrufer direkt wget --debug https://twitter.com ausführen?

descilla · 5. August 2016 um 16:58

Ich würde als nächsten Schritt mal die Nat-IPv4-Adresse austauschen. Das ist zum einen recht schnell gemacht und prüft zum anderen die schon mehrfach geäußerte Vermutung, dass die Adresse blockiert wird.

Hat jemand Lust dazu?

MPW · 5. August 2016 um 19:03

Wir haben keine freie mehr.

Zieht lieber den Knoten in eine Domäne um, die auf anderen Servern liegt.

jantofw · 5. August 2016 um 19:11

Sorry, bin zu unwissend, meinst du z.B. meinen FF-Router mit Knoten, den ich dann einer anderen Domäne per flashen zuweisen soll?

MPW · 5. August 2016 um 19:14

Genau. Z. B. Domäne 10.

jantofw · 5. August 2016 um 19:25

Mache ich. Was ist das Ziel dabei?

MPW · 5. August 2016 um 19:26

Hi,

dadurch wechselst du die Nat-IP und erreichst dasselbe, was @Descilla vorgeschlagen hat.

Grüße
Matthias

jantofw · 5. August 2016 um 19:58

Habe es gemacht.
Meinem client wird vom router das gw 10.43.80.2 zugewiesen. Damit geht twitter.
Wenn ich dann manuell das gw auf 10.43.80.3 umstelle, geht twitter ebenfalls.
Meinst du mit nat-ip die ip, die twitter sieht? Ansonsten verstehe ich es nicht, da die gw-Adressen dieser Domäne andere sind.

MPW · 5. August 2016 um 20:05

Richtig, die Nat-IP ist die externe IP.

Wir sollten mal twitter schreiben, was die gegen unsere IP haben. Da es schon länger ist, geht es wohl auch nicht von alleine weg.

descilla · 5. August 2016 um 20:08

Nein. Du verbindest dich in diesem Fall mit einem komplett anderen Server. Bei meinem Vorschlag würde lediglich ein Parameter geändert werden. Das macht bezüglich der Suche nach der Ursache einen signifikanten Unterschied.

Dann würde ich vorschlagen, dass wir einfach zwei Adressen vertauschen. Eine Adresse von einem Server, wo berichtet wurde, dass es keine Probleme gibt, eine Adresse von einem Server wo Probleme berichtet wurden.

Dann geht aber kein Meshing mehr mit Nachbarknoten.

jantofw · 5. August 2016 um 20:13

Macht mir nix, habe keine Nachbarn und kann jederzeit zurück-flashen.

Denke, es betrifft auch andere Ziele wie z.B. 1und1 (webmailer) und einmal wurde auch bing genannt.
Um die Folgerung von MPW zu bestätigen, möchte ich vorschlagen, von Ausrufer aus direkt [quote=„jantofw, post:82, topic:1532“]
wget --debug https://twitter.com ausführen?
[/quote]

descilla · 5. August 2016 um 20:28

root@ausrufer ~ # wget https://twitter.com -O /dev/null --debug --bind-address=185.66.193.50
Setting --bind-address (bindaddress) to 185.66.193.50
DEBUG output created by Wget 1.16 on linux-gnu.

URI encoding = ‘UTF-8’
--2016-08-05 22:25:19--  https://twitter.com/
Certificates loaded: 174
Resolving twitter.com (twitter.com)... 104.244.42.1, 104.244.42.193
Caching twitter.com => 104.244.42.1 104.244.42.193
Connecting to twitter.com (twitter.com)|104.244.42.1|:443... Releasing 0x000000000178d950 (new refcount 0).
Deleting unused 0x000000000178d950.
connected.
Created socket 5.
Releasing 0x000000000178d770 (new refcount 1).
GnuTLS: Error in the pull function.
Closed fd 5
Unable to establish SSL connection.

root@ausrufer ~ # wget https://twitter.com -O /dev/null --debug --bind-address=163.172.211.238
Setting --bind-address (bindaddress) to 163.172.211.238
DEBUG output created by Wget 1.16 on linux-gnu.

URI encoding = ‘UTF-8’
--2016-08-05 22:27:08--  https://twitter.com/
Certificates loaded: 174
Resolving twitter.com (twitter.com)... 104.244.42.193, 104.244.42.1
Caching twitter.com => 104.244.42.193 104.244.42.1
Connecting to twitter.com (twitter.com)|104.244.42.193|:443... Releasing 0x00000000009b1950 (new refcount 0).
Deleting unused 0x00000000009b1950.
connected.
Created socket 5.
Releasing 0x00000000009b1770 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.16 (linux-gnu)
Accept: */*
Host: twitter.com
Connection: Keep-Alive

---request end---
HTTP request sent, awaiting response... 
---response begin---
HTTP/1.1 200 OK
cache-control: no-cache, no-store, must-revalidate, pre-check=0, post-check=0
content-length: 303286
content-type: text/html;charset=utf-8
date: Fri, 05 Aug 2016 20:27:08 GMT
expires: Tue, 31 Mar 1981 05:00:00 GMT
last-modified: Fri, 05 Aug 2016 20:27:08 GMT
pragma: no-cache
server: tsa_f
set-cookie: fm=0; Expires=Fri, 05 Aug 2016 20:26:58 GMT; Path=/; Domain=.twitter.com; Secure; HTTPOnly
set-cookie: _twitter_sess=BAh7CSIKZmxhc2hJQzonQWN0aW9uQ29udHJvbGxlcjo6Rmxhc2g6OkZsYXNo%250ASGFzaHsABjoKQHVzZWR7ADoPY3JlYXRlZF9hdGwrCBBUY1xWAToMY3NyZl9p%250AZCIlMGExYjI5MTlhM2NlMGQ3OWU3NDQ2YjUyZTRjODMyZTg6B2lkIiU4Mzdi%250AZTVkMmYwMDRiMWUyMzJkYWVlZGI2ZjU1Yzg3Nw%253D%253D--d38d8ab5ff515053456fb2c3195fc1411c9e6709; Path=/; Domain=.twitter.com; Secure; HTTPOnly
set-cookie: guest_id=v1%3A147042882868792326; Domain=.twitter.com; Path=/; Expires=Sun, 05-Aug-2018 20:27:08 UTC
status: 200 OK
strict-transport-security: max-age=631138519
x-connection-hash: 38f42f23d5ae888a1f00a2f303d5e664
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-response-time: 351
x-transaction: 00bbb9cf007df608
x-twitter-response-tags: BouncerCompliant
x-ua-compatible: IE=edge,chrome=1
x-xss-protection: 1; mode=block

---response end---
200 OK
cdm: 1cdm: 1
Stored cookie twitter.com -1 (ANY) / <session> <secure> [expiry none] _twitter_sess BAh7CSIKZmxhc2hJQzonQWN0aW9uQ29udHJvbGxlcjo6Rmxhc2g6OkZsYXNo%250ASGFzaHsABjoKQHVzZWR7ADoPY3JlYXRlZF9hdGwrCBBUY1xWAToMY3NyZl9p%250AZCIlMGExYjI5MTlhM2NlMGQ3OWU3NDQ2YjUyZTRjODMyZTg6B2lkIiU4Mzdi%250AZTVkMmYwMDRiMWUyMzJkYWVlZGI2ZjU1Yzg3Nw%253D%253D--d38d8ab5ff515053456fb2c3195fc1411c9e6709
cdm: 1
Stored cookie twitter.com -1 (ANY) / <session> <insecure> [expiry none] guest_id v1%3A147042882868792326
Registered socket 5 for persistent reuse.
URI content encoding = ‘utf-8’
Length: 303286 (296K) [text/html]
Saving to: ‘/dev/null’

/dev/null                                                   100%[===========================================================================================================================================>] 296.18K   553KB/s   in 0.5s   

2016-08-05 22:27:09 (553 KB/s) - ‘/dev/null’ saved [303286/303286]

Mit google DNS im resolv.conf (man beachte die komplett verschiedenen IP Adressen bei der Auflösung):

root@ausrufer ~ # wget https://twitter.com -O /dev/null --debug --bind-address=185.66.193.50
Setting --bind-address (bindaddress) to 185.66.193.50
DEBUG output created by Wget 1.16 on linux-gnu.

URI encoding = ‘UTF-8’
--2016-08-05 22:28:04--  https://twitter.com/
Certificates loaded: 174
Resolving twitter.com (twitter.com)... 199.16.156.38, 199.16.156.70, 199.16.156.102, ...
Caching twitter.com => 199.16.156.38 199.16.156.70 199.16.156.102 199.16.156.230
Connecting to twitter.com (twitter.com)|199.16.156.38|:443... Releasing 0x0000000001792a20 (new refcount 0).
Deleting unused 0x0000000001792a20.
connected.
Created socket 5.
Releasing 0x0000000001792810 (new refcount 1).

---request begin---
GET / HTTP/1.1
User-Agent: Wget/1.16 (linux-gnu)
Accept: */*
Host: twitter.com
Connection: Keep-Alive

---request end---
HTTP request sent, awaiting response... 
---response begin---
HTTP/1.1 200 OK
cache-control: no-cache, no-store, must-revalidate, pre-check=0, post-check=0
content-length: 287635
content-type: text/html;charset=utf-8
date: Fri, 05 Aug 2016 20:28:05 GMT
expires: Tue, 31 Mar 1981 05:00:00 GMT
last-modified: Fri, 05 Aug 2016 20:28:05 GMT
pragma: no-cache
server: tsa_b
set-cookie: fm=0; Expires=Fri, 05 Aug 2016 20:27:55 GMT; Path=/; Domain=.twitter.com; Secure; HTTPOnly
set-cookie: _twitter_sess=BAh7CSIKZmxhc2hJQzonQWN0aW9uQ29udHJvbGxlcjo6Rmxhc2g6OkZsYXNo%250ASGFzaHsABjoKQHVzZWR7ADoPY3JlYXRlZF9hdGwrCJ4wZFxWAToMY3NyZl9p%250AZCIlYjNmZTI0NGNjODMzNDRlNTgzODdiNGI1MjZhNDRjZWY6B2lkIiVmNjll%250AMTU3MWU0MTI4M2FlYzVmOTgzOWZjZTg0MmE4OA%253D%253D--c0743700b86440b5891480f64b9418cc1d9079f7; Path=/; Domain=.twitter.com; Secure; HTTPOnly
set-cookie: guest_id=v1%3A147042888514851343; Domain=.twitter.com; Path=/; Expires=Sun, 05-Aug-2018 20:28:05 UTC
status: 200 OK
strict-transport-security: max-age=631138519
x-connection-hash: 30d853237f2f14b09e38fab282d7d241
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-response-time: 188
x-transaction: 00a60fa700ffa69e
x-twitter-response-tags: BouncerCompliant
x-ua-compatible: IE=edge,chrome=1
x-xss-protection: 1; mode=block

---response end---
200 OK
cdm: 1cdm: 1
Stored cookie twitter.com -1 (ANY) / <session> <secure> [expiry none] _twitter_sess BAh7CSIKZmxhc2hJQzonQWN0aW9uQ29udHJvbGxlcjo6Rmxhc2g6OkZsYXNo%250ASGFzaHsABjoKQHVzZWR7ADoPY3JlYXRlZF9hdGwrCJ4wZFxWAToMY3NyZl9p%250AZCIlYjNmZTI0NGNjODMzNDRlNTgzODdiNGI1MjZhNDRjZWY6B2lkIiVmNjll%250AMTU3MWU0MTI4M2FlYzVmOTgzOWZjZTg0MmE4OA%253D%253D--c0743700b86440b5891480f64b9418cc1d9079f7
cdm: 1
Stored cookie twitter.com -1 (ANY) / <session> <insecure> [expiry none] guest_id v1%3A147042888514851343
Registered socket 5 for persistent reuse.
URI content encoding = ‘utf-8’
Length: 287635 (281K) [text/html]
Saving to: ‘/dev/null’

/dev/null                                                   100%[===========================================================================================================================================>] 280.89K   124KB/s   in 2.3s   

2016-08-05 22:28:07 (124 KB/s) - ‘/dev/null’ saved [287635/287635]

Das legt es halt sehr nahe, dass die Adresse auf manchen Systemen geblockt wir aber es beweist es nicht. Daher würde ich halt gerne die NATv4 Adresse austauschen. Auf der anderen Seite gibt es die Probleme auch nur bei HTTPS. Ping geht und selbst die TCP Verbindung wird korrekt aufgebaut, erst beim ersten tls spezifischen Paket wird die Verbindung gekappt.

PS: DNS ist auf ausrufer kaputt:

Inhalt resolv.conf:

domain online.net
search online.net
nameserver 62.210.16.6
nameserver 62.210.16.7

Problem:

root@ausrufer ~ # nslookup google.de
;; Got recursion not available from 62.210.16.6, trying next server
Server:		62.210.16.7
Address:	62.210.16.7#53

** server can't find google.de: REFUSED

Deswegen dauert das anmelden über SSH bei ausrufer auch so lange.

Hilfeseiten bei Twitter:

MPW · 5. August 2016 um 22:02

Hast recht, ist der sauberste Weg es abschließend zu testen. Bitte achte drauf auch eine 193er zu nehmen, um unnötiges Querrouten zu vermeiden.