Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Https Abfrage wird nicht durchgeleitet, aber nur von TMobile, sonst gehts!

Mitglied: HansJoachm

HansJoachm (Level 1) - Jetzt verbinden

04.02.2019 um 11:09 Uhr, 375 Aufrufe, 22 Kommentare, 3 Danke

Hallo,

ich habe meinen IIS10 Server mit einem Zertifikat versehen, die Seite https://vtpraxis.berlin ist über 1und1 mit statischer IP geschaltet und funktioniert erwartungsgemäß. Lediglich Anfragen, die ich über mein Handy mit tmobile Vertrag sende, werden abgewiesen. Alle anderen getesteten - auch mobile - Systeme zeigen die Seite an.

Der Experte von tmobile meinte, es läge am NAT Protokoll, insofern, dass tmobile IP Adressen vergibt, die vom NAT Protokoll als 'privat' eingestuft und dann entweder von 1und1 nicht weitergeleitet werden oder vom NAT Protokoll des IIS abegwiesen werden.

Im letzteren Fall müsste der Zugriff im IIS Protokoll aufgeführt sein, was aber nicht der Fall ist.

Ich kann der Argumentation nicht ganz folgen, da ich bei 1und1 Geschäftskunde bin und nach meiner Logik Privatkunden von tmobile dann generell nicht auf Geschäftsanschlüsse bei 1und1 zugreifen könnten.

Wäre toll, wenn jemand mir weiterhelfen könnte

Danke vorweg
Mitglied: Lochkartenstanzer
LÖSUNG 04.02.2019, aktualisiert um 11:21 Uhr
Zitat von HansJoachm:

Der Experte von tmobile meinte, es läge am NAT Protokoll, insofern, dass tmobile IP Adressen vergibt, die vom NAT Protokoll als 'privat' eingestuft und dann entweder von 1und1 nicht weitergeleitet werden oder vom NAT Protokoll des IIS abegwiesen werden.

Das ist kein Experte, sondern ein Leute-Abwimmler. Selbst mit Carrier Grade NAT, wie es die meisten Mobilfunkanbieter betreiben, soltlest Du eine verbindung zu Deinem Webserver bekommen.

$ host vtpraxis.berlin
vtpraxis.berlin has address 90.187.98.57
vtpraxis.berlin has IPv6 address 2001:8d8:100f:f000::25a
vtpraxis.berlin mail is handled by 10 mx00.kundenserver.de.
vtpraxis.berlin mail is handled by 10 mx01.kundenserver.de.
Wie man sieht, hast Du öffentliche IP-Adressen. Was ich mir vorstellen kann, ist daß die Telekom Vodafone nicht mag (90.187.98.57 = business-90-187-98-57.pool2.vodafone-ip.de) udn daher blockiert.

lks


PS:
90.187.98.57 verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für folgende Namen: *.vtpraxis.berlin, vtpraxis.berlin Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN
Bitte warten ..
Mitglied: Ausserwoeger
04.02.2019, aktualisiert um 11:28 Uhr
Hi

Da es bei anderen T-Mobile Kunden funktioniert würde ich nicht auf Tmoble tippen.
Hast du geprüft ob dein Handy als du es versucht hast in einem Wlan war ?

Sollte das handy in einem Wlan sein deaktiviere dieses zum test und versuche es über Lte nochmals.

PS: Das Sicherheitszertifikat könnte auch eine ursache dafür sein der Kollege Lochkartenstanzer geschrieben hat.

LG
Bitte warten ..
Mitglied: Kraemer
04.02.2019, aktualisiert um 11:34 Uhr
Moin Hans-Joachim,

ich kann dein Problem nicht nachvollziehen - funktioniert hier einwandfrei.

Gruß

PS: Dir ist bewusst, dass man deine Seite heutzutage ausschließlich mit vielen negativen Wörtern beschreibt? Da passt ja überhaupt nichts...
Bitte warten ..
Mitglied: Lochkartenstanzer
04.02.2019, aktualisiert um 11:41 Uhr
Zitat von Kraemer:

Moin Hans-Joachim,

ich kann dein Problem nicht nachvollziehen - funktioniert hier einwandfrei.

bei mir nicht.

Ich bekomme nur die Meldung über das ungültige zertifikat, bzw eine SSL-Protokoll-Fehler

lks

PS. Lynx sagt:


$ lynx --dump http://vtpraxis.berlin
   FRAME: [1]https://90.187.98.57

                                 VTPraxisBerlin

   [2]http://vtpraxis.berlin/

References

   1. https://90.187.98.57/
   2. https://90.187.98.57/
$ lynx --dump https://vtpraxis.berlin

Looking up vtpraxis.berlin
Making HTTPS connection to vtpraxis.berlin
Alert!: Unable to make secure connection to remote host.

lynx: Can't access startfile https://vtpraxis.berlin/
PPS: Prüfe mal Deinen Webserver und Deine Zeritifikate.
Bitte warten ..
Mitglied: HansJoachm
04.02.2019 um 11:38 Uhr
hi, vielleicht ein Missverständnis - ich wüsste nicht, dass es bei anderen t-mobile Kunden funktioniert. Wie kommst Du darauf? Hast Du einen T-mobile Anschluss?

Ich war sicher nicht im WLan, im WLan funktionert es problemlos, so wie von anderen mobile Anbietern auch...
Bitte warten ..
Mitglied: HansJoachm
04.02.2019, aktualisiert um 11:41 Uhr
Lochstanzer, meinst Du, es könnte klappen, wenn ich die IPv6 Adresse in den AAA Record eintrage? Ich bin da aus Erfahrung vorsichtig mit Veränderungen
Bitte warten ..
Mitglied: Lochkartenstanzer
04.02.2019 um 11:42 Uhr
Zitat von HansJoachm:

Lochstanzer, meinst Du, es könnte klappen, wenn ich die IPv6 Adresse in den AAA Record eintrage? Ich bin da aus Erfahrung vorsichtig mit Veränderungen

Solange Deine Zertifikate Probleme bereiten wird das nur stellenweise funktionieren.

lks
Bitte warten ..
Mitglied: nepixl
LÖSUNG 04.02.2019, aktualisiert um 11:48 Uhr
Hi,

Der Experte von tmobile
Sehr widersprüchlich.

um etwas für weitere Verwirrung zu sorgen:

Kam eben via Smartphone (FF; Telekom Businessvertrag) ohne Probleme zur nicht unbedingt schönsten HP des WWW's. (https://vtpraxis.berlin/)

P.s.: Ggf. mal Zeit für ein Remake der HP.

Gruß
Bitte warten ..
Mitglied: HansJoachm
04.02.2019 um 11:46 Uhr
das ist ein offizielles von Digizert. Hiesse dann wohl, dass tmobile speziell dieses Zertifikat blockt? Kann ich mir so nicht vorstellen. Wäre aber etwas völlig anderes als die NAT Theorie des tmobile Experten
Bitte warten ..
Mitglied: HansJoachm
04.02.2019, aktualisiert um 11:49 Uhr
... genau, hieße dann aber, dass über tmobile nur Patienten mit Geschäftskundenvertrag die Seite aufrufen könnten. Das wäre ja mehr als schräg... entspäche aber der Auskunft. Wäre m.E. ein Fall für die Presse, wenns überhaupt jemanden interessiert.
Bitte warten ..
Mitglied: HansJoachm
04.02.2019, aktualisiert um 11:51 Uhr
Klar ist ein remake fällig, aber ich muss da aus Zeitgründen Prioritäten setzen. Aber der Kenner schätzt auch die handprogrammierte Wikipedia
Bitte warten ..
Mitglied: Ausserwoeger
04.02.2019 um 11:53 Uhr
Zitat von HansJoachm:

... genau, hieße dann aber, dass über tmobile nur Patienten mit Geschäftskundenvertrag die Seite aufrufen könnten. Das wäre ja mehr als schräg...

Wie Kommst du den darauf ??


Zitat von HansJoachm:

das ist ein offizielles von Digizert. Hiesse dann wohl, dass tmobile speziell dieses Zertifikat blockt? Kann ich mir so nicht vorstellen. Wäre aber etwas völlig anderes als die NAT Theorie des tmobile Experten

Blödsinn !! Du hast ein Zertifikat für *.vtpraxis.berlin

90.187.98.57 verwendet ein ungültiges Sicherheitszertifikat. Das Zertifikat gilt nur für folgende Namen: *.vtpraxis.berlin, vtpraxis.berlin Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

Hier gefällt der name nicht. Wenn du die Seite auf www.vtpraxis.berlin legst kannst du nochmal testen.

Bitte such dir jemand der davon was versteht und lass es von ihm einrichten.

Ich führe auch keine Untersuchungen an Patienten durch.

LG
Bitte warten ..
Der Kommentar von HansJoachm wurde vom Moderator Frank am 04.02.19 ausgeblendet!
Mitglied: Ausserwoeger
04.02.2019, aktualisiert um 12:57 Uhr
Wenn der Name deines Sicherheitszertifikats nicht passt wird dir ein neuerstellen der homepage nichts bringen.
Aber totzdem viel Spass dabei.

LG
Bitte warten ..
Der Kommentar von Lochkartenstanzer wurde vom Moderator Frank am 04.02.19 ausgeblendet!
Mitglied: Lochkartenstanzer
LÖSUNG 04.02.2019, aktualisiert um 12:30 Uhr
Zitat von Kraemer:

Kann es sein, dass das Problem nur bei ipv6 existiert?

nein. Bei v4 kommt gar keine Verbindung zustande (Telekom VDSL), traceroute geht aber.

Ich tippe auf ein problem beim webserver.

lks
Bitte warten ..
Der Kommentar von HansJoachm wurde vom Moderator Frank am 04.02.19 ausgeblendet!
Mitglied: HansJoachm
04.02.2019 um 12:56 Uhr


... meine ich ja. Vielleicht sollte ich die IPv6 Adresse in den AAA Record eintragen ... das Problem mit der 'privaten' würde bei IPv6 wegfallen, meinte der Freundliche von der tmobile, bin nur nicht sicher, ob der Eintrag in den AAA Record das richtige ist...
Bitte warten ..
Mitglied: 138721
LÖSUNG 04.02.2019, aktualisiert um 13:24 Uhr
Zitat von HansJoachm:
... meine ich ja. Vielleicht sollte ich die IPv6 Adresse in den AAA Record eintragen ... das Problem mit der 'privaten' würde bei IPv6 wegfallen, meinte der Freundliche von der tmobile, bin nur nicht sicher, ob der Eintrag in den AAA Record das richtige ist...
Einen AAA Record gibt es nicht, wenn dann einen AAAA!
Wenn der Server auch korrekt per IPv6 ansprechbar sein soll, am DNS Server der Domain auch den korrekten AAAA Record eintragen, wenn nicht, diesen entfernen, denn offensichtlich existiert schon einer, und dein Server selbst ist nicht korrekt konfiguriert. Und da Clients IPv6 bevorzugen wenn es verfügbar ist bekommst du dieses Verhalten. Wenn du den vorhandenen AAAA Record entfernst gehen die Clients automatisch auf IPv4,.
Dein IIS auch auf dem IPv6 Interface gebunden sein und lauschen und dort das Zertifikat auch gebunden sein! Scheint bei dir hier nicht der Fall zu sein wenn man die Wireshark Ausgaben auswertet.
Das dein Router IPv6 auf Port 443 zum Server durchlassen muss versteht sich hoffentlich von selbst.

Beschäftige dich mal eingehend mit IPv6. Dass wissen scheint dir hier offensichtlich noch zu fehlen.
Bitte warten ..
Mitglied: HansJoachm
04.02.2019, aktualisiert um 13:34 Uhr
Zitat von 138721:

Zitat von HansJoachm:
... meine ich ja. Vielleicht sollte ich die IPv6 Adresse in den AAA Record eintragen ... das Problem mit der 'privaten' würde bei IPv6 wegfallen, meinte der Freundliche von der tmobile, bin nur nicht sicher, ob der Eintrag in den AAA Record das richtige ist...
Einen AAA Record gibt es nicht, wenn dann einen AAAA!
Wenn der Server auch korrekt per IPv6 ansprechbar sein soll, am DNS Server der Domain auch den korrekten AAAA Record eintragen, wenn nicht, diesen entfernen, denn offensichtlich existiert schon einer, und dein Server selbst ist nicht korrekt konfiguriert. Und da Clients IPv6 bevorzugen wenn es verfügbar ist bekommst du dieses Verhalten.
Dein IIS auch auf dem IPv6 Interface gebunden sein und lauschen und dort das Zertifikat auch gebunden sein! Scheint bei dir hier nicht der Fall zu sein wenn man die Wireshark Ausgaben auswertet.
Das dein Router IPv6 auf Port 443 zum Server durchlassen muss versteht sich hoffentlich von selbst.

Beschäftige dich mal eingehend mit IPv6.

... das könnte es sein. Der AAAA Eintrag entspricht bereits der SSLLabs anzeige -SSL Report: vtpraxis.berlin (2001:8d8:100f:f000:0:0:0:25a)-

Sind für IPv6 weitere Ports zu öffnen? Die Durchleitung für IPv4 geht ja problemlos, insofern ist 443 schon klar...


http://www.ipv6scanner.com/cgi-bin/main.py gib folgende Auskunft :


Your IP address is 90.187.98.57

vtpraxis.berlin

Ports: I am authorized to initiate this port scan.
Host name: vtpraxis.berlin
IPV6: 2001:8d8:100f:f000::25a
IPV4: 90.187.98.57
OPEN An application is listening for connections on that port
CLOSED No application listening on that port
FILTERED The port is blocked by firewall or other network obstacle
TCP Port IPV4 State IPV6 State Service
21 FILTERED CLOSED ftp
22 FILTERED CLOSED ssh
23 FILTERED CLOSED telnet
25 FILTERED CLOSED smtp
53 FILTERED CLOSED domain
80 FILTERED OPEN http
110 FILTERED CLOSED pop3
137 FILTERED CLOSED netbios-ns
138 FILTERED CLOSED netbios-dgm
139 FILTERED CLOSED netbios-ssn
443 OPEN OPEN https
445 FILTERED CLOSED microsoft-ds
587 FILTERED CLOSED submission
993 FILTERED CLOSED imaps
995 FILTERED CLOSED pop3s
1080 CLOSED CLOSED socks
1433 FILTERED CLOSED ms-sql-s
1701 FILTERED CLOSED l2f
1723 FILTERED CLOSED pptp
3306 FILTERED CLOSED mysql
5432 FILTERED CLOSED postgresql
8000 FILTERED CLOSED http-alt
8080 FILTERED CLOSED http-proxy
11211 FILTERED CLOSED unknown


... eine spezielle Möglichkeit zur Bindung von IPv6 im IIS hab ich noch nicht gefunden... Wenn ich die IPv6 Adresse unter Bindung/IP eintrage, geht nichts mehr...
Bitte warten ..
Mitglied: 138721
LÖSUNG 04.02.2019, aktualisiert um 13:36 Uhr
Zitat von HansJoachm:
... das könnte es sein. Der AAAA Eintrag entspricht bereits der SSLLabs anzeige -SSL Report: vtpraxis.berlin (2001:8d8:100f:f000:0:0:0:25a)-
Jepp, wenn du den entfernst, gehen die Clients automatisch auf IPv4, sofern der Cache die Einträge bereits vergessen hat. Wenn du es weiterhin nutzen willst s. weiter unten
Sind für IPv6 weitere Ports zu öffnen? Die Durchleitung für IPv4 geht ja problemlos, insofern ist 443 schon klar...
Deine IPv6 Firewall des Routers muss den Port ebenfalls durchlassen!

Wenn die Anwendung schon darauf hört dann hast du das Zertifikatt im IIS nicht an die IPv6Adresse gebunden.
... eine spezielle Möglichkeit zur Bindung von IPv6 im IIS hab ich noch nicht gefunden...
Doch, unter Bindungen muss die IPv6 bzw. für alle IPs der Interfaces * / [::]:443 das Zertifikat explizit hinterlegt sein.
Mit netsh prüfen.
netsh http show sslcert
Bitte warten ..
Mitglied: HansJoachm
04.02.2019 um 13:42 Uhr
... famos. Wenn ich den Windows Firewall ausschalte, funktioniert der Zugriff. Jetzt müsste ich nur noch herausfinden, welche Ports IPv6 faktisch braucht. Aber vielen Dank, Laserjet, das war sehr hilfreich und konstruktiv.
Bitte warten ..
Mitglied: 138721
04.02.2019, aktualisiert um 13:55 Uhr
welche Ports IPv6 faktisch braucht
Ebenfalls TCP443 nur eben auf IPv6. Wenn du TCP443 in der Windows-Firewall freigibst ist dieser sowohl auf IPv4 als auch IPv6 freigegeben. Wenn nicht hast du irgendwo eine Block-Regel die davor steht. Oder irgendeine Security-Suite am laufen.

Btw. einen ungehärteten IIS würde ich so nie ans Netz hängen. Besser gleich einen Reverse-Proxy davor setzen!
Bitte warten ..
Mitglied: HansJoachm
04.02.2019 um 14:01 Uhr
. das erste bullshit, hatte ich wohl auf einen Zwischenspeicher zugegriffen Ich muss also an einen speziellen IPv6 Firewall ran, der hinter eine KabelBox im Bridgemodus und einer Fritzbox mit Portweiterleitung hängt. Mache ich morgen weiter, aber erstmal herzlichen Dank an alle
Bitte warten ..
Ähnliche Inhalte
Webbrowser

Browsen nicht möglich trotz erreichbarer Server (HTTPS geht, HTTP nicht)

gelöst Frage von alekelpraghWebbrowser5 Kommentare

Hallo Community, ich hoffe, dass sich die Lösung für euch simpler darstellt, als ich denke. Zunächst zu den Rahmenbedingungen: ...

HTML

Https bei 1und1

Frage von jensgebkenHTML5 Kommentare

Hallo Gemeinschaft, habe bei meinem hoster mehrere domains laufen und leider kein ssl mehr frei - könnt ihr mir ...

Linux Netzwerk

Ubuntu squid https allow

Frage von Florian86Linux Netzwerk3 Kommentare

Hallo, ich habe folgendes Problem mit unseren Proxy. Wenn ich an den Clients den Proxy im IE eintrage muss ...

Verschlüsselung & Zertifikate

SSL Zertifikat für HTTPS

gelöst Frage von Hendrik2586Verschlüsselung & Zertifikate34 Kommentare

Guten Tag an alle! :) Ich habe eine kurze Frage an euch. Ich hab mein Synologie nun fertig eingerichtet ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Tipp von ChriBo vor 10 StundenFirewall

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 1 TagInternet

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 1 TagGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 1 TagGoogle Android2 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung21 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

DSL, VDSL
Neuer Glasfaser Anschluss - IPv4-Adressraum
Frage von norre2000DSL, VDSL12 Kommentare

Hallo Zusammen, ich werde meinen Glasfaser Anschluss wechseln und bin beim Ausfüllen des Antrags auf Fragen gestoßen bei denen ...

Internet
Aktuell HP-Support-Seite kaputt?
gelöst Frage von LochkartenstanzerInternet12 Kommentare

Hallo Kollegen, Weiß einer von euch, seit wann die HP-Support-Seite kaputt ist? ) Wollte heute morgen Druckertreiber runterladen und ...

Ubuntu
Exchange Alternative auf Ubuntu
Frage von TELLOUbuntu11 Kommentare

Hi NG, wir müssen für unsere Kleine Firma (5 User) das Email / Kalendersystem neu einrichten. Ich könnte jetzt ...