Problem z ssl na funbox 3.0

xzihen — Mon, 08 Nov 2021 23:00:06 GMT

Witajcie, zmagam się z ustanowieniem połączenia SSL do serwera apache na ubuntu. Skonfigurowałem sobie wszystko na serwerze, który stoi za funboxem. Ma przydzielony adres z dhcp funbox'a.

W momencie próby połączenia ssl, dostaję odpowiedź w przeglądarce ERR_EMPTY_RESPONSE. Strona ukazuje również nieważny certyfikat, co dziwne w tym, że nie ukazuje informacji o wygenerowanym dla mnie certyfikacie, lecz certyfikacie Orange, CN = Web admin Funbox2 G6.

W regułach NAT/PAT na funboxie mam przekierowane dwa porty dla serwera, port 80, z którym nie ma żadnego problemu, oraz port zewnętrzny jak i wewnętrzny 433. Problem wygląda tak jakby podczas próby połączenia po ssl Funbox się wtrącał i przekierowywał na swoją wewnętrzną stronę, która jest pusta z czego wynika ERR_EMPTY_RESPONSE. Dołączam również log z polecenia openssl s_client -connect:

openssl s_client -connect api.zihenoza.ovh:443:

CONNECTED(00000005)
depth=1 C = FR, O = Orange, OU = 0002 380129866, CN = Orange Devices Auth Web CA
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:C = PL, O = Orange, CN = Web admin Funbox2 G6
   i:C = FR, O = Orange, OU = 0002 380129866, CN = Orange Devices Auth Web CA
 1 s:C = FR, O = Orange, OU = 0002 380129866, CN = Orange Devices Auth Web CA
   i:C = FR, O = Orange, OU = 0002 380129866, CN = Orange Devices Root CA
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=C = PL, O = Orange, CN = Web admin Funbox2 G6

issuer=C = FR, O = Orange, OU = 0002 380129866, CN = Orange Devices Auth Web CA

---
No client certificate CA names sent
Client Certificate Types: RSA sign, DSA sign, ECDSA sign
Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA512:DSA+SHA512:ECDSA+SHA512:RSA+SHA384:DSA+SHA384:ECDSA+SHA384:RSA+SHA256:DSA+SHA256:ECDSA+SHA256:RSA+SHA224:DSA+SHA224:ECDSA+SHA224:RSA+SHA1:DSA+SHA1:ECDSA+SHA1
Peer signing digest: SHA256
Peer signature type: RSA
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 3586 bytes and written 456 bytes
Verification error: unable to get local issuer certificate
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: E3131780EA8DDCD3DF4EBD57436762822368EBC1E810DA560E3467E1105F055D
    Session-ID-ctx:
    Master-Key: 1EFA10D47198CA154F6D771AA55E03C212CBF17B6DD8F8F2C44BD76E5750170401429AA55001B586E816020C73945E39
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 74 8e c4 62 b2 56 4c 56-5f 7c 76 97 3a 8d 03 8a   t..b.VLV_|v.:...
    0010 - 6a c6 e1 a2 33 c2 36 9d-25 d4 f2 0a b6 b0 7d a6   j...3.6.%.....}.
    0020 - 8e 96 c6 eb df f3 75 db-e4 7c 8a 2c 12 52 44 d3   ......u..|.,.RD.
    0030 - e6 b3 eb b1 ff 5f 44 40-46 d4 7c 0c 78 67 31 09   ....._D@F.|.xg1.
    0040 - 83 60 57 b3 b7 38 6d 7b-de 77 d8 a8 88 d4 98 97   .`W..8m{.w......
    0050 - 69 10 e8 05 a5 c0 88 fa-33 2e 33 58 c8 cb 41 fb   i.......3.3X..A.
    0060 - 3a 00 58 68 98 88 bd 2a-82 73 91 9d 10 75 b8 87   :.Xh...*.s...u..
    0070 - b3 07 01 50 f5 64 df af-82 cd 16 99 f4 85 72 05   ...P.d........r.
    0080 - 6a 2e 64 25 47 7a 24 de-39 8a 91 76 2d 70 b4 1c   j.d%Gz$.9..v-p..
    0090 - 59 9d a2 23 c7 83 80 55-ef f5 0b df 09 6c 45 5a   Y..#...U.....lEZ
    00a0 - e9 a5 8c 35 8a 48 f6 6d-c0 58 df ae 41 3d 91 36   ...5.H.m.X..A=.6

    Start Time: 1636412297
    Timeout   : 7200 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
    Extended master secret: no
---

Proszę o pomoc w rozwiązaniu problemu 😉 Szukałem w ustawieniach funboxa'a, ale nie nigdzie opcji, która pozwoliła by w jakiś sposób wyłączyć tą ich na "sztywno" przypisaną regułę.

Problem z ssl na funbox 3.0

Samotnick — Tue, 09 Nov 2021 12:56:23 GMT

Chyba coś źle przekierowałeś. 433 jest widoczny z zewnątrz. 80 też. Pokaż zrzut ze strony ustawień NAT/PAT.

Edit: Przekierowanie portu 443 na FB3 na pewno działa bo sam tego używam.

Problem z ssl na funbox 3.0

pirenej — Tue, 09 Nov 2021 12:46:46 GMT

OP nie napisał, że nie widać portu 443, tylko że ruch do niego, zamiast być kierowany zgodnie ze zdefiniowaniem, jest zagrabiany przez FB. Tak to już jest, gdy zamiast oglądać internet i TV, chce się zrobić coś bardziej pożytecznego. Szkoda się szarpać z tym badziewiem. Najlepiej wymienić go na własny router, o ile warunki przyłączenia pozwalają.

Problem z ssl na funbox 3.0

pirenej — Tue, 09 Nov 2021 12:57:16 GMT

... myląca jest też literówka. W treści wpisów pojawia się port 433 ale mówimy przecieź o 443 (czyż nie?).

---

(uprasza się moderatora o niescalanie wpisu)

Problem z ssl na funbox 3.0

xzihen — Tue, 09 Nov 2021 13:07:08 GMT

aktualne ustawinia nat/pat wyglądają następująco:

Problem z ssl na funbox 3.0

xzihen — Tue, 09 Nov 2021 13:08:01 GMT

tak, przepraszam Was bardzo, wkradła się literówka.

Problem z ssl na funbox 3.0

pirenej — Tue, 09 Nov 2021 14:36:09 GMT

A może sobie odpuść domowy serwer i postaw to na VPS? Nie jest przecież drogo. Ewentualnie, otwórz w domu inny port, a publiczny dostęp przez port 443 umieść na VPS i stamtąd kieruj do siebie przez http proxy. FB nie ujarzmisz.

temat Problem z ssl na funbox 3.0 w Modemy i routery

Problem z ssl na funbox 3.0

Problem z ssl na funbox 3.0

Problem z ssl na funbox 3.0

Problem z ssl na funbox 3.0

Problem z ssl na funbox 3.0

Problem z ssl na funbox 3.0

Problem z ssl na funbox 3.0